
En una carta a la UE, los organismos de código abierto dicen que la Ley de Resiliencia Cibernética podría tener un «efecto escalofriante» en el desarrollo de software
Más de una docena de organizaciones en la industria del código abierto han publicó una carta abierta pidiendo a la Comisión Europea (CE) que reconsidere ciertos aspectos de su propuesta Ley de Resiliencia Cibernética (CRA), alegando que tendrá un «efecto escalofriante» en el desarrollo de software de código abierto si se implementa en su forma actual.
Trece organizaciones, incluidas la Fundación Eclipse, la Fundación Linux Europa y la Iniciativa de código abierto (OSI), también señalan que la Ley de resiliencia cibernética, tal como está escrita, «presenta un riesgo económico y tecnológico innecesario para la UE».
El propósito de la carta, al parecer, es que la comunidad de código abierto tenga voz en la evolución del ARC a medida que avanza a través del EP.
La carta dice lo siguiente:
Escribimos para expresar nuestra preocupación de que la comunidad de código abierto en su conjunto ha estado subrepresentada en el desarrollo de la ley de resiliencia cibernética hasta la fecha, y deseamos asegurarnos de que esto se corrija a lo largo del proceso de colegislación brindando nuestro apoyo. El software de código abierto representa más del 70% del software presente en productos con elementos digitales en Europa. Sin embargo, nuestra comunidad no se beneficia de una relación establecida con los colegisladores.
El software y otros artefactos técnicos que producimos no tienen paralelo en su contribución a la industria de la tecnología y a nuestra soberanía digital y los beneficios económicos asociados en muchos niveles. Con la CRA, más del 70% del software en Europa está a punto de ser regulado sin una consulta en profundidad.
Pasos preliminares
Presentada por primera vez en forma de borrador en septiembre, la Ley de Resiliencia Cibernética busca codificar en leyes las mejores prácticas de ciberseguridad para los productos conectados que se venden en la Unión Europea. La legislación está diseñada para incentivar a los fabricantes de hardware y software conectados a Internet, por ejemplo, aquellos que fabrican juguetes conectados a Internet o refrigeradores «inteligentes», para garantizar que sus productos sean robustos y estén actualizados con las últimas actualizaciones de seguridad.
Las sanciones por incumplimiento pueden incluir multas de hasta 15 millones de euros, o el 2,5 % de la facturación total.
Si bien la Ley de resiliencia cibernética aún está en pañales y no se espera que se apruebe nada en el futuro inmediato, la legislación ya ha hecho saltar algunas alarmas en el mundo del código abierto. Es estimado que los componentes de código abierto representan entre el 70 y el 90 por ciento de la mayoría de los productos de software modernos, desde navegadores web hasta servidores, pero muchos proyectos de código abierto son desarrollados por individuos o pequeños equipos en su tiempo libre. Así, las intenciones de la CRA de extender la Marcado CE Un sistema de autocertificación de software, mediante el cual todos los desarrolladores de software tendrán que certificar que su software está en buenas condiciones, podría sofocar el desarrollo de código abierto por temor a contravenir la nueva legislación.
EL proyecto de ley tal como está, de hecho ayuda a abordar algunas de estas preocupaciones. Él dice (énfasis nuestro):
Para no obstaculizar la innovación o la investigación, El software libre y de código abierto desarrollado o proporcionado fuera del marco de una actividad comercial no debe ser cubiertos por el presente Reglamento. Este es particularmente el caso del software, incluido su código fuente y sus versiones modificadas, que se comparten abiertamente y son de libre acceso, utilizables, modificables y redistribuibles. En el contexto del software, una actividad comercial puede caracterizarse no solo por el cobro de un precio por un producto, sino también por el cobro de un precio por los servicios de soporte técnico, por la provisión de un formulario de software a través del cual el fabricante monetiza otros servicios, o por el uso de datos personales por motivos que no sean exclusivamente para mejorar la seguridad, compatibilidad o interoperabilidad del software.
Sin embargo, el lenguaje tal como es ha causado preocupación en el mundo del código abierto. Aunque el texto parece eximir de su ámbito de aplicación al software de fuente abierta no comercial, tratar de definir qué se entiende por “no comercial” no es una tarea sencilla. Como director de políticas de GitHub, Mike Linksvayer anotado en una publicación de blog el mes pasado, los desarrolladores «a menudo crean y mantienen código abierto en una variedad de configuraciones pagas y no pagas», que pueden incluir corporaciones, gobiernos, organizaciones sin fines de lucro, universidades, etc.
“Las organizaciones sin fines de lucro ofrecen servicios de consultoría pagados como soporte técnico para su software de código abierto”, escribió Linksvayer. «Y cada vez más, los desarrolladores reciben patrocinios, subvenciones y otras formas de apoyo financiero por sus esfuerzos. Estos matices requieren una exención diferente para el código abierto.
Entonces, realmente, todo se reduce al idioma, dejando en claro que los desarrolladores de software de código abierto no serán responsables de las fallas de seguridad de un producto posterior que utiliza un componente en particular.
«La Ley de Resiliencia Cibernética se puede mejorar centrándose en los productos finales», agregó Linksvayer. «Si el software de código abierto no se ofrece como un producto pagado o monetizado, debería estar exento».
«Efecto frio»
Un número creciente de regulaciones propuestas en Europa están causando preocupación en el panorama tecnológico, siendo el software de código abierto un tema recurrente. De hecho, los problemas en torno a ARC recuerdan un poco a los que enfrenta la próxima ley de IA de la UE, que tiene como objetivo gobernar las aplicaciones de IA en función de sus riesgos percibidos. El CEO de GitHub, Thomas Dohmke, opinó recientemente que los desarrolladores de software de código abierto deberían estar exentos del alcance de esta legislación cuando entre en vigor, ya que podría crear una gran responsabilidad legal para los sistemas de IA de propósito general (GPAI) y empoderar a grandes empresas bien financiadas. compañías. empresas de tecnología.
Cuando se trata de la Ley de resiliencia cibernética, el mensaje de la comunidad de software de código abierto es bastante claro: sienten que sus voces no se escuchan y, si no se realizan cambios en la legislación propuesta, podría tener un gran impacto a largo plazo.
“Nuestras voces y nuestra experiencia deben ser escuchadas y tener la oportunidad de informar las decisiones de las autoridades públicas”, dice la carta. “Si el ARC, de hecho, se implementa como está escrito, tendrá un efecto paralizador en el desarrollo de software de fuente abierta como una empresa global, con el efecto neto de socavar los objetivos declarados del ARC. UE sobre innovación, soberanía digital y la prosperidad futura.”
La lista completa de signatarios incluye: The Eclipse Foundation; Fundación Europea de Linux; Iniciativa de código abierto (OSI); Foro Abierto Europa (OFE); Asociación de Empresas de Software Open Source Portuguesas (ESOP); CNLL; La Fundación Documental (TDF); Asociaciones Europeas de Empresas de Software Libre (APELL); COSS – Centro Finlandés de Sistemas y Soluciones Abiertos; Alianza Empresarial de Código Abierto (OSBA); Soluciones y Sistemas Abiertos (COSS); OW2 y la Fundación del Patrimonio del Software.