OBL-ART6-02Binding
脆弱性処理プロセスが必須要件を満たすことの確保(附属書I 第II部)
- 対象者
- Manufacturer
- 出典引用
- Art. 6(b)Annex I Part II
Last reviewed
わかりやすい説明
製品そのものに加え、内部の脆弱性管理プロセスも特定の基準を満たす必要があります。 これは、開発中だけでなく市場投入後のサポート期間全体にわたり、脆弱性を特定し、 迅速に修正し、SBOM を公開し、CVD ポリシーを維持し、修正済み脆弱性の情報を 共有し、セキュリティ更新を配布するプロセスを持つことを意味します。
法的テキスト
規則(EU)2024/2847 第6条(b)は、デジタル要素を含む製品が、製造業者が導入した プロセスが附属書I 第II部の必須要件を満たす場合にのみ提供できることを 定めています。
脆弱性管理要件 — 附属書I 第II部
製造業者は以下のためのプロセスを導入しなければなりません:
- SBOM — 脆弱性とコンポーネントの特定と文書化。少なくともトップレベルの 依存関係をカバーする機械可読形式のソフトウェア部品表(SBOM)の作成を含む
- 迅速な修正 — 不当な遅延なく脆弱性を処理・修正し、セキュリティ更新を提供する
- 定期的なテスト — 効果的かつ定期的なセキュリティテストとレビューの実施
- 修正済み脆弱性の開示 — パッチ提供後に修正済み脆弱性に関する情報を 公開する
- CVD ポリシー — 協調的脆弱性開示ポリシーの確立と適用
- 報告の促進 — 連絡先アドレスを通じた報告の促進
- 更新の安全な配布 — セキュリティ更新の安全な配布(自動オプションを含む)
- 無償更新 — サポート期間全体を通じて無償でセキュリティ更新を提供する