Opracowanie i prowadzenie dokumentacji technicznej (Załącznik VII)

Artykuł 13 ust. 3 rozporządzenia (UE) 2024/2847 wymaga, aby przed wprowadzeniem produktu z elementami cyfrowymi do obrotu producenci sporządzili dokumentację techniczną, o której mowa w Załączniku VII.

Artykuł 13 ust. 13 nakłada obowiązek udostępniania przez producentów dokumentacji technicznej oraz unijnej deklaracji zgodności organom nadzoru rynku przez dziesięć lat od daty wprowadzenia produktu do obrotu lub przez przewidywany okres eksploatacji produktu — w zależności od tego, który z tych okresów jest dłuższy.

Załącznik VII określa, że dokumentacja techniczna musi obejmować:

1. Ogólny opis produktu — nazwa, wersja, przeznaczenie
2. Dokumenty dotyczące projektowania i opracowywania — architektura, przepływy danych, decyzje projektowe istotne dla bezpieczeństwa
3. Ocenę ryzyka cyberbezpieczeństwa (patrz OBL-ART13-02)
4. Politykę obsługi podatności — opis procesu
5. Wykaz stosowanych norm cyberbezpieczeństwa — lub opis rozwiązań przyjętych w celu spełnienia zasadniczych wymogów w przypadku braku norm
6. Unijną deklarację zgodności (lub jej projekt)
7. SBOM — zestawienie składników oprogramowania produktu
8. Zapisy testów i weryfikacji — dowody spełnienia wymogów Załącznika I

1. Kompletność — muszą być obecne wszystkie elementy wymienione w Załączniku VII
2. Aktualność — dokumentacja musi być aktualizowana przy modyfikacjach produktu
3. Przechowywanie przez 10 lat — licząc od pierwszego wprowadzenia do obrotu lub przewidywanego okresu eksploatacji — w zależności od tego, który jest dłuższy
4. Dostępność dla organów — dokumentacja musi być udostępniana na żądanie organów nadzoru rynku

• Skompletowany plik techniczny zgodny z Załącznikiem VII
• Zapisy zarządzania zmianami dokumentujące aktualizacje dokumentacji
• Historia wersji wszystkich włączonych dokumentów
• SBOM w formacie CycloneDX lub SPDX