Evropski zakon o kibernetni odpornosti (Cyber Resilience Act – CRA) naj bi proizvajalce in ponudnike izdelkov z digitalnimi komponentami zavezal k višjim varnostnim standardom za njihove izdelke.
Open Source Business Alliance (OSBA) sicer podpira cilje CRA, vendar opozarja, da je osnutek predvsem usmerjen v lastniško programsko opremo, posebni razvojni in distribucijski modeli odprte kode pa niso zadostno upoštevani. Tako na primer proizvajalci odprte kode nimajo vpliva na to, kako tretje osebe prenašajo in širijo njihovo programsko opremo.
Čeprav CRA predvideva izjeme za odprto kodo, so te izjeme omejene na nekomercialne dejavnosti, opozarja OSBA. Tu pa se pojavlja siva cona: odprta koda pogosto nastaja v sodelovanju med podjetji s komercialnim interesom in prostovoljci brez komercialnega interesa, kjer pa jasna razlika med komercialnim in nekomercialnim ni enostavna. Po trenutnem osnutku bi lahko pod CRA padlo tudi veliko nekomercialnih projektov odprte kode, ki nimajo virov za izpolnitev zahtev.
OSBA se zato boji, da bi zaradi tega lahko skrbniki odprte kode to opustili, lastniki projektov pa slednje opustili ali se umaknili iz Evrope. Če bo postal v takšni obliki, zakon pomeni veliko grožnjo ekosistem odprte kode v Evropi, ki je ključen za razvoj programske opreme in digitalno suverenost. Zato je nemško Združenje OSB Alliance objavilo predloge spremembe formulacije, ki naj bi odpravile trenutno negotovost. OSBA poziva nemško vlado, naj se v pričakovanih tristranskih pogajanjih med Evropsko komisijo, Svetom in Parlamentom, ki se bodo verjetno začela septembra, zavzame za zadostno zaščito ekosistema odprte kode in digitalne suverenosti v okviru CRA, CRA pa bi moral prevzeti odgovornost ne ustvarjalca odprtokodne programske opreme, temveč »dajalca v promet« ali ponudnika storitev, če za to zahteva plačilo.
Nedavni komentarji