Kyberresilienssisäädös – Avoin lähdekoodi

Miten CRA käsittelee vapaita ja avoimen lähdekoodin ohjelmistoja?

Luottoluokituslaitos toteaa, että vapaiden ja avoimen lähdekoodin ohjelmistojen kehittämisen ja käyttöönoton edistämiseksi olisi kiinnitettävä erityistä huomiota vapaiden ja avoimen lähdekoodin ohjelmistolisensseillä jaettujen ja kehitettyjen ohjelmistojen erilaisten kehitysmallien luonteeseen.  

Tästä syystä kyberresilienssisäädöksen soveltamisalaan kuuluvat ainoastaan vapaat ja avoimen lähdekoodin ohjelmistot, jotka asetetaan saataville markkinoilla ja toimitetaan sen vuoksi jakelua tai käyttöä varten kaupallisen toiminnan yhteydessä. Erityisesti sellaisten digitaalisia elementtejä sisältävien tuotteiden tarjoamista, jotka katsotaan vapaiksi ja avoimen lähdekoodin ohjelmistoiksi ja joita niiden valmistajat eivät ole kaupallistaneet, ei pitäisi katsoa kaupalliseksi toiminnaksi. Luottoluokituslaitos ei myöskään koske kehittäjiä, jotka osallistuvat lähdekoodilla vapaisiin ja avoimen lähdekoodin ohjelmistoihin, jotka eivät ole heidän vastuullaan.

Lisäksi otetaan käyttöön avoimen lähdekoodin ohjelmistojen hoitajien uusi oikeudellinen luokka, jossa tunnustetaan monien sellaisten digitaalisia elementtejä sisältävien tuotteiden merkitys kyberturvallisuudelle, jotka katsotaan vapaiksi ja avoimen lähdekoodin ohjelmistoiksi ja jotka julkaistaan mutta joita ei aseteta saataville markkinoilla luottoluokituslaitoksessa tarkoitetulla tavalla. Nämä ovat oikeushenkilöitä, jotka tukevat pysyvästi tällaisten kaupalliseen toimintaan tarkoitettujen tuotteiden kehittämistä ja joilla on keskeinen rooli niiden elinkelpoisuuden varmistamisessa ja joihin sovelletaan kevyttä ja räätälöityä sääntelyjärjestelmää.

Lisäohjeissa selvennetään, miten luottoluokituslaitos soveltaa vapaita ja avoimen lähdekoodin ohjelmistoja.

Mitkä ovat tärkeimmät velvoitteet?  

Jos valmistaja saattaa markkinoille digitaalisia elementtejä sisältävän tuotteen, joka on vapaan ja avoimen lähdekoodin ohjelmisto, siihen sovelletaan valmistajien velvoitteita.

Jos oikeushenkilö ei saata niitä markkinoille vaan tukee järjestelmällisesti ja pysyvästi sellaisten tiettyjen digitaalisia elementtejä sisältävien tuotteiden kehittämistä, jotka katsotaan vapaiksi ja avoimen lähdekoodin ohjelmistoiksi ja jotka on tarkoitettu kaupalliseen toimintaan, ja varmistaa kyseisten tuotteiden elinkelpoisuuden, siihen sovelletaan avoimen lähdekoodin ohjelmistojen hoitajien velvoitteita.

Avoimen lähdekoodin ohjelmistojen hoitajiin sovelletaan 24 artiklassa säädettyjä velvoitteita, erityisesti kyberturvallisuuspolitiikan käyttöönottoa haavoittuvuuksien turvallisen kehittämisen ja käsittelyn edistämiseksi; yhteistyö markkinavalvontaviranomaisten kanssa; raportoida aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista poikkeamista, jotka vaikuttavat digitaalisia elementtejä sisältävien tuotteiden turvallisuuteen.  Asetuksen 64 artiklan 10 kohdan mukaan avoimen lähdekoodin ohjelmistotoimittajille ei määrätä hallinnollisia sakkoja luottoluokituslaitoksen rikkomisista.

Asiaankuuluvat yhteistyöelimet

Maksuttomien ja avoimen lähdekoodin ohjelmistojen edustajat ovat digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuutta käsittelevän asiantuntijaryhmän (CRA Expert Group) jäseniä.

Viiteasiakirjat ja linkit

Usein kysyttyjä kysymyksiä luottoluokituslaitoksen täytäntöönpanosta

Avoimen lähdekoodin yhteisön resurssit luottoluokituslaitosten täytäntöönpanon tukemiseksi

Avoimen lähdekoodin yhteisöt ovat kehittäneet luottoluokituslaitokselle erilaisia vapaasti käytettävissä olevia resursseja. Ei-tyhjentävä luettelo sisältää:

• Luottoluokituslaitoksia käsittelevä sääntelyn noudattamista käsittelevä avoin työryhmä (ORC WG)
• Avoimen lähdekoodin aloitteen yhdenmukaistettuja standardeja koskeva työ
• CRA:n OpenSSF-kurssi

Komissio ei vastaa jäljempänä olevissa linkeissä annettujen tietojen oikeellisuudesta. Teitä pyydetään ottamaan yhteyttä, jos haluatte luetella aloitteita tai resursseja luottoluokituslaitoksessa.