Établir la documentation technique sur demande

L'article 24(4) du règlement (UE) 2024/2847 dispose que, à la demande d'une autorité de surveillance du marché, les gestionnaires de logiciels libres établissent et tiennent à jour la documentation technique visée à l'Annexe VII pour les composants de logiciels libres qu'ils administrent.

La documentation est mise à la disposition de l'autorité de surveillance du marché sur demande et doit permettre l'évaluation de la conformité aux exigences applicables du présent règlement.

1. Obligation sur demande — contrairement aux fabricants, les gestionnaires de logiciels libres ne sont pas tenus de tenir proactivement une documentation Annexe VII, mais doivent la produire sur demande
2. Périmètre de l'Annexe VII — la documentation doit être suffisante pour permettre l'évaluation de la conformité ; elle couvre les propriétés de sécurité, le processus de développement et la gestion des vulnérabilités
3. Tenir à jour — une fois produite, la documentation doit être maintenue de sorte à rester exacte
4. Production dans les délais — doit être produite dans un délai raisonnable suivant la demande

• Inventaire des composants OSS administrés et de leurs propriétés pertinentes pour la sécurité
• Notes d'architecture de sécurité, modèles de menaces ou documentation de conception équivalente
• Base de données de vulnérabilités ou liste des problèmes connus pour les composants
• Enregistrements des pratiques de développement sécurisé appliquées