O Regulamento Ciber-Resiliência tem uma abordagem especial em relação ao software livre e de fonte aberta, dado o seu papel central na garantia da cibersegurança dos produtos com elementos digitais e os seus contributos para a economia da União Europeia.
Como a CRA aborda o software livre e de código aberto?
A ANR reconhece que, para promover o desenvolvimento e a implantação de software livre e de código-fonte aberto, deve ser dada especial atenção à natureza dos diferentes modelos de desenvolvimento de software distribuído e desenvolvido ao abrigo de licenças de software livre e de código-fonte aberto.
É por esta razão que apenas o software livre e de fonte aberta disponibilizado no mercado e, por conseguinte, fornecido para distribuição ou utilização no âmbito de uma atividade comercial, é abrangido pelo âmbito de aplicação do Regulamento Ciber-Resiliência. Nomeadamente, o fornecimento de produtos com elementos digitais considerados software livre e de código-fonte aberto que não sejam monetizados pelos seus fabricantes não deve ser considerado uma atividade comercial. Além disso, a CRA não se aplica a desenvolvedores que contribuem com código-fonte para software livre e de código aberto que não estão sob sua responsabilidade.
Além disso, reconhecendo a importância para a cibersegurança de muitos produtos com elementos digitais qualificados como software livre e de código-fonte aberto que são publicados, mas não disponibilizados no mercado na aceção da ANR, é introduzida a nova categoria jurídica de administradores de software de código-fonte aberto. Trata-se de pessoas coletivas que prestam apoio de forma sustentada ao desenvolvimento de tais produtos destinados a atividades comerciais, que desempenham um papel fundamental na garantia da sua viabilidade e estão sujeitas a um regime regulamentar flexível e adaptado.
Outras orientações clarificarão a forma como a ANR se aplica ao software livre e de código aberto.
Quais são as principais obrigações?
Sempre que um fabricante coloque no mercado um produto com elementos digitais que seja um software livre e de código-fonte aberto, está sujeito às obrigações dos fabricantes.
Quando uma pessoa coletiva não os coloca no mercado, mas presta apoio sistemático e sustentado ao desenvolvimento de produtos específicos com elementos digitais, qualificados como software livre e de código-fonte aberto e destinados a atividades comerciais, e assegura a viabilidade desses produtos, está sujeita às obrigações dos administradores de software de código-fonte aberto.
Os administradores de software de código-fonte aberto estão sujeitos às obrigações estabelecidas no artigo 24.o, nomeadamente a aplicação de uma política de cibersegurança para promover o desenvolvimento e o tratamento seguros de vulnerabilidades; Cooperar com as autoridades de fiscalização do mercado; comunicar vulnerabilidades ativamente exploradas e incidentes graves com impacto na segurança dos produtos com elementos digitais. Em conformidade com o artigo 64.o, n.o 10, os administradores de software de código aberto não estão sujeitos a coimas por infrações às ANR.
Organismos de cooperação pertinentes
Os representantes de software livre e de código-fonte aberto são membros do Grupo de Peritos sobre a Cibersegurança dos Produtos com Elementos Digitais (Grupo de Peritos sobre a Cibersegurança dos Produtos com Elementos Digitais).
Documentos de referência e ligações
Perguntas mais frequentes sobre a aplicação das ANR
Recursos na comunidade de fonte aberta para apoiar a implementação das ANR
As comunidades de fonte aberta desenvolveram uma série de recursos livremente acessíveis no CRA. Uma lista não exaustiva inclui:
- Grupo de Trabalho para a Conformidade Regulamentar Aberta sobre as ANR
- Trabalhos da Iniciativa Fonte Aberta sobre normas harmonizadas
- O curso OpenSSF sobre a CRA
A Comissão não é responsável pela exatidão das informações fornecidas nas ligações infra; é convidado a entrar em contacto se pretender enumerar iniciativas ou recursos na ANR.
Conteúdo relacionado
Visão geral