De verordening cyberweerbaarheid heeft een speciale benadering van vrije en opensourcesoftware, gezien de centrale rol ervan bij het waarborgen van de cyberbeveiliging van producten met digitale elementen en de bijdragen ervan aan de economie van de Europese Unie.
Hoe pakt het CRA vrije en opensourcesoftware aan?
Het CRA erkent dat, om de ontwikkeling en uitrol van vrije en opensourcesoftware te bevorderen, bijzondere aandacht moet worden besteed aan de aard van de verschillende ontwikkelingsmodellen van software die onder vrije en opensourcesoftwarelicenties wordt gedistribueerd en ontwikkeld.
Daarom valt alleen vrije en opensourcesoftware die op de markt wordt aangeboden en daarom wordt geleverd voor distributie of gebruik in het kader van een commerciële activiteit, onder het toepassingsgebied van de verordening cyberweerbaarheid. Met name de levering van producten met digitale elementen die als vrije en opensourcesoftware kunnen worden aangemerkt en die niet door de fabrikanten ervan te gelde worden gemaakt, mag niet als een commerciële activiteit worden beschouwd. Bovendien is het CRA niet van toepassing op ontwikkelaars die met broncode bijdragen aan gratis en opensourcesoftware die niet onder hun verantwoordelijkheid vallen.
Voorts wordt de nieuwe juridische categorie van opensourcesoftwarestewards geïntroduceerd, die het belang voor de cyberbeveiliging erkent van veel producten met digitale elementen die kwalificeren als vrije en opensourcesoftware die worden gepubliceerd, maar niet op de markt worden aangeboden in de zin van het ratingbureau. Dit zijn rechtspersonen die op duurzame basis steun verlenen voor de ontwikkeling van dergelijke producten die bestemd zijn voor commerciële activiteiten, die een belangrijke rol spelen bij het waarborgen van hun levensvatbaarheid, en die onderworpen zijn aan een lichte en op maat gesneden regelgeving.
Verdere richtsnoeren zullen verduidelijken hoe het ratingbureau van toepassing is op vrije en opensourcesoftware.
Wat zijn de belangrijkste verplichtingen?
Wanneer een fabrikant een product met digitale elementen in de handel brengt dat vrije en opensourcesoftware is, is het onderworpen aan de verplichtingen van fabrikanten.
Wanneer een rechtspersoon deze niet in de handel brengt, maar systematisch en op duurzame basis steun verleent voor de ontwikkeling van specifieke producten met digitale elementen die als vrije en opensourcesoftware kunnen worden aangemerkt en bestemd zijn voor commerciële activiteiten, en de levensvatbaarheid van die producten waarborgt, is hij onderworpen aan de verplichtingen van opensourcesoftwarestewards.
Opensourcesoftwarestewards zijn onderworpen aan de verplichtingen van artikel 24, met name de invoering van een cyberbeveiligingsbeleid om de veilige ontwikkeling en behandeling van kwetsbaarheden te bevorderen; samenwerken met markttoezichtautoriteiten; actief misbruikte kwetsbaarheden en ernstige incidenten melden die gevolgen hebben voor de veiligheid van producten met digitale elementen. Overeenkomstig artikel 64, lid 10, zijn opensourcesoftwarestewards niet onderworpen aan administratieve geldboeten voor inbreuken op het ratingbureau.
Relevante samenwerkingsorganen
Vertegenwoordigers van vrije en opensourcesoftware zijn lid van de deskundigengroep inzake de cyberbeveiliging van producten met digitale elementen (CRA-deskundigengroep).
Referentiedocumenten en links
Veelgestelde vragen over de uitvoering van het ratingbureau
Middelen in de opensourcegemeenschap ter ondersteuning van de uitvoering van ratingbureaus
Opensourcegemeenschappen hebben een reeks vrij toegankelijke bronnen op het CRA ontwikkeld. Een niet-uitputtende lijst omvat:
- De Open Regulatory Compliance Working Group (ORC WG) over het ratingbureau
- Het Open Source Initiative werkt aan geharmoniseerde normen
- De OpenSSF cursus over het CRA
De Commissie is niet verantwoordelijk voor de juistheid van de in de onderstaande links verstrekte informatie; u wordt verzocht contact op te nemen als u initiatieven of middelen op het CRA wilt vermelden.
Gerelateerde inhoud
Grote afbeelding