Het Open Source Initiative maakt zich zorgen over de voorgestelde Cyber Resilience Act van de EU. Softwareontwikkelaars worden met de Act verplicht ervoor te zorgen dat hun programma’s aan bepaalde beveiligingsvoorschriften voldoen, en bij de vermelde uitzondering voor open source-software is nog teveel ruimte voor interpretatie.
De uitzondering voor open source-software.
Zo stelt het voorstel dat ‘open source-software niet onder de regeling zou moeten vallen’, waar vooral het ‘zou moeten’-gedeelte voor onduidelijkheid zorgt. Ook het gebruik van de term “commercieel” vind het OSI twijfelachtig; eventueel commercieel gebruik zou volgens hun los moeten staan van de open source-software zelf.
Ook de Eclipse Foundation, vooral bekend van de Eclipse IDE, maakt zich zorgen. Hoewel de organisatie non-profit is, lijkt hun gratis software in de Act onder commerciële activiteiten te vallen, wat ze dus zou verplichten aan de eisen van de regeling te voldoen.
Het voorstel voor de Europese Cyber Resilience Act werd afgelopen september ingediend. Het doel is de impact van cybercrime beperken; een geschatte jaarlijkse kostenpost van €5,5 miljard. Met een verplichte CE-markering zouden ontwikkelaars moeten aangeven dat hun (commerciële) software aan alle veiligheidsvoorschriften voldoet, net als bij hardware dus eigenlijk.
Bronnen: Europese Commissie (1), (2), Eclipse Foundation
