Unia coraz bliżej zaostrzenia przepisów bezpieczeństwa w sieci
Open source objęto wyjątkiem.
Parlament i Rada Unii Europejskiej doszły do porozumienia w sprawia ustawy Cyber Resilience Act (CRA), która - po wejściu w życie - znacząco zaostrzy bezpieczeństwo w sieci. Przynajmniej w teorii.
Propozycję w tej sprawie złożono w Komisji Europejskiej już we wrześniu 2022 roku, planując nałożenie ścisłych obostrzeń na wszystkich producentów sprzętu i oprogramowania mającego cokolwiek wspólnego z internetem. Od elektronicznych nianiek do routerów - jak wtedy opisywano.
Wśród szykowanych zasad jest między innymi limit 24 godzin na ujawnianie aktywnie wykorzystywanych luk bezpieczeństwa, pięć lat obowiązkowego wsparcie zakresie aktualizacji odpowiadających za bezpieczeństwo i konieczność skrupulatnego dokumentowania wszystkich funkcji związanych z tym aspektem.
Zaraz po ogłoszeniu we wrześniu podnoszono głosy, że takie obostrzenia „zabiją” ruch open source w Unii Europejskiej, ponieważ projekty tego typu rozwijane i obsługiwane są często „po godzinach” przez wolontariuszów. Planowane kary są natomiast dotkliwe: 36 miesięcy na wdrożenie nowych wymagań, albo zapłata 15 milionów euro lub 2,5 procent rocznych przychodów.
Komisja ostatecznie wsłuchała się w głosy krytykujących i wprowadziła odpowiednie poprawki, by do „rewolucji” w open source jednak nie doszło. Darmowe i otwarte oprogramowanie „dostarczane poza aktywnością komercyjną nie powinno być objęte” przepisami - doprecyzowano.
„Tylko wspólnymi siłami będziemy w stanie skutecznie stawić czoła zagrożeniom cyberbezpieczeństwa, które czekają nas w nadchodzących latach” - zapewnia Nicola Danti, europoseł z Włoch i jeden z autorów ustawy.
Następnym krokiem będzie zaakceptowanie regulacji zarówno przez Parlament, jak i Radę. Wygląda więc na to, że na większe bezpieczeństwo w europejskim internecie musimy jeszcze poczekać.