Ley de Ciberresiliencia - Código abierto

¿Cómo aborda la CRA el software libre y de código abierto?

La ACC reconoce que, para fomentar el desarrollo y el despliegue de software libre y de código abierto, debe prestarse especial atención a la naturaleza de los diferentes modelos de desarrollo de software distribuido y desarrollado bajo licencias de software libre y de código abierto.  

Esta es la razón por la que solo el software libre y de código abierto que se comercializa y, por lo tanto, se suministra para su distribución o uso en el transcurso de una actividad comercial entra en el ámbito de aplicación de la Ley de Ciberresiliencia. En particular, el suministro de productos con elementos digitales que se consideren programas informáticos gratuitos y de código abierto que no sean monetizados por sus fabricantes no debe considerarse una actividad comercial. Además, la CRA no se aplica a los desarrolladores que contribuyen con código fuente a software libre y de código abierto que no están bajo su responsabilidad.

Además, reconociendo la importancia para la ciberseguridad de muchos productos con elementos digitales calificados como software libre y de código abierto que se publican, pero no se comercializan en el sentido de la ACC, se introduce la nueva categoría jurídica de administradores de software de código abierto. Se trata de personas jurídicas que prestan apoyo de forma sostenida para el desarrollo de dichos productos destinados a actividades comerciales y que desempeñan un papel principal a la hora de garantizar su viabilidad, y están sujetas a un régimen reglamentario ligero y adaptado.

Otras orientaciones aclararán cómo se aplica la ACC al software libre y de código abierto.

¿Cuáles son las principales obligaciones?  

Cuando un fabricante introduce en el mercado un producto con elementos digitales que es un software libre y de código abierto, está sujeto a las obligaciones de los fabricantes.

Cuando una persona jurídica no las introduzca en el mercado, sino que preste apoyo sistemático y sostenido para el desarrollo de productos específicos con elementos digitales, calificados como programas informáticos libres y de código abierto y destinados a actividades comerciales, y garantice la viabilidad de dichos productos, estará sujeta a las obligaciones de los administradores de programas informáticos de código abierto.

Los administradores de programas informáticos de código abierto están sujetos a las obligaciones establecidas en el artículo 24, en particular la puesta en marcha de una política de ciberseguridad para fomentar el desarrollo y la gestión seguros de las vulnerabilidades; cooperar con las autoridades de vigilancia del mercado; la notificación de vulnerabilidades explotadas activamente y de incidentes graves que repercutan en la seguridad de los productos con elementos digitales.  De conformidad con el artículo 64, apartado 10, los administradores de programas informáticos de código abierto no están sujetos a multas administrativas por infracciones de la ACC.

Organismos de cooperación pertinentes

Los representantes del software libre y de código abierto son miembros del Grupo de Expertos en Ciberseguridad de Productos con Elementos Digitales (Grupo de Expertos CRA).

Documentos de referencia y enlaces

Preguntas frecuentes sobre la aplicación de las ACC

Recursos en la comunidad de código abierto para apoyar la implementación de CRA

Las comunidades de código abierto han desarrollado una gama de recursos de libre acceso en la CRA. Una lista no exhaustiva incluye:

• El Grupo de Trabajo de Cumplimiento Normativo Abierto (Grupo de Trabajo ORC) sobre la ACC
• La iniciativa de código abierto trabaja en normas armonizadas
• El curso OpenSSF sobre la CRA

La Comisión no es responsable de la exactitud de la información proporcionada en los enlaces a continuación; se le invita a ponerse en contacto si desea enumerar iniciativas o recursos en la agencia de calificación crediticia.