op de markt worden aangeboden zonder bekende uitbuitbare kwetsbaarheden;

op de markt worden aangeboden met een standaard beveiligde configuratie, tenzij anders overeengekomen tussen de fabrikant en de zakelijke gebruiker met betrekking tot een product met digitale elementen op maat, met inbegrip van de mogelijkheid om het product in zijn oorspronkelijke toestand te herstellen;

garanderen dat kwetsbaarheden kunnen worden aangepakt door middel van beveiligingsupdates, waaronder, indien van toepassing, door automatische beveiligingsupdates die worden geïnstalleerd binnen een passende termijn en die als standaardinstelling zijn ingeschakeld, met een duidelijk en gebruiksvriendelijk opt-outmechanisme, door de melding van beschikbare updates aan gebruikers, en door de mogelijkheid om die tijdelijk uit te stellen;

zorgen voor bescherming tegen ongeoorloofde toegang door middel van passende controlemechanismen, met inbegrip van maar niet beperkt tot authenticatie-, identiteits- of toegangsbeheersystemen, en melding maken van eventuele ongeoorloofde toegang;

de vertrouwelijkheid van opgeslagen, verzonden of anderszins verwerkte persoonsgegevens of andere gegevens beschermen, bijvoorbeeld door relevante inactieve gegevens of gegevens in overdracht met behulp van geavanceerde mechanismen te versleutelen, en door andere technische middelen te gebruiken;

de integriteit van opgeslagen, verzonden of anderszins verwerkte gegevens, persoonsgegevens of andere gegevens, commando’s, programma’s en configuraties beschermen tegen manipulatie of wijziging die niet door de gebruiker is toegestaan, en melding maken van beschadiging;

uitsluitend persoons- of andere gegevens verwerken die toereikend en ter zake dienend zijn en beperkt zijn tot wat noodzakelijk is met betrekking tot het beoogde doel van het product met digitale elementen (minimale gegevensverwerking);

de beschikbaarheid van essentiële en basisfuncties beschermen, ook na een incident, onder meer door middel van weerbaarheids- en beperkingsmaatregelen tegen denial of serviceaanvallen;

de negatieve impact van de producten zelf of van verbonden apparaten op de beschikbaarheid van diensten die door andere apparaten of netwerken worden geleverd, tot een minimum beperken;

worden ontworpen, ontwikkeld en geproduceerd om kwetsbaarheden voor aanvallen, met inbegrip van externe interfaces, te beperken;

worden ontworpen, ontwikkeld en geproduceerd om de gevolgen van een incident te beperken met behulp van passende mechanismen en technieken om uitbuiting te beperken;

beveiligingsgerelateerde informatie verstrekken door relevante interne activiteiten te registreren en te monitoren, met inbegrip van de toegang tot of wijziging van gegevens, diensten of functies, met een opt-outmechanisme voor de gebruiker;

gebruikers de mogelijkheid bieden om alle gegevens en instellingen veilig en gemakkelijk permanent te verwijderen en, indien die gegevens naar andere producten of systemen kunnen worden overgedragen, ervoor zorgen dat dat op een veilige manier gebeurt.

kwetsbaarheden en componenten in producten met digitale elementen vaststellen en documenteren, onder meer door een softwarestuklijst op te stellen in een algemeen gebruikt en machineleesbaar formaat waarin ten minste de afhankelijkheden van de producten op het hoogste niveau worden aangegeven;

in verband met de risico’s die verbonden zijn aan producten met digitale elementen, kwetsbaarheden onverwijld aanpakken en verhelpen, onder meer door beveiligingsupdates te verstrekken; indien technisch haalbaar moeten nieuwe beveiligingsupdates afzonderlijk van de functionaliteitsupdates worden verstrekt;

de beveiliging van het product met digitale elementen op doeltreffende en regelmatige wijze testen en evalueren;

zodra een beveiligingsupdate beschikbaar is gesteld, informatie delen en openbaar maken over verholpen kwetsbaarheden, met inbegrip van een beschrijving van de kwetsbaarheden, informatie aan de hand waarvan gebruikers het betreffende product met digitale elementen kunnen identificeren, de gevolgen van de kwetsbaarheden, de ernst ervan en duidelijke en toegankelijke informatie die gebruikers helpt de kwetsbaarheden te verhelpen; in naar behoren gemotiveerde gevallen kunnen fabrikanten, wanneer zij van mening zijn dat de beveiligingsrisico’s van openbaarmaking zwaarder wegen dan de beveiligingsvoordelen, het openbaar maken van informatie over een verholpen kwetsbaarheid uitstellen totdat de gebruikers de mogelijkheid hebben gekregen de desbetreffende patch uit te voeren;

een beleid inzake gecoördineerde openbaarmaking van kwetsbaarheden invoeren en handhaven;

maatregelen nemen om het delen van informatie over potentiële kwetsbaarheden in hun product met digitale elementen en in componenten van derden in dat product te vergemakkelijken, onder meer door een contactadres te verstrekken voor de melding van de kwetsbaarheden die in het product met digitale elementen zijn ontdekt;

voorzien in mechanismen om updates voor producten met digitale elementen veilig te verspreiden om ervoor te zorgen dat kwetsbaarheden tijdig en, waar van toepassing voor beveiligingsupdates, automatisch worden verholpen of beperkt;

ervoor zorgen dat, wanneer er beveiligingsupdates beschikbaar zijn om vastgestelde beveiligingsproblemen aan te pakken, die onverwijld en — tenzij anders overeengekomen tussen een fabrikant en een zakelijke gebruiker met betrekking tot een product met digitale elementen op maat — kosteloos worden verspreid, vergezeld van adviezen met relevante informatie voor gebruikers, onder meer over eventueel te nemen maatregelen.