EN SV
legislation

Cyber Resilience Act og open source krav og forpligtelser

4 minutters læsning
Cyber Resilience Act og open source krav og forpligtelser

Lær hvordan Cyber Resilience Act påvirker open source software. Forpligtelser for FOSS forvalterne, risikokategorisering og CRA's indvirkning forklaret.

Særlig behandling af FOSS i CRA

CRA anerkender den særlige rolle og betydning af open source software. Generelt er FOSS placeret i selvvurderingskategorien, hvilket betyder at de fleste FOSS projekter står over for mindre strenge krav end sammenlignelige proprietære produkter.

Hvem er påvirket?

For at forstå om og hvordan et open source projekt er påvirket af CRA, betragt følgende diagram:

Rutediagram for bestemmelse af CRA anvendelighed på FOSS projekter

Forklaring af hovedpunkterne:

  1. Levering vs. bidrag: CRA skelner mellem at tilbyde eller levere FOSS og blot bidrage til det. Kun leverandører falder inden for anvendelsesområdet.
  2. Direkte indtægtsskabelse: FOSS leverandører som direkte tjener penge på det betragtes som "producenter" under CRA.
  3. Support til kommercielle aktiviteter: Juridiske enheder som kontinuerligt støtter udviklingen af FOSS produkter til kommercielle aktiviteter, uden direkte at indtægtsskabe på dem, falder ind under kategorien forvalterne af open source software.
  4. Udvikling inden for kommercielle aktiviteter: Hvis udvikling finder sted som del af en kommerciel aktivitet (i bred forstand), betragtes enheden også som en "producent".

Rollen af 'open source software forvalter'

CRA introducerer termen 'open source software forvalter'. Dette er en lettere regulatorisk tilgang for juridiske enheder som støtter FOSS projekter uden direkte at indtægtsskabe på dem. Eksempler inkluderer:

  • Fonde som støtter specifikke FOSS projekter
  • Virksomheder som udvikler FOSS til eget brug men gør det offentligt tilgængeligt
  • Nonprofit organisationer som udvikler FOSS

Forpligtelser for forvalterne af open source software

Forpligtelserne for forvalterne af open source software er mindre omfattende end for "producenter", men inkluderer stadig vigtige punkter:

  1. Cybersikkerhedspolitik: Forvalterne skal implementere en cybersikkerhedspolitik som tager højde for den specifikke natur af deres rolle som forvalterne af open source software. Denne politik skal adressere de særlige udfordringer og risici forbundet med udvikling og levering af open source software.
  2. Samarbejde med myndigheder: Forvalterne forventes at samarbejde med markedsovervågningsmyndigheder. Dette kan inkludere at svare på forespørgsler om sikkerhedsaspekter af softwaren, levere information eller assistere med undersøgelser.
  3. Rapportering af hændelser og sårbarheder: Forvalterne er forpligtet til at rapportere sikkerhedshændelser og opdagede sårbarheder i det omfang de er involveret i udviklingen. Dette fremmer transparens og muliggør en hurtigere respons på potentielle sikkerhedsrisici.

Risikokategorisering af produkter

CRA sørger for en risikokategorisering for produkter med digitale elementer:

  • Standard kategori (selvvurdering): Dette inkluderer de fleste FOSS projekter, såvel som produkter som lagringschips, mobilapps, smarte højttalere og computerspil.
  • Vigtige produkter: Disse kræver anvendelse af standarder eller vurderinger af tredjeparter. Eksempler er operativsystemer, antivirus software, routere og firewalls.
  • Kritiske produkter: I fremtiden kan denne kategori kræve certificering. Eksempler inkluderer smartcards, sikre elementer og smart meter gateways.

Det er vigtigt at bemærke at FOSS generelt falder ind under selvvurderingskategorien medmindre det er klassificeret som et "kritisk produkt".

Yderligere information om overensstemmelsesvurdering kan findes i vores detaljerede artikel om Cyber Resilience Act.

Vurdering og udsigter

CRA forsøger at ramme en afbalanceret tilgang for open source software. Mens kommercielle FOSS leverandører er underlagt forpligtelser lignende dem for proprietære software producenter, er der en lettere regulatorisk tilgang for ikke-kommercielle FOSS projekter og støtter.

Indførelsen af kategorien open source software forvalter viser at lovgiverne anerkender den særlige rolle og betydning af FOSS og sigter mod at undgå unødvendige byrder. Ikke desto mindre forventes visse foranstaltninger for at sikre cybersikkerhed fra FOSS projekter.

FOSS udviklere og organisationer bør gøre sig bekendt med CRA kravene og bestemme hvilken kategori de falder ind under. Særligt bør de overveje at udvikle en passende cybersikkerhedspolitik og etablere processer for samarbejde med myndigheder og for rapportering af sikkerhedshændelser.