Community på Sveriges dataportal
Kommentarer på Cyber Resilience act
-
I höstas kom det från EU-kommissionen ett förslag till förordning om krav på cybersäkerhet för att säkerställa säkrare hård- och mjukvaruprodukter, den s k. Cyber Resilience Act.
I detta förslag till förordning finns vissa formuleringar som kan vara problematiska. Se följande länk med kommentarer från olika organisationer. https://blog.opensource.org/the-ultimate-list-of-reactions-to-the-cyber-resilience-act/
Open Source licenser förbjuder normalt inte kommersiell användning, men det är just kommersiell användning som används som skiljelinje i förordningen.
-
Det klurigaste är nog främst att det är luddigare i projekt med öppen källkod vad som är kommersiellt. Till exempel: om någon som utvecklar en mjukvara helt ideellt tar emot en merge request från en konsult som utvecklat en funktionalitet åt en betalande kund, blir då den ursprungliga maintainern då helt plötsligt skyldig att behöva genomgå en kostsam granskningsprocess? Det finns många andra sådana liknande fall i gråzonen.
Detta skulle kunna lösas genom att istället för att undanta icke-kommersiell öppen källkod ställa kravet om granskning på betald implementering av öppen källkod. Då skulle till exempel alla ideella, och offentliga, utvecklare kunna fortsätta som vanligt, men om ett företag vill tjäna pengar på detta och sälja installationer som en service, vilket ju licensen tillåter, så får den som säljer se till att det blir granskat och godkänt.
-
@Ainali funderar på hur detta drabbar de företag som säljer open source as a service för att underlätta själva affären. Skulle detta kunna leda färre affärer? Att det blir svårare att upphandla open source? Å andra sidan så kommer ju leverantören kunna erbjuda en SBOM som tilläggstjänst? Att SBOM ingår i Statement of work (lite förenklat).
-
@Maria_Dalhage Det är ju mycket svårt att spekulera om och blir ju såklart beroende av den exakta slutgiltiga ordalydelsen. Tittar man i slutet på akten från kommissionen så verkar de ju dock väldigt hoppfulla i sin bedömning av aktens påverkan:
For businesses, it would prevent divergent security rules for products with digital elements and decrease compliance costs for related cybersecurity legislation. It would reduce the number of cyber incidents, incident handling costs and reputational damage.
och
It would lead to an increased turnover due to uptake of products with digital elements demand. It would improve the companies’ global reputation leading to a demand uptake also outside the EU.
som "motvägs" av:
At the same time, the proposal would add compliance and enforcement costs for businesses, notified bodies and public authorities, including accreditation and market surveillance authorities. For software developers and hardware manufacturers, it will add direct compliance costs for new security requirements, conformity assessment, documentation and reporting obligations, leading to aggregated compliance costs amounting to up to roughly EUR 29 billion for an estimated market value of EUR 1485 billion in turnover. Users, including business users, consumers and citizens may face higher prices of products with digital elements. However, they should be seen against the background of the significant benefits as described above.
-
Det har gått ett tag sedan denna tråd skapades och sedan dess har CRA-förslaget till viss del omarbetats och omformulerats. Se länk.
Delar nu ett uttalande (8 augusti 2023) från Open Source Business Alliance om Cyber Resilience Act (CRA).
Uttalandet stödjer målen med CRA men uttrycker farhågor om hur lagen påverkar öppen källkodsprogramvara.
Open Source Business Alliance betonar öppen källkodsprogramvarans roll för innovation, konkurrens och digital suveränitet.
De oroar sig över att CRA, som verkar vara utformad för proprietär mjukvara, kanske inte passar öppen källkodens utvecklings- och distributionsmodeller väl.
Uttalandet föreslår förbättringar för att skydda öppen källkodsekosystemet, inklusive tydligare definitioner för kommersiella aktiviteter och rollerna i öppen källkodsprojekt. De varnar för överreglering och rättslig osäkerhet som kan skada öppen källkodsindustrin.
OSB Alliance uppmanar den tyska regeringen att säkerställa att CRA inte skadar öppen källkodsprojekt och erbjuder sin expertis för diskussion och samråd.
