Op verzoek technische documentatie opstellen

Eenvoudige taal

In tegenstelling tot fabrikanten hoeft u niet proactief de volledige Bijlage VII technische documentatie voor te bereiden. Als een markttoezichtautoriteit er echter om vraagt, moet u in staat zijn technische documentatie over uw OSS-component te produceren — met betrekking tot de beveiligingseigenschappen, bekende kwetsbaarheden en ontwikkelingspraktijken. De lichtere verplichting voor beheerders van open-sourcesoftware weerspiegelt het open-sourcemodel, maar de onderliggende informatie moet wel beschikbaar zijn.

Wettekst

Artikel 24(4) van Verordening (EU) 2024/2847 bepaalt dat beheerders van open- sourcesoftware op verzoek van een markttoezichtautoriteit de technische documentatie uit Bijlage VII opstellen en actueel houden voor de open-source- software-componenten die zij beheren.

De documentatie wordt op verzoek ter beschikking gesteld aan de markttoezicht- autoriteit en moet beoordeling van naleving van de toepasselijke vereisten van deze Verordening mogelijk maken.

Belangrijkste vereisten

Verzoekgebonden verplichting — in tegenstelling tot fabrikanten hoeven beheerders van open-sourcesoftware Bijlage VII-documentatie niet proactief bij te houden, maar moeten deze produceren wanneer hierom wordt gevraagd
Reikwijdte van Bijlage VII — documentatie moet voldoende zijn om beoordeling van naleving mogelijk te maken; omvat beveiligingseigenschappen, ontwikkelproces en kwetsbaarheidsafhandeling
Actueel houden — eenmaal geproduceerd moet de documentatie worden bijgehouden zodat deze accuraat blijft
Tijdige productie — moet binnen een redelijke termijn na het verzoek worden geproduceerd

Bewijsmateriaal dat u mogelijk nodig heeft

Inventaris van OSS-componenten die u beheert en hun beveiligingsrelevante eigenschappen
Beveiligingsarchitectuurnotities, dreigingsmodellen of gelijkwaardige ontwerp- documentatie
Kwetsbaarheids-database of lijst van bekende problemen voor uw componenten
Verslagen van toegepaste veilige ontwikkelingspraktijken