Anexo 7 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

La documentación técnica a que hace referencia el artículo 31 contendrá como mínimo la siguiente información, en función del producto con elementos digitales de que se trate:

1. una descripción general del producto con elementos digitales, incluidas:

a) su finalidad prevista;

b) las versiones de los programas informáticos que afecten al cumplimiento de los requisitos esenciales de ciberseguridad;

c) cuando el producto con elementos digitales sea un producto consistente en equipos informáticos, fotografías o ilustraciones que muestren las características externas, el marcado y la configuración interna;

d) la información y las instrucciones para el usuario indicadas en el anexo II;

2. una descripción del diseño, el desarrollo y la producción del producto con elementos digitales y de los procesos de gestión de las vulnerabilidades, que incluya:

a) información necesaria sobre el diseño y el desarrollo del producto con elementos digitales, incluidos, en su caso, planos y esquemas, y una descripción de la arquitectura del sistema que explique cómo se apoyan o se alimentan mutuamente los componentes de los programas informáticos y cómo se integran en el tratamiento general;

b) información y especificaciones necesarias de los procesos de gestión de las vulnerabilidades establecidos por el fabricante, incluida la nomenclatura de materiales de los programas informáticos, la política de divulgación coordinada de vulnerabilidades, pruebas de que se ha facilitado una dirección de contacto para la notificación de vulnerabilidades y una descripción de las soluciones técnicas elegidas para la distribución segura de las actualizaciones;

c) información y especificaciones necesarias de los procesos de producción y seguimiento del producto con elementos digitales y la validación de esos procesos;

3. una evaluación de los riesgos de ciberseguridad frente a los cuales se haya diseñado, desarrollado, producido, entregado y mantenido el producto con elementos digitales, en virtud del artículo 13, también en lo que ataña al modo en que son aplicables los requisitos esenciales de ciberseguridad formulados en el anexo I, parte I;

4. información pertinente que se haya tenido en cuenta para determinar el período de soporte en virtud del artículo 13, apartado 8, del producto con elementos digitales;

5. una lista de las normas armonizadas, aplicadas total o parcialmente, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, las especificaciones comunes tal como se definen en el artículo 27 del presente Reglamento o los esquemas europeos de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 de conformidad con el artículo 27, apartado 8, del presente Reglamento y, cuando no se hayan aplicado esas normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad, la descripción de las soluciones adoptadas para cumplir los requisitos esenciales de ciberseguridad establecidos en el anexo I, partes I y II, junto con una lista de otras especificaciones técnicas pertinentes aplicadas; en caso de normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad que se apliquen parcialmente, se especificarán en la documentación técnica las partes que se hayan aplicado;

6. informes de las pruebas realizadas para verificar la conformidad del producto con elementos digitales y de los procesos de gestión de las vulnerabilidades con los requisitos esenciales de ciberseguridad aplicables que se establecen en el anexo I, partes I y II;

7. una copia de la declaración UE de conformidad;

8. cuando proceda, la nomenclatura de materiales de los programas informáticos, previa solicitud motivada por parte de una autoridad de vigilancia del mercado, siempre que sea necesario para que dicha autoridad pueda comprobar el cumplimiento de los requisitos esenciales de ciberseguridad establecidos en el anexo I.