Artículo 24 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

1. Los administradores de comunidad de programas informáticos de código abierto establecerán y documentarán de manera verificable una política de ciberseguridad para fomentar el desarrollo de un producto con elementos digitales seguro, así como una gestión eficaz de las vulnerabilidades por parte de los desarrolladores de dicho producto. Dicha política también fomentará la notificación voluntaria de vulnerabilidades, tal como se establece en el artículo 15, por parte de los desarrolladores de dicho producto, y tendrá en cuenta la naturaleza específica del administrador de comunidad de programas informáticos de código abierto y las disposiciones jurídicas y organizativas a las que esté sujeto. La política incluirá, en particular, aspectos relacionados con la documentación de las vulnerabilidades, la respuesta a ellas y su subsanación, y promoverá el intercambio de información sobre las vulnerabilidades descubiertas en la comunidad de código abierto.

2. Los administradores de comunidad de programas informáticos de código abierto cooperarán con las autoridades de vigilancia del mercado, a petición de estas, con vistas a reducir los riesgos de ciberseguridad planteados por productos con elementos digitales que se consideren programas informáticos libres y de código abierto.

Previa solicitud motivada de una autoridad de vigilancia del mercado, los administradores de comunidad de programas informáticos de código abierto facilitarán a dicha autoridad, en una lengua fácilmente comprensible para esta, la documentación a que se refiere el apartado 1, en papel o en formato electrónico.

3. Las obligaciones establecidas en el artículo 14, apartado 1, se aplicarán a los administradores de comunidad de programas informáticos de código abierto en la medida en que participen en el desarrollo de los productos con elementos digitales. Las obligaciones establecidas en el artículo 14, apartados 3 y 8, se aplicarán a los administradores de comunidad de programas informáticos de código abierto en la medida en que un incidente grave que repercuta en la seguridad de productos con elementos digitales afecte a las redes y a los sistemas de información proporcionados por los administradores de comunidad de programas informáticos de código abierto para el desarrollo de los productos en cuestión.