Declaració dels desenvolupadors de Debian sobre la Llei de Resiliència Cibernètica

Darkcrizt

4 minuts

Logo de Debian

Logo de Debian

Fa pocs dies es van donar a conèixer els resultats de la votació general dels desenvolupadors del projecte Debian, en la qual han emès la seva posició respecte al projecte de Llei de Resiliència Cibernètica (CRA) proposat a la Unió Europea.

Llei de Resiliència Cibernètica té com a objectiu establir requisits addicionals per als fabricants de programari, amb l'objectiu de millorar la seguretat i la gestió de vulnerabilitats al llarg del cicle de vida del producte. Tot i això, la comunitat de Debian va expressar les seves preocupacions sobre l'impacte potencial en l'ecosistema de desenvolupament de programari de codi obert.

Què és Llei de Resiliència Cibernètica?

La Llei de Resiliència Cibernètica (CRA) és una legislació proposada per la Comissió Europea que té com a objectiu augmentar la ciberseguretat dels productes i serveis digitals a la Unió Europea.

La CRA estableix una sèrie de requisits per als fabricants i proveïdors de productes i serveis digitals, que s'han de complir al llarg de tot el cicle de vida del producte o servei i en cas d'incompliment dels requisits, està previst introduir multes que poden assolir els 15 milions d'euros o el 2,5% de la facturació anual de lempresa.

Quan la legislació sigui aprovada, es requerirà que els fabricants facilitin la distribució de pegats per abordar vulnerabilitats als seus productes. A més, haurien de dur a terme avaluacions de riscos de seguretat abans de llançar nous productes al mercat i fer proves de seguretat. En particular, s'implementaran auditories externes obligatòries per a sistemes crítics. A més, s'espera que els fabricants eliminin qualsevol vulnerabilitat al llarg de tot el cicle de vida del producte i comuniquin incidents de seguretat en un termini màxim de 24 hores després de descobrir-lo a l'agència de ciberseguretat de la Unió Europea (ENISA).

Cal esmentar que l'impacte principal de la legislació recaurà en els productors de programari comercial, però existeix la preocupació a la comunitat respecte al seu possible efecte negatiu en el ecosistema de desenvolupament de programari de codi obert.

Principals punts de preocupació

Responsabilitat legal per a Debian

El projecte de llei introdueix responsabilitat legal per l'incompliment dels requisits de seguretat, cosa que va en contra de la responsabilitat social de Debian de distribuir programari per a qualsevol propòsit i sense restriccions. En no rastrejar la procedència del codi i distribuir programari per a qualsevol propòsit sense restriccions, Debian s'enfronta a riscos legals en aplicar els requisits establerts a la CRA.

Possible retirada de codi obert

La CRA podria portar projectes upstream a deixar de proporcionar el seu codi per por de sancions. Això també podria dificultar que la comunitat de codi obert comparteixi codi, ja que els desenvolupadors han de considerar les implicacions legals.

Impacte en el desenvolupament de codi obert

La comunitat té por que la CRA pugui limitar l'avenç de projectes de codi obert i obstaculitzar el desenvolupament internacional de programari de codi obert. Les empreses que utilitzen o contribueixen a projectes de codi obert podrien ser responsables de problemes de seguretat, fins i tot si el codi va ser creat a altres països.

Riscos legals per a projectes independents

Projectes independents que incorporen codi de fabricants comercials poden enfrontar conseqüències legals incertes, ja que la responsabilitat legal introduïda per la CRA podria afectar la transferència de codi entre projectes comercials i no comercials.

Naturalesa qüestionable dels requisits d'informes

Els desenvolupadors expressen dubtes sobre l'exigència d'informar problemes de seguretat a l'Agència Europea de Seguretat de les Xarxes i de la Informació (ENISA) dins de les 24 hores. Acumular informació sobre vulnerabilitats no aplicades en un sol lloc podria plantejar riscos significatius en cas de fugida d'informació.

Demandes i Propostes

Exclusió del desenvolupament de codi obert

Els desenvolupadors de Debian demanen que el desenvolupament de codi obert s'elimini completament de la CRA i que la llei només s'apliqui a productes finals.

Exempció per a comerciants individuals i petites empreses

Es proposa que els requisits de la CRA no s'apliquin a comerciants individuals i petites empreses, ja que podrien no complir tots els requisits i podrien veure's obligats a tancar.

Reavaluació dels requisits d'informes

Els desenvolupadors de Debian fan una crida a una reavaluació de la necessitat i la naturalesa dels requisits d'informes de la CRA, considerant els possibles riscos de seguretat associats.

La declaració dels desenvolupadors de Debian destaca la importància de preservar la naturalesa oberta i col·laborativa del desenvolupament de programari de codi obert enmig de les preocupacions plantejades per la CRA proposada.

Finalment, si estàs interessat en poder conèixer més sobre això, pots consultar els detalls al següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.