EN DA
legislation

Cyber Resilience Act och krav och skyldigheter för öppen källkod

4 minuters läsning
Cyber Resilience Act och krav och skyldigheter för öppen källkod

Lär dig hur Cyber Resilience Act påverkar programvara med öppen källkod. Skyldigheter för FOSS-förvaltare, riskkategorisering och CRA:s påverkan förklarad.

Särbehandling av FOSS i CRA

CRA erkänner den särskilda rollen och betydelsen av programvara med öppen källkod. Generellt placeras FOSS i kategorin självbedömning, vilket innebär att de flesta FOSS-projekt möter mindre strikta krav än jämförbara proprietära produkter.

Vem påverkas?

För att förstå om och hur ett projekt med öppen källkod påverkas av CRA, överväg följande diagram:

Flödesschema för att bestämma CRA:s tillämpbarhet på FOSS-projekt

Förklaring av huvudpunkterna:

  1. Tillhandahållande vs. bidragande: CRA skiljer mellan att erbjuda eller tillhandahålla FOSS och att bara bidra till det. Endast tillhandahållare faller inom ramen.
  2. Direkt intäktsgenerering: FOSS-tillhandahållare som direkt tjänar pengar på det betraktas som "tillverkare" enligt CRA.
  3. Stöd för kommersiella aktiviteter: Juridiska enheter som kontinuerligt stöder utvecklingen av FOSS-produkter för kommersiella aktiviteter, utan att direkt generera intäkter från dem, faller inom kategorin förvaltare av programvara med öppen källkod.
  4. Utveckling inom kommersiella aktiviteter: Om utveckling sker som en del av en kommersiell aktivitet (i bred bemärkelse), betraktas enheten också som en "tillverkare".

Rollen som 'förvaltare av programvara med öppen källkod'

CRA introducerar termen 'förvaltare av programvara med öppen källkod'. Detta är en lättare regleringsansats för juridiska enheter som stöder FOSS-projekt utan att direkt generera intäkter från dem. Exempel inkluderar:

  • Stiftelser som stöder specifika FOSS-projekt
  • Företag som utvecklar FOSS för egen användning men gör det offentligt tillgängligt
  • Icke-vinstdrivande organisationer som utvecklar FOSS

Skyldigheter för förvaltare av programvara med öppen källkod

Skyldigheter för förvaltare av programvara med öppen källkod är mindre omfattande än för "tillverkare", men inkluderar ändå viktiga punkter:

  1. Cybersäkerhetspolicy: Förvaltare måste implementera en cybersäkerhetspolicy som tar hänsyn till den specifika naturen av deras roll som förvaltare av programvara med öppen källkod. Denna policy bör adressera de särskilda utmaningar och risker som är förknippade med utveckling och tillhandahållande av programvara med öppen källkod.
  2. Samarbete med myndigheter: Förvaltare förväntas samarbeta med marknadsövervakande myndigheter. Detta kan inkludera att svara på förfrågningar om säkerhetsaspekter av programvaran, tillhandahålla information eller assistera vid utredningar.
  3. Rapportering av incidenter och sårbarheter: Förvaltare är skyldiga att rapportera säkerhetsincidenter och upptäckta sårbarheter i den mån de är involverade i utvecklingen. Detta främjar transparens och möjliggör snabbare respons på potentiella säkerhetsrisker.

Riskkategorisering av produkter

CRA föreskriver en riskkategorisering för produkter med digitala element:

  • Standardkategori (självbedömning): Detta inkluderar de flesta FOSS-projekt, såväl som produkter som lagringschip, mobilappar, smarta högtalare och datorspel.
  • Viktiga produkter: Dessa kräver tillämpning av standarder eller bedömningar av tredje parter. Exempel är operativsystem, antivirusprogramvara, routrar och brandväggar.
  • Kritiska produkter: I framtiden kan denna kategori kräva certifiering. Exempel inkluderar smartkort, säkra element och smart meter gateways.

Det är viktigt att notera att FOSS generellt faller inom kategorin självbedömning om det inte klassificeras som en "kritisk produkt".

Ytterligare information om överensstämmelsebedömning finns i vår detaljerade artikel om Cyber Resilience Act.

Bedömning och utsikter

CRA försöker träffa en balanserad ansats för programvara med öppen källkod. Medan kommersiella FOSS-tillhandahållare är föremål för skyldigheter liknande de för proprietära programvarutillverkare, finns det en lättare regleringsansats för icke-kommersiella FOSS-projekt och supportrar.

Introduktionen av kategorin förvaltare av programvara med öppen källkod visar att lagstiftare erkänner den särskilda rollen och betydelsen av FOSS och syftar till att undvika onödiga bördor. Ändå förväntas vissa åtgärder för att säkerställa cybersäkerhet från FOSS-projekt.

FOSS-utvecklare och organisationer bör bekanta sig med CRA-kraven och bestämma vilken kategori de faller inom. I synnerhet bör de överväga att utveckla en lämplig cybersäkerhetspolicy och etablera processer för samarbete med myndigheter och för rapportering av säkerhetsincidenter.