A kiberrezilienciáról szóló jogszabály – nyílt forráskód

Hogyan kezeli a hitelminősítő intézet az ingyenes és nyílt forráskódú szoftvereket?

A hitelminősítő intézet elismeri, hogy a szabad és nyílt forráskódú szoftverek fejlesztésének és telepítésének előmozdítása érdekében különös figyelmet kell fordítani a szabad és nyílt forráskódú szoftverlicencek alapján terjesztett és fejlesztett szoftverek különböző fejlesztési modelljeinek jellegére.  

Ez az oka annak, hogy a kiberrezilienciáról szóló jogszabály hatálya alá csak olyan szabad és nyílt forráskódú szoftverek tartoznak, amelyeket a piacon forgalmaznak, és ezért kereskedelmi tevékenység keretében történő forgalmazás vagy használat céljára bocsátanak rendelkezésre. Nevezetesen a szabad és nyílt forráskódú szoftvernek minősülő, digitális elemeket tartalmazó olyan termékek rendelkezésre bocsátása, amelyeket gyártóik nem monetizálnak, nem tekinthető kereskedelmi tevékenységnek. Ezenkívül a hitelminősítő intézet nem vonatkozik azokra a fejlesztőkre, akik forráskóddal járulnak hozzá olyan szabad és nyílt forráskódú szoftverekhez, amelyek nem tartoznak felelősségi körükbe.

Továbbá elismerve számos olyan, digitális elemeket tartalmazó termék kiberbiztonsági jelentőségét, amelyek a hitelminősítő intézet értelmében szabad és nyílt forráskódú szoftvernek minősülnek, de amelyeket nem forgalmaznak a piacon, bevezetésre kerül a nyílt forráskódú szoftverek kezelőinek új jogi kategóriája. Ezek olyan jogi személyek, amelyek tartós támogatást nyújtanak a kereskedelmi tevékenységekre szánt ilyen termékek fejlesztéséhez, és amelyek fő szerepet játszanak életképességük biztosításában, és amelyekre könnyű és testre szabott szabályozási rendszer vonatkozik.

További iránymutatás fogja tisztázni, hogy a hitelminősítő intézet hogyan alkalmazandó az ingyenes és nyílt forráskódú szoftverekre.

Melyek a fő kötelezettségek?  

Amennyiben a gyártó olyan, digitális elemeket tartalmazó terméket hoz forgalomba, amely szabad és nyílt forráskódú szoftver, a gyártók kötelezettségei vonatkoznak rá.

Amennyiben egy jogi személy nem hozza őket forgalomba, de rendszeres és tartós támogatást nyújt a kereskedelmi tevékenységekre szánt, szabad és nyílt forráskódú szoftvernek minősülő, digitális elemeket tartalmazó konkrét termékek fejlesztéséhez, és biztosítja e termékek életképességét, a nyílt forráskódú szoftverek kezelőinek kötelezettségei vonatkoznak rá.

A nyílt forráskódú szoftverek kezelőire a 24. cikkben meghatározott kötelezettségek vonatkoznak, nevezetesen a sebezhetőségek biztonságos fejlesztésének és kezelésének előmozdítását célzó kiberbiztonsági politika bevezetése; együttműködés a piacfelügyeleti hatóságokkal; a digitális elemeket tartalmazó termékek biztonságára hatást gyakorló, aktívan kihasznált sebezhetőségek és súlyos biztonsági események bejelentése.  A 64. cikk (10) bekezdésével összhangban a nyílt forráskódú szoftverek kezelőire nem szabnak ki közigazgatási bírságot a hitelminősítő intézet megsértése miatt.

Érintett együttműködési szervek

A szabad és nyílt forráskódú szoftverek képviselői a digitális elemeket tartalmazó termékek kiberbiztonságával foglalkozó szakértői csoport (CRA szakértői csoport) tagjai.

Referenciadokumentumok és linkek

Gyakori kérdések a hitelminősítő intézetekről szóló irányelv végrehajtásáról

Erőforrások a nyílt forráskódú közösségben a hitelminősítő intézetek végrehajtásának támogatására

A nyílt forráskódú közösségek számos szabadon hozzáférhető forrást fejlesztettek ki a hitelminősítő intézetekről. A teljesség igénye nélkül összeállított lista a következőket tartalmazza:

• A hitelminősítő intézetekkel foglalkozó nyílt szabályozási megfelelési munkacsoport (ORC WG)
• A nyílt forráskódú kezdeményezés harmonizált szabványokon dolgozik
• Az OpenSSF tanfolyam a CRA-ról

A Bizottság nem felelős az alábbi linkeken megadott információk pontosságáért; Kérjük, vegye fel velünk a kapcsolatot, ha kezdeményezéseket vagy forrásokat kíván felsorolni a hitelminősítő intézetben.