Kommentarer på Cyber Resilience act
-
I höstas kom det från EU-kommissionen ett förslag till förordning om krav på cybersäkerhet för att säkerställa säkrare hård- och mjukvaruprodukter, den s k. Cyber Resilience Act.
I detta förslag till förordning finns vissa formuleringar som kan vara problematiska. Se följande länk med kommentarer från olika organisationer. https://blog.opensource.org/the-ultimate-list-of-reactions-to-the-cyber-resilience-act/
Open Source licenser förbjuder normalt inte kommersiell användning, men det är just kommersiell användning som används som skiljelinje i förordningen.
Community Manager NOSAD - Network Open source and data
-
Det klurigaste är nog främst att det är luddigare i projekt med öppen källkod vad som är kommersiellt. Till exempel: om någon som utvecklar en mjukvara helt ideellt tar emot en merge request från en konsult som utvecklat en funktionalitet åt en betalande kund, blir då den ursprungliga maintainern då helt plötsligt skyldig att behöva genomgå en kostsam granskningsprocess? Det finns många andra sådana liknande fall i gråzonen.
Detta skulle kunna lösas genom att istället för att undanta icke-kommersiell öppen källkod ställa kravet om granskning på betald implementering av öppen källkod. Då skulle till exempel alla ideella, och offentliga, utvecklare kunna fortsätta som vanligt, men om ett företag vill tjäna pengar på detta och sälja installationer som en service, vilket ju licensen tillåter, så får den som säljer se till att det blir granskat och godkänt.
Codebase Steward, Foundation for Public Code, medförfattare till Standard for Public Code
-
@Ainali funderar på hur detta drabbar de företag som säljer open source as a service för att underlätta själva affären. Skulle detta kunna leda färre affärer? Att det blir svårare att upphandla open source? Å andra sidan så kommer ju leverantören kunna erbjuda en SBOM som tilläggstjänst? Att SBOM ingår i Statement of work (lite förenklat).
Community Manager NOSAD - Network Open source and data
-
@Maria_Dalhage Det är ju mycket svårt att spekulera om och blir ju såklart beroende av den exakta slutgiltiga ordalydelsen. Tittar man i slutet på akten från kommissionen så verkar de ju dock väldigt hoppfulla i sin bedömning av aktens påverkan:
For businesses, it would prevent divergent security rules for products with digital elements and decrease compliance costs for related cybersecurity legislation. It would reduce the number of cyber incidents, incident handling costs and reputational damage.
och
It would lead to an increased turnover due to uptake of products with digital elements demand. It would improve the companies’ global reputation leading to a demand uptake also outside the EU.
som "motvägs" av:
At the same time, the proposal would add compliance and enforcement costs for businesses, notified bodies and public authorities, including accreditation and market surveillance authorities. For software developers and hardware manufacturers, it will add direct compliance costs for new security requirements, conformity assessment, documentation and reporting obligations, leading to aggregated compliance costs amounting to up to roughly EUR 29 billion for an estimated market value of EUR 1485 billion in turnover. Users, including business users, consumers and citizens may face higher prices of products with digital elements. However, they should be seen against the background of the significant benefits as described above.
