Déclaration du développeur Debian sur la loi sur la cyber-résilience

Darkcrizt

Minutes 4

Logo Debian

Logo Debian

Il y a quelques jours, les résultats du vote général du Développeurs de projets Debian, dans laquelle ont émis leur position concernant le projet de la Loi Cyber-Résilience (ARC) proposé dans l'Union européenne.

La loi sur la cyber-résilience vise à établir des exigences complémentaire pour les éditeurs de logiciels, dans le but d’améliorer la sécurité et la gestion des vulnérabilités tout au long du cycle de vie du produit. Cependant, la communauté Debian a exprimé ses inquiétudes quant à l'impact potentiel sur l'écosystème de développement de logiciels open source.

Qu’est-ce que la loi Cyber-Résilience ?

La loi sur la cyber-résilience (ARC) C'est une législation proposée par la Commission européenne qui a pour objectif accroître la cybersécurité des produits et services numériques dans l’Union européenne.

L'ARC établit une série d'exigences pour les fabricants et les fournisseurs des produits et services numériques, qui doivent être respectés tout au long du cycle de vie du produit ou du service et en cas de non-respect des exigences, il est prévu d'introduire des amendes pouvant atteindre 15 millions d'euros ou 2,5% du revenu annuel de l'entreprise chiffre d'affaires.

Une fois la loi adoptée, Les fabricants seront tenus de faciliter la distribution de correctifs pour remédier aux vulnérabilités de leurs produits. En outre, doit procéder à des évaluations des risques de sécurité avant de lancer de nouveaux produits sur le marché et effectuer des tests de sécurité. Des audits externes obligatoires pour les systèmes critiques seront notamment mis en œuvre. En outre, Les fabricants sont censés éliminer toute vulnérabilité tout au long du cycle de vie du produit. et signaler les incidents de sécurité dans un délai maximum de 24 heures après leur découverte à l'agence de cybersécurité de l'Union européenne (ENISA).

Il convient de mentionner que l'impact principal de la législation concernera les producteurs de logiciels commerciaux, mais La communauté s'inquiète de son éventuel effet négatif sur la écosystème de développement logiciels open source.

Principaux sujets de préoccupation

Responsabilité légale de Debian

Le projet de loi introduit une responsabilité légale en cas de non-respect des exigences de sécurité, ce qui va à l'encontre de la responsabilité sociale de Debian de distribuer des logiciels à quelque fin que ce soit et sans restrictions. En ne suivant pas la provenance du code et en distribuant des logiciels à quelque fin que ce soit sans restrictions, Debian s'expose à des risques juridiques lors de l'application des exigences énoncées dans le CRA.

Retrait possible de l'open source

L'ARC pourrait conduire les projets en amont à cesser de fournir leur code par crainte de sanctions. Cela pourrait également rendre difficile le partage de code pour la communauté open source, car les développeurs devront tenir compte des implications juridiques.

Impact sur le développement open source

La communauté craint que l'ARC puisse limiter l'avancement des projets open source et entraver le développement international de logiciels open source. Les entreprises qui utilisent ou contribuent à des projets open source pourraient être responsables de problèmes de sécurité, même si le code a été créé dans d'autres pays.

Risques juridiques pour les projets indépendants

Les projets indépendants qui intègrent du code provenant de fabricants commerciaux peuvent être confrontés à des conséquences juridiques incertaines, car la responsabilité juridique introduite par l'ARC pourrait affecter le transfert de code entre des projets commerciaux et non commerciaux.

Caractère discutable des exigences de déclaration

Les développeurs expriment des doutes quant à l'obligation de signaler les problèmes de sécurité à l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) dans les 24 heures. Accumuler des informations sur les vulnérabilités non corrigées en un seul endroit pourrait présenter des risques importants en cas de fuite de données.

Exigences et propositions

Exclusion du développement open source

Les développeurs Debian demandent que le développement open source soit entièrement retiré du CRA et que la loi ne s'applique qu'aux produits finaux.

Exonération pour les entrepreneurs individuels et les petites entreprises

Il est proposé que les exigences de l'ARC ne s'appliquent pas aux entrepreneurs individuels et aux petites entreprises, car elles pourraient ne pas répondre à toutes les exigences et pourraient être contraintes de fermer leurs portes.

Réévaluation des exigences de déclaration

Les développeurs Debian appellent à une réévaluation de la nécessité et de la nature des exigences de reporting de l'ARC, compte tenu des risques de sécurité potentiels associés.

La déclaration des développeurs Debian souligne l'importance de préserver la nature ouverte et collaborative du développement de logiciels open source au milieu des préoccupations soulevées par le projet CRA.

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.