Cyberresiliensakten har en särskild strategi för fri programvara med öppen källkod, med tanke på dess centrala roll när det gäller att säkerställa cybersäkerheten för produkter med digitala element och dess bidrag till Europeiska unionens ekonomi.
Hur hanterar kreditvärderingsinstitutet fri programvara med öppen källkod?
För att främja utvecklingen och spridningen av fri programvara med öppen källkod bör särskild uppmärksamhet ägnas åt karaktären hos de olika utvecklingsmodellerna för programvara som distribueras och utvecklas inom ramen för licenser för fri programvara med öppen källkod.
Därför omfattas endast fri programvara med öppen källkod som tillhandahålls på marknaden och därför tillhandahålls för distribution eller användning i samband med kommersiell verksamhet av cyberresiliensakten. Framför allt bör tillhandahållande av produkter med digitala element som klassificeras som fri programvara med öppen källkod som inte monetariseras av tillverkarna inte betraktas som kommersiell verksamhet. Dessutom är kreditvärderingsinstitutet inte tillämpligt på utvecklare som bidrar med källkod till fri programvara med öppen källkod som de inte ansvarar för.
Med tanke på vikten av cybersäkerhet för många produkter med digitala element som klassificeras som fri programvara med öppen källkod och som offentliggörs men inte tillhandahålls på marknaden i den mening som avses i kreditvärderingsinstitutet införs dessutom den nya rättsliga kategorin förvaltare av programvara med öppen källkod. Det rör sig om juridiska personer som varaktigt stöder utvecklingen av sådana produkter som är avsedda för kommersiell verksamhet och som spelar en viktig roll för att säkerställa deras bärkraft och omfattas av ett lättrörligt och skräddarsytt regelverk.
Ytterligare vägledning kommer att klargöra hur kreditvärderingsinstitutet ska tillämpa fri programvara med öppen källkod.
Vilka är de viktigaste skyldigheterna?
Om en tillverkare släpper ut en produkt med digitala element som är en fri programvara med öppen källkod på marknaden omfattas den av tillverkarnas skyldigheter.
Om en juridisk person inte släpper ut dem på marknaden utan på ett varaktigt sätt tillhandahåller systematiskt stöd för utvecklingen av specifika produkter med digitala element som klassificeras som fri programvara med öppen källkod och är avsedda för kommersiell verksamhet, och säkerställer dessa produkters bärkraft, omfattas den av skyldigheterna för förvaltare av programvara med öppen källkod.
Förvaltare av programvara med öppen källkod omfattas av de skyldigheter som fastställs i artikel 24, särskilt införandet av en cybersäkerhetspolicy för att främja säker utveckling och hantering av sårbarheter. Samarbeta med marknadskontrollmyndigheterna. rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter som påverkar säkerheten för produkter med digitala element. I enlighet med artikel 64.10 är förvaltare av programvara med öppen källkod inte föremål för administrativa sanktionsavgifter för överträdelser av kreditvärderingsinstitutet.
Relevanta samarbetsorgan
Företrädare för fri programvara med öppen källkod är medlemmar i expertgruppen för cybersäkerhet för produkter med digitala element (CRA-expertgruppen).
Referensdokument och länkar
Vanliga frågor om genomförandet av kreditvärderingsinstitut
Resurser i öppen källkod för att stödja genomförandet av kreditvärderingsinstitut
Grupper med öppen källkod har utvecklat en rad fritt tillgängliga resurser på kreditvärderingsinstitutet. En icke uttömmande förteckning omfattar följande:
- Den öppna arbetsgruppen för regelefterlevnad om kreditvärderingsinstitut
- Initiativet för öppen källkod arbetar med harmoniserade standarder
- OpenSSF-kursen på CRA
Kommissionen ansvarar inte för att informationen i länkarna nedan är korrekt. Du är välkommen att kontakta oss om du vill förteckna initiativ eller resurser om kreditvärderingsinstitutet.
Läs mer
Översikt