技術文書（附属書VII）の作成および維持

規則（EU）2024/2847第13条第3項は、デジタル要素を含む製品を市場に投入する前に、製造業者は附属書VIIに規定する技術文書を作成することを義務付けている。

第13条第13項は、製造業者が技術文書およびEU適合宣言を、製品が市場に投入された日から10年間、または製品の予想寿命のうちいずれか長い期間、市場監視当局の利用に供し続けることを義務付けている。

附属書VIIは、技術文書に以下を含めることを規定している：

1. 製品の一般的な説明——名称、バージョン、意図された用途
2. 設計・開発文書——アーキテクチャ、データフロー、セキュリティ関連の設計上の意思決定
3. サイバーセキュリティリスクアセスメント（OBL-ART13-02参照）
4. 脆弱性対処ポリシー——プロセスの説明
5. 適用されたサイバーセキュリティ標準の一覧——または、標準が存在しない場合に基本要件を満たすために採用した解決策の説明
6. EU適合宣言（またはその草案）
7. SBOM——製品のすべてのソフトウェアコンポーネントの機械可読な目録
8. テスト・検証記録——附属書Iの要件が満たされていることの証拠

1. 完全性——附属書VIIのすべての要素が存在すること
2. 最新性——製品が変更された場合に文書を更新すること
3. 10年間の保管——市場への最初の投入日または製品の予想寿命のうちいずれか長い期間
4. 当局への提供——市場監視当局からの要請に応じて提示できること

• 附属書VII技術ファイルの編集版
• 文書更新時期を示す変更管理記録
• 含まれるすべての文書のバージョン履歴
• CycloneDXまたはSPDX形式のSBOM