2022-cyber-resilience-act-e1681890655693

Δεκατρείς οργανισμοί λογισμικού ανοικτού κώδικα δημοσίευσαν ανοικτή επιστολή, με την οποία ζητούν από την Ευρωπαϊκή Επιτροπή (ΕΕ) να επανεξετάσει πτυχές του προτεινόμενου νόμου για την ανθεκτικότητα στον κυβερνοχώρο (CRA), υποστηρίζοντας ότι θα έχει “αρνητικό αντίκτυπο” στην ανάπτυξη λογισμικού ανοικτού κώδικα, εάν εφαρμοστεί στην τρέχουσα μορφή του. Οι οργανισμοί αυτοί, μεταξύ των οποίων είναι το Eclipse Foundation, το Linux Foundation Europe και η Πρωτοβουλία Ανοικτού Κώδικα (Open Source Initiative – OSI), σημειώνουν επίσης ότι ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο, όπως είναι γραμμένος, “ενέχει περιττό οικονομικό και τεχνολογικό κίνδυνο για την ΕΕ”.

Ο σκοπός της επιστολής, όπως φαίνεται, είναι η κοινότητα του ανοιχτού κώδικα να αποκτήσει πιο ουσιαστικό λόγο στην εξέλιξη του CRA, συμμετέχοντας στην επεξεργασία του στο Ευρωπαϊκό Κοινοβούλιο. Αναφέρεται χαρακτηριστικά σε αυτήν:

«Το λογισμικό ανοικτού κώδικα αντιπροσωπεύει περισσότερο από το 70% του λογισμικού που υπάρχει σε προϊόντα με ψηφιακά στοιχεία στην Ευρώπη. Ωστόσο, η κοινότητά μας δεν έχει το πλεονέκτημα μιας εδραιωμένης σχέσης με τους συννομοθέτες.

Το λογισμικό και άλλα τεχνικά αντικείμενα που παράγονται από εμάς είναι πρωτοφανή ως προς τη συμβολή τους στον κλάδο της τεχνολογίας μαζί με την ψηφιακή μας κυριαρχία και τα συναφή οικονομικά οφέλη σε πολλά επίπεδα. Με τον CRA, πάνω από το 70% του λογισμικού στην Ευρώπη πρόκειται να ρυθμιστεί χωρίς διεξοδική διαβούλευση».

Το ιστορικό

Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο, που παρουσιάστηκε για πρώτη φορά σε προσχέδιο τον Σεπτέμβριο του 2022, επιδιώκει να κωδικοποιήσει τις βέλτιστες πρακτικές κυβερνοασφάλειας για τα συνδεδεμένα προϊόντα που πωλούνται στην Ευρωπαϊκή Ένωση.

Η νομοθεσία έχει σχεδιαστεί για να ενισχύσει τους κατασκευαστές υλικού και λογισμικού που συνδέονται με το διαδίκτυο, για παράδειγμα εκείνους που κατασκευάζουν παιχνίδια με δυνατότητα σύνδεσης στο διαδίκτυο, ώστε να διασφαλίσουν ότι τα προϊόντα τους είναι ισχυρά και ότι είναι ενημερωμένα με τις τελευταίες ενημερώσεις ασφαλείας. Οι κυρώσεις για τη μη συμμόρφωση μπορεί να περιλαμβάνουν πρόστιμα ύψους έως και 15 εκατ. ευρώ ή 2,5% του παγκόσμιου κύκλου εργασιών. Αν και τίποτα δεν έχει οριστικοποιηθεί ακόμη και ο CRA παραμένει σε πρώιμο στάδιο, οι προτάσεις για τη νομοθεσία έχουν ανησυχήσει την κοινότητα ανοιχτού κώδικα.

Υπολογίζεται ότι τα στοιχεία ανοικτού κώδικα αποτελούν το 70-90% των περισσότερων σύγχρονων προϊόντων λογισμικού, συμπεριλαμβανομένων των προγραμμάτων περιήγησης στο διαδίκτυο και των διακομιστών. Ωστόσο πολλά έργα ανοικτού κώδικα αναπτύσσονται από μεμονωμένα άτομα ή μικρές ομάδες στον ελεύθερο χρόνο τους. Έτσι, οι προθέσεις του CRA να επεκτείνει το σύστημα αυτοπιστοποίησης της σήμανσης CE στο λογισμικό, σύμφωνα με το οποίο όλοι οι προγραμματιστές λογισμικού θα πρέπει να βεβαιώνουν ότι το λογισμικό τους είναι σε καλή κατάσταση, θα μπορούσε να εμποδίσει την ανάπτυξη ανοικτού κώδικα υπό τον φόβο της παράβασης της νέας νομοθεσίας.

Στο κείμενο του σχεδίου νόμου (CRA), που επεξεργάζεται το ευρωκοινοβούλιο, φαίνεται μεν ότι εξαιρείται το μη εμπορικό λογισμικό ανοικτού κώδικα από το πεδίο εφαρμογής του, αλλά, σύμφωνα με τους οργανισμούς, δεν καθορίζεται με σαφήνεια τί εννοείται με τον όρο «μη εμπορικό». Όπως σημείωσε ο διευθυντής πολιτικής του GitHub, Mike Linksvayer, σε ανάρτηση στο ιστολόγιο του τον περασμένο μήνα, οι προγραμματιστές συχνά «δημιουργούν και συντηρούν ανοιχτό κώδικα σε διάφορα αμειβόμενα και μη αμειβόμενα πλαίσια (εταιρικά, κυβερνητικά, μη κερδοσκοπικά, ακαδημαϊκά κ.ά)».

«Οι μη κερδοσκοπικοί οργανισμοί προσφέρουν επί πληρωμή συμβουλευτικές υπηρεσίες ως τεχνική υποστήριξη για το λογισμικό ανοικτού κώδικα», έγραψε ο Linksvayer. «Και όλο και περισσότερο, οι προγραμματιστές λαμβάνουν χορηγίες, επιχορηγήσεις και άλλες μορφές οικονομικής υποστήριξης για τις προσπάθειές τους. Αυτές οι αποχρώσεις απαιτούν μια διαφορετική απαλλαγή για τον ανοικτό κώδικα».

«Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο μπορεί να βελτιωθεί εστιάζοντας στα τελικά προϊόντα», πρόσθεσε ο Linksvayer. «Εάν το λογισμικό ανοικτού κώδικα δεν προσφέρεται ως προϊόν επί πληρωμή ή ως προϊόν με χρηματικό έσοδο, θα πρέπει να εξαιρείται».

Αρνητικός αντίκτυπος”

Οι προτεινόμενοι κανονισμοί στην Ευρώπη, συμπεριλαμβανομένου του νόμου για την ανθεκτικότητα στον κυβερνοχώρο και του επερχόμενου νόμου για την τεχνητή νοημοσύνη, προκαλούν ανησυχίες στον κλάδο της τεχνολογίας. Ο Διευθύνων Σύμβουλος του GitHub πρότεινε οι προγραμματιστές λογισμικού ανοιχτού κώδικα να εξαιρούνται από το πεδίο εφαρμογής της εν λόγω νομοθεσίας όταν τεθεί σε ισχύ, καθώς θα μπορούσε να δημιουργήσει επαχθείς νομικές ευθύνες για τα συστήματα ΤΝ γενικού σκοπού (GPAI) και να δώσει μεγαλύτερη ισχύ στις καλά χρηματοδοτημένες μεγάλες εταιρείες τεχνολογίας.

Όσον αφορά την ανοιχτή επιστολή προς την ΕΕ, το μήνυμα της κοινότητας του λογισμικού ανοικτού κώδικα είναι αρκετά σαφές: Αισθάνονται ότι η φωνή τους δεν ακούγεται και αν δεν γίνουν αλλαγές στην προτεινόμενη νομοθεσία, τότε θα μπορούσε να έχει σημαντικές επιπτώσεις σε βάθος χρόνου.

«Οι φωνές και η τεχνογνωσία μας θα πρέπει να ακουστούν και να έχουν την ευκαιρία να ενημερώσουν τις αποφάσεις των δημόσιων αρχών», αναφέρεται στην επιστολή. «Εάν ο CRA, στην πραγματικότητα, εφαρμοστεί όπως έχει γραφτεί, θα έχει ψυχρό αντίκτυπο στην ανάπτυξη λογισμικού ανοικτού κώδικα ως παγκόσμια προσπάθεια, με το καθαρό αποτέλεσμα να υπονομεύσει τους εκφρασμένους στόχους της ίδιας της ΕΕ για την καινοτομία, την ψηφιακή κυριαρχία και τη μελλοντική ευημερία».

Ο πλήρης κατάλογος των υπογραφόντων περιλαμβάνει: The Eclipse Foundation, Linux Foundation Europe, Open Source Initiative (OSI), OpenForum Europe (OFE), Associaçāo de Empresas de Software Open Source Portuguesas (ESOP), CNLL, The Document Foundation (TDF), European Open Source Software Business Associations (APELL), COSS – Finnish Centre for Open Systems and Solutions, Open Source Business Alliance (OSBA), Open Systems and Solutions (COSS), OW2 και Software Heritage Foundation.

Πηγή: https://opensource.ellak.gr/2023/04/19/anikti-epistoli-organismon-anichtou-logismikou-pros-tin-evropaiki-epitropi-schetika-me-ton-nomo-gia-tin-anthektikotitahttps://www.eclipse.org/