Akt w sprawie cyberodporności ma szczególne podejście do wolnego i otwartego oprogramowania ze względu na jego kluczową rolę w zapewnianiu cyberbezpieczeństwa produktów z elementami cyfrowymi oraz jego wkład w gospodarkę Unii Europejskiej.
W jaki sposób agencja ratingowa zajmuje się wolnym i otwartym oprogramowaniem?
Agencja uznaje, że aby wspierać rozwój i wdrażanie wolnego i otwartego oprogramowania, należy zwrócić szczególną uwagę na charakter różnych modeli rozwoju oprogramowania rozpowszechnianego i opracowywanego na podstawie licencji na wolne i otwarte oprogramowanie.
Dlatego też zakresem stosowania aktu w sprawie cyberodporności objęte jest wyłącznie bezpłatne i otwarte oprogramowanie udostępniane na rynku, a zatem dostarczane w celu dystrybucji lub wykorzystania w ramach działalności handlowej. W szczególności dostarczania produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie, których producenci nie spieniężają, nie należy uznawać za działalność handlową. Ponadto CRA nie ma zastosowania do programistów, którzy wnoszą kod źródłowy do wolnego i otwartego oprogramowania, za które nie ponoszą odpowiedzialności.
Ponadto, uznając znaczenie dla cyberbezpieczeństwa wielu produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie, które są publikowane, ale nie są udostępniane na rynku w rozumieniu rozporządzenia w sprawie agencji ratingowych, wprowadza się nową kategorię prawną zarządców otwartego oprogramowania. Są to osoby prawne, które udzielają stałego wsparcia na rzecz rozwoju takich produktów, które są przeznaczone do działalności handlowej i które odgrywają główną rolę w zapewnianiu ich rentowności oraz podlegają łagodnemu i dostosowanemu do potrzeb systemowi regulacyjnemu.
Dalsze wytyczne wyjaśnią, w jaki sposób agencja ratingowa stosuje się do wolnego i otwartego oprogramowania.
Jakie są główne obowiązki?
W przypadku gdy producent wprowadza do obrotu produkt z elementami cyfrowymi będący wolnym i otwartym oprogramowaniem, podlega on obowiązkom producentów.
W przypadku gdy osoba prawna nie wprowadza ich do obrotu, ale zapewnia systematyczne i trwałe wsparcie na rzecz opracowywania konkretnych produktów z elementami cyfrowymi, kwalifikujących się jako wolne i otwarte oprogramowanie i przeznaczonych do działalności handlowej, oraz zapewnia rentowność tych produktów, podlega obowiązkom zarządców otwartego oprogramowania.
zarządcy otwartego oprogramowania podlegają obowiązkom określonym w art. 24, w szczególności wprowadzaniu polityki cyberbezpieczeństwa w celu wspierania bezpiecznego rozwoju podatności i postępowania z nimi; współpraca z organami nadzoru rynku; zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów mających wpływ na bezpieczeństwo produktów z elementami cyfrowymi. Zgodnie z art. 64 ust. 10 zarządcy otwartego oprogramowania nie podlegają administracyjnym karom pieniężnym za naruszenia przepisów agencji ratingowej.
Odpowiednie organy współpracy
Przedstawiciele wolnego i otwartego oprogramowania są członkami grupy ekspertów ds. cyberbezpieczeństwa produktów z elementami cyfrowymi (grupa ekspertów ds. cyberbezpieczeństwa).
Dokumenty referencyjne i linki
Często zadawane pytania dotyczące wdrażania agencji ratingowych
Zasoby w społeczności otwartego oprogramowania w celu wsparcia wdrażania agencji ratingowych
Społeczności o otwartym kodzie źródłowym opracowały szereg ogólnodostępnych zasobów dotyczących agencji ratingowych. Niewyczerpujący wykaz obejmuje:
- Otwarta grupa robocza ds. zgodności regulacyjnej (ORC WG) ds. agencji ratingowych
- Inicjatywa Open Source pracuje nad zharmonizowanymi normami
- Kurs OpenSSF na CRA
Komisja nie ponosi odpowiedzialności za dokładność informacji podanych w poniższych linkach; Zachęcamy do skontaktowania się z nami, jeśli chcą Państwo wymienić inicjatywy lub zasoby w agencji ratingowej.
Podobne tematy
W szerszej perspektywie