Il regolamento sulla ciberresilienza ha un approccio speciale al software libero e open source, dato il suo ruolo centrale nel garantire la cibersicurezza dei prodotti con elementi digitali e il suo contributo all'economia dell'Unione europea.
In che modo la CRA affronta il software libero e open source?
L'agenzia di rating del credito riconosce che, per promuovere lo sviluppo e la diffusione di software libero e open source, occorre prestare particolare attenzione alla natura dei diversi modelli di sviluppo di software distribuiti e sviluppati con licenze di software libero e open source.
Questo è il motivo per cui solo il software libero e open source messo a disposizione sul mercato e quindi fornito per la distribuzione o l'uso nel corso di un'attività commerciale rientra nell'ambito di applicazione della legge sulla ciberresilienza. In particolare, la fornitura di prodotti con elementi digitali che si qualificano come software libero e open source che non sono monetizzati dai loro fabbricanti non dovrebbe essere considerata un'attività commerciale. Inoltre, la CRA non si applica agli sviluppatori che contribuiscono con il codice sorgente a software libero e open source che non sono sotto la loro responsabilità.
Inoltre, riconoscendo l'importanza per la cibersicurezza di molti prodotti con elementi digitali che si qualificano come software libero e open source che sono pubblicati, ma non messi a disposizione sul mercato ai sensi della CRA, viene introdotta la nuova categoria giuridica degli amministratori di software open source. Si tratta di persone giuridiche che forniscono un sostegno costante allo sviluppo di tali prodotti destinati ad attività commerciali e che svolgono un ruolo principale nel garantirne la redditività, e sono soggette a un regime normativo leggero e su misura.
Ulteriori orientamenti chiariranno in che modo la CRA si applica al software libero e open source.
Quali sono i principali obblighi?
Se un fabbricante immette sul mercato un prodotto con elementi digitali che è un software libero e open source, è soggetto agli obblighi dei fabbricanti.
Se una persona giuridica non li immette sul mercato, ma fornisce un sostegno sistematico su base continuativa per lo sviluppo di prodotti specifici con elementi digitali, qualificati come software libero e open source e destinati ad attività commerciali, e garantisce la redditività di tali prodotti, essa è soggetta agli obblighi degli amministratori di software open source.
Gli amministratori di software open source sono soggetti agli obblighi di cui all'articolo 24, in particolare mettendo in atto una politica di cibersicurezza per promuovere lo sviluppo e la gestione sicuri delle vulnerabilità; cooperare con le autorità di vigilanza del mercato; segnalare vulnerabilità attivamente sfruttate e incidenti gravi che hanno un impatto sulla sicurezza dei prodotti con elementi digitali. A norma dell'articolo 64, paragrafo 10, gli amministratori di software open source non sono soggetti a sanzioni amministrative pecuniarie per le violazioni delle CRA.
Organismi di cooperazione pertinenti
I rappresentanti del software libero e open source sono membri del gruppo di esperti sulla cibersicurezza dei prodotti con elementi digitali (gruppo di esperti CRA).
Documenti di riferimento e link
Domande frequenti sull'attuazione delle agenzie di rating del credito
Risorse nella comunità open source per sostenere l'attuazione delle agenzie di rating del credito
Le comunità open source hanno sviluppato una serie di risorse liberamente accessibili sulla CRA. Un elenco non esaustivo comprende:
- Il gruppo di lavoro aperto sulla conformità normativa (ORC WG) sulle agenzie di rating del credito
- L'iniziativa Open Source lavora su norme armonizzate
- Il corso OpenSSF sulla CRA
La Commissione non è responsabile dell'esattezza delle informazioni fornite nei link seguenti; si è invitati a mettersi in contatto se si desidera elencare iniziative o risorse nell'agenzia di rating del credito.
Contenuti correlati
Quadro generale