De Europese Commissie heeft de vrees nog niet kunnen wegnemen dat de Cyber Resilience Act de ontwikkeling van opensource-software in gevaar brengt. Volgens de Duitse branchevereniging Bitkom bestaat er nog onduidelijkheid over de impact van het informele akkoord dat onderhandelaars van het Europees Parlement en de Raad van Europa hebben bereikt over deze verordening. Die wet heeft tot doel dat digitale producten veilig zijn in het gebruik, bestand zijn tegen cyberdreigingen en voldoende informatie bieden over hun beveiliging.
Brussel zegt dat aanbieders van opensource-software wel aan bepaalde eisen moeten voldoen, zij het van lichte aard. Zo zouden stichtingen die opensource-software ontwikkelen alleen maar een ‘cybersecurity-beleid’ moeten voeren. Individuele ontwikkelaars die deze software als een soort hobby maken, zouden hier geen hinder van ondervinden.
De Europese Commissie verwacht dat de regelgeving de veiligheid van opensource-software bevordert. Als een softwareleverancier bijvoorbeeld een vrij beschikbare encryptie-bibliotheek gebruikt en problemen ontdekt die vervolgens snel zijn te corrigeren onder de nieuwe regels, zal terugkoppeling naar hun ontwikkelaars plaatsvinden.
Uitbreiding
Tijdens de onderhandelingen hebben de leden van het Europees Parlement gezorgd voor een uitbreiding van de lijst van producten die onder de wet gaan vallen. Voorbeelden zijn software voor het beheer van identiteiten, wachtwoordmanagers, biometrische lezers, slimme huisassistenten en particuliere beveiligingscamera’s. Op producten moeten ook beveiligingsupdates automatisch en afzonderlijk van de functionaliteit-updates worden geïnstalleerd.
Iot-apparaten en software moeten aan minimale criteria voldoen zodat ze in de toekomst de CE-markering kunnen dragen. De producten moeten bij verkoop fundamenteel veilig zijn en minimaal vijf jaar voorzien zijn van beveiligingsupdates. Een kortere update-levering mag alleen worden toegestaan als er een kortere levensduur kan worden verwacht. Pure software-as-a-service-applicaties die zonder lokale componenten worden gebruikt, zullen niet onder de regelgeving vallen.
Lichtere eisen voor open source lijkt mij om rechtsongelijkheid te gaan want ‘cybersecurity-beleid’ op papier doet me denken aan Trustworthy Computing (TwC) van Microsoft. Meer advocaten dan ontwikkelaars ontstaat er al direct een lappendeken aan wetgeving als alle communities van open source wegkomen met alleen maar iets roepen over de leesbaarheid van de code zonder een resultaatverplichting hierin.