S'assurer que les processus de gestion des vulnérabilités satisfont aux exigences essentielles (Annexe I Partie II)

L'article 6, point b), du règlement (UE) 2024/2847 dispose que les produits comportant des éléments numériques ne peuvent être mis à disposition que si les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à la Partie II de l'Annexe I.

Les fabricants doivent mettre en place des processus pour :

1. SBOM — Identifier et documenter les vulnérabilités et composants, notamment par l'établissement d'une nomenclature logicielle (SBOM) lisible par machine couvrant au moins les dépendances de premier niveau
2. Correction rapide — Traiter et corriger les vulnérabilités sans retard injustifié, notamment en fournissant des mises à jour de sécurité
3. Tests réguliers — Appliquer des tests et des révisions de sécurité réguliers et efficaces
4. Divulgation des vulnérabilités corrigées — Partager publiquement des informations sur les vulnérabilités corrigées après mise à disposition d'un correctif
5. Politique CVD — Mettre en place et appliquer une politique de divulgation coordonnée des vulnérabilités
6. Signalement facilité — Faciliter le signalement via une adresse de contact
7. Distribution sécurisée des mises à jour — Distribution sécurisée des mises à jour de sécurité (y compris automatique)
8. Mises à jour gratuites — Fourniture gratuite de mises à jour de sécurité pendant toute la durée de la période de support