Allegato VII — Contenuto della documentazione tecnica
La documentazione tecnica di cui all’articolo 31 include almeno le informazioni seguenti, a seconda dell’applicabilità al pertinente prodotto con elementi digitali:
1) una descrizione generale del prodotto con elementi digitali, tra cui:
a) la finalità prevista;
b) versioni del software importanti per la conformità ai requisiti essenziali di cibersicurezza;
c) se il prodotto con elementi digitali consiste di un prodotto hardware, fotografie o illustrazioni che mostrino le caratteristiche esterne, la marcatura e la disposizione interna;
d) informazioni e istruzioni per l’utilizzatore, come indicato nell’allegato II;
2) una descrizione della progettazione, dello sviluppo e della produzione del prodotto con elementi digitali e dei processi di gestione delle vulnerabilità, tra cui:
a) le informazioni necessarie sulla progettazione e sullo sviluppo del prodotto con elementi digitali, compresi, se del caso, disegni e schemi e una descrizione dell’architettura del sistema che spieghi in che modo i componenti software si basano l’uno sull’altro o si alimentano reciprocamente e si integrano nel processo complessivo;
b) le informazioni necessarie e specifiche sui processi di gestione delle vulnerabilità messi in atto dal fabbricante, tra cui la distinta base del software, la politica di gestione della divulgazione coordinata delle vulnerabilità, la prova della fornitura di un indirizzo di contatto per la segnalazione delle vulnerabilità e una descrizione delle soluzioni tecniche scelte per la distribuzione sicura degli aggiornamenti;
c) le informazioni necessarie e specifiche relative ai processi di produzione e monitoraggio del prodotto con elementi digitali e alla convalida di tali processi;
3) una valutazione dei rischi di cibersicurezza a fronte dei quali il prodotto con elementi digitali è progettato, sviluppato, prodotto, consegnato e sottoposto a manutenzione, a norma dell’articolo 13, incluse le modalità di applicazione dei requisiti essenziali di cibersicurezza di cui all’allegato I, parte I;
4) informazioni pertinenti di cui si è tenuto conto per determinare il periodo di assistenza a norma dell’articolo 13, paragrafo 8, del prodotto con elementi digitali;
5) un elenco delle norme armonizzate applicate integralmente o in parte, i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea, delle specifiche comuni di cui all’articolo 27 del presente regolamento o dei sistemi europei di certificazione della cibersicurezza adottati conformemente al regolamento (UE) 2019/881 a norma dell’articolo 27, paragrafo 8, del presente regolamento e, qualora non siano stati applicati tali norme armonizzate, specifiche comuni o sistemi europei di certificazione della cibersicurezza, le descrizioni delle soluzioni adottate per soddisfare i requisiti essenziali di cibersicurezza di cui all’allegato I, parti I e II, compreso un elenco delle altre pertinenti specifiche tecniche applicate. In caso di applicazione parziale delle norme armonizzate, delle specifiche comuni o dei sistemi europei di certificazione della cibersicurezza, la documentazione tecnica specifica le parti che sono state applicate;
6) le relazioni delle prove effettuate per verificare la conformità del prodotto con elementi digitali di cibersicurezza e dei processi di gestione delle vulnerabilità ai requisiti essenziali applicabili di cui all’allegato I, parti I e II;
7) una copia della dichiarazione di conformità UE;
8) se del caso, la distinta base del software, a seguito di una richiesta motivata di un’autorità di vigilanza del mercato, a condizione che ciò sia necessario affinché tale autorità possa verificare la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I.