Prvi osnutek Zakona o kibernetski odpornosti (Cyber Resilience Act – CRA), ki ga pripravlja Evropska komisija in katerega prvi osnutek je bil predstavljen septembra 2022, je povzročil veliko razburjenja ne le v EU ampak tudi širše. Med drugim tudi v odprtokodni skupnosti.
Če bo uredba o kibernetski varnosti sprejeta v takšni ali podobni različici (kar je zelo verjetno), ne bo le prvi evropski zakon o kibernetski varnosti, ki določa obveznost »vgrajene kibernetske varnosti« , ampak bo tudi prvi zakon, ki proizvajalcem, uvoznikom in distributerjem predpisuje izvajanje ukrepov za varnost IT v celotnem življenjskem ciklu izdelka. To je na prvi pogled dobro, saj se zakon, ki naj bi prvotno vplival le na internet stvari, zdaj s svojim razširjenim področjem uporabe osredotoča na vse »izdelke z digitalnimi elementi« in s tem na vso omrežno informacijsko tehnologijo.
Toda ali je res potreben še en zakon EU o kibernetski varnosti, če že imamo NIS-2, zakon o kibernetski varnosti, direktivo o radijski opremi in številne druge sektorske zakone na isto temo? Dejstvo je, da so podjetja in proizvajalci kibernetsko varnost doslej razumeli predvsem kot notranji proces zagotavljanja skladnosti in so premalo regulativne pozornosti namenjali samim izdelkom, ki so bili uvoženi na enotni evropski trg ali pa so tam proizvedeni in množično krožijo tukaj, pogosto že leta. S tega zornega kota bi bil tak zakon (mogoče) potreben. In EU se ga je lotila dokaj ambiciozno, vendar…
V trenutni različici zakona je kar nekaj pomanjkljivosti, ki bi jih morali pred sprejetjem nujno odpraviti. Ena od teh je določitev najdaljše življenjske dobe izdelka na pet let., saj je bilo hitro ugotovljeno, da je takšna ureditev zaradi raznolikosti izdelkov v praksi težko smiselna. Druga pomembna pomanjkljivost, ki je bila v javni razpravi žal v veliki meri prezrta, zadeva obravnavo odprtokodnih komponent, ki se danes množično uporabljajo v vseh mogočih komercialnih napravah in programski opremi.
Pred nekaj dnevi se je s tem problemom seznanila tudi Python Software Foundation (PSF), neprofitna organizacija za promocijo, zaščito in nadaljnji razvoj programskega jezika Python, ki je objavila podrobno izjavo o CRA in bralce pozvala, naj na izražene pomisleke opozorijo evropske politike. PSF vsem uporabnikom, poleg brezplačnega jedra programskega jezika, nudi tudi Python Packaging Index (PyPI) kot knjižnico programskih paketov, ki jih je napisalo na tisoče različnih podjetij in posameznikov in ki je lahko v primeru sprejetja zakona v sedanji obliki, v nevarnosti. Zaradi širokega področja uporabe zakona o avtorskih pravicah brez izjem za javne in neprofitne odprtokodne repozitorije se namreč boji, da bi se pojavile velike težave z odgovornostjo. To bi lahko šlo tako daleč, da bi bilo združenje PSF pravno odgovorno za potencialno vsak izdelek, ki vsebuje kodo Python, ne da bi imelo od teh izdelkov kakršen koli prihodek, kaj šele dobiček. Tako Python in PyPI ne bi bila več na voljo evropskim podjetjem in programerjem, kar bi imelo resne posledice za evropski tehnološki tržni položaj in nenazadnje tudi za kibernetsko varnost, ki je do zdaj imela veliko koristi od prispevka svetovne skupnosti programske opreme in neodvisnosti združenja PSF. Problem seveda ne zadeva le Pythona, temveč vse javno dostopne repozitorije odprte kode.
Evropski zakonodajalec je zato pozvan, da nujno in pravočasno izvede izboljšave, da bi preprečil nepopravljivo škodo evropski odprtokodni skupnosti, ki jo bo povzročila agencija CRA z izključitvijo neprofitnih repozitorijev odprte kode iz področja uporabe prihodnjega zakona. Po drugi strani pa so komercialna podjetja, ki v svojih izdelkih uporabljajo odprtokodno programsko opremo, že zdaj potencialni naslovniki odgovornosti za škodo, ki jo vzročno povzroči pomanjkljiva programska oprema, ne glede na to trenutno pravnopolitično razpravo.
Nedavni komentarji