Garantire che i processi di gestione delle vulnerabilità soddisfino i requisiti essenziali (Allegato I Parte II)

L'articolo 6, lettera b), del regolamento (UE) 2024/2847 dispone che i prodotti con elementi digitali sono messi a disposizione solo se i processi predisposti dal fabbricante sono conformi ai requisiti essenziali di cybersicurezza della Parte II dell'Allegato I.

I fabbricanti devono predisporre processi per:

1. SBOM — Identificare e documentare le vulnerabilità e i componenti, anche redigendo una distinta base del software (SBOM) in formato leggibile da macchina che copra almeno le dipendenze di primo livello
2. Correzione tempestiva — Affrontare e correggere le vulnerabilità senza indugio ingiustificato, anche fornendo aggiornamenti di sicurezza
3. Test periodici — Applicare test e revisioni di sicurezza efficaci e regolari
4. Divulgazione delle vulnerabilità corrette — Condividere pubblicamente informazioni sulle vulnerabilità corrette dopo la disponibilità di una patch
5. Politica CVD — Istituire e applicare una politica di divulgazione coordinata delle vulnerabilità
6. Facilitazione delle segnalazioni — Facilitare le segnalazioni tramite un indirizzo di contatto
7. Distribuzione sicura degli aggiornamenti — Distribuzione sicura degli aggiornamenti di sicurezza (inclusa l'opzione automatica)
8. Aggiornamenti gratuiti — Fornire aggiornamenti di sicurezza gratuiti per tutta la durata del periodo di assistenza