- 1. オープンソース・ソフトウェア管理者は、安全なデジタル要素を有する製品の開発、並びに当該製品の開発者による脆弱性への効果的な対処を促進するため、サイバーセキュリティ方針を整備し、かつ、検証可能な方法で文書化しなければならない。当該方針は、当該製品の開発者による第15条に定める脆弱性の自発的報告も促進するものとし、かつ、オープンソース・ソフトウェア管理者の特性並びに当該管理者が従う法的及び組織的な取決めを考慮に入れなければならない。当該方針には、特に、脆弱性の文書化、対処及び是正に関する側面を含めるとともに、発見された脆弱性に関する情報のオープンソース・コミュニティ内での共有を促進するものとする。
- 2. オープンソース・ソフトウェア管理者は、市場監視当局の要請がある場合には、自由かつオープンソースのソフトウェアに該当するデジタル要素を有する製品によって生じるサイバーセキュリティ上のリスクを軽減することを目的として、当該市場監視当局と協力するものとする。
市場監視当局による理由を付した要請があった場合、オープンソース・ソフトウェア管理者は、当該当局が容易に理解することのできる言語により、第1項に規定する文書を、紙媒体又は電子媒体のいずれかの形式で当該当局に提供するものとする。 - 3. 第14条第1項に定める義務は、オープンソース・ソフトウェア管理者がデジタル要素を有する製品の開発に関与している限度において、当該管理者に適用されるものとする。第14条第3項及び第8項に定める義務は、デジタル要素を有する製品の安全性に影響を及ぼす重大なインシデントが、当該製品の開発のためにオープンソース・ソフトウェア管理者によって提供されるネットワーク及び情報システムに影響を及ぼす限度において、当該管理者に適用されるものとする。
サイバーレジリエンス法 規則 (EU) 2024/2847
第24条