SEC. 524B. SICHERSTELLUNG DER CYBERSICHERHEIT VON ENGERÄTEN.

(a) IM ALLGEMEINEN. — Eine Person, die einen Antrag oder eine Einreichung gemäß Abschnitt 510(k), 513, 515(c), 515(f) oder 520(m) für ein Gerät stellt, das die Definition eines Cybergeräts gemäß diesem Abschnitt erfüllt, muss die Informationen einfügen, die der Minister benötigt, um sicherzustellen, dass dieses Cybergerät die Anforderungen an die Cybersicherheit gemäß Absatz (b) erfüllt.

(b) ANFORDERUNGEN AN DIE CYBERSICHERHEIT. — Der Sponsor eines Antrags oder einer Einreichung gemäß Absatz (a) muss —

(1) dem Minister einen Plan zur Überwachung, Identifizierung und, falls angemessen, innerhalb eines angemessenen Zeitrahmens, zur Beseitigung von postmarktlichen Cybersicherheitsanfälligkeiten und -ausnutzungen vorlegen, einschließlich koordinierter Anfälligkeitsoffenlegung und verwandter Verfahren;

(2) Prozesse und Verfahren entwerfen, entwickeln und aufrechterhalten, um eine angemessene Gewissheit zu gewährleisten, dass das Gerät und die zugehörigen Systeme cybersicher sind, und postmarktspezifische Updates und Patches für das Gerät und die zugehörigen Systeme zur Verfügung stellen, um — ‘A) in einem angemessen gerechtfertigten regelmäßigen Zyklus, bekannte inakzeptable Schwachstellen; und (B) so schnell wie möglich außerhalb des Zyklus, kritische Schwachstellen, die unkontrollierbare Risiken verursachen könnten;

(3) dem Minister eine Software-Bill-of-Materials zur Verfügung stellen, einschließlich kommerzieller, Open-Source- und Konfektionssoftwarekomponenten; und

(4) allen anderen Anforderungen entsprechen, die der Minister durch Vorschrift festlegen kann, um eine angemessene Gewissheit zu demonstrieren, dass das Gerät und die zugehörigen Systeme cybersicher sind.