Aanpassing aan Europese Cyber Resilience Act stelt critici gerust over open source

Diverse opensource-organisaties waaronder Apache, Adafruit, OpenInfra en Eclipse geven in verschillende statements aan opgelucht te zijn omdat diverse grote zorgen zijn weggenomen over vereisten aan open source-software. Deze gingen onder meer om complexe certificering en onrealistische wettelijke vereisten voor softwarereleases.

Aansprakelijk stellen

In de afgelopen maanden is er door de organisaties veel tijd en energie gestoken om te praten met Europese beleidsmakers, het Europees Parlement, de Commissie en nationale regeringen. Het resultaat daarvan is dat er een nieuw concept is geïntroduceerd: de ‘open source steward’, een eigen economische klasse voor de software-industrie die los staat van alle andere partijen die software op de markt brengen. Veel voorgestelde regels en vereisten vallen daarmee weg.

Volgens Van Gulik is de Cyber Resillience Act nu veel meer afgestemd op hoe de moderne software-industrie is gestructureerd. Voor alle vrijwilligers die sleutelen aan open source software is dat volgens hem dan ook goed nieuws. “Zo wordt nu erkend dat ontwikkel- en distributieplatformen geen economische actoren zijn die een product ‘verkopen’, of partijen die op een zinvolle manier betrokken zijn bij het op de markt brengen van wat mensen op hun platformen zetten."

"Ook erkent de Cyber Resillience Act dat er een breed scala aan mensen is die met code werken en deze aan anderen kunnen bekendmaken, maar geen economische actoren zijn die een product op de markt brengen.”

Voorzichtig optimistisch

Open source wordt in de nieuwe versie minder hard ‘geraakt’ door de nieuwe regels voor software. Daar is ook Thierry Carrez van Open Infrastructure Foundation blij mee. “We zijn voorzichtig optimistisch dat de in de Cyber Resillience Act aangebrachte verduidelijkingen een mondiaal huiveringwekkend effect hebben de ontwikkeling en participatie van open source-software.”

De opensource-gemeenschap lijkt nu dus wél heil te zien in voorgestelde Cyber Resillience Act, die ontworpen is om software veiliger te maken. De impact op de IT-wereld als geheel blijft echter enorm. Het gaat door de nieuwe verplichtingen waarschijnlijk een stuk duurder worden om software te kunnen maken. Met de Cyber Resillience Act komt namelijk een einde aan de gebruikelijke gang van zaken waarbij softwaregebruikers afhankelijk zijn van de goede wil van leveranciers om tijdig securityupdates te ontvangen, of in sommige gevallen zelfs moeten betalen voor updates en patches die software veilig houden.

Software wordt volwassen product

De softwarewereld wordt volgens Van Gulik nu eindelijk ‘volwassen’. “Licentieovereenkomsten met eindgebruikers, click-through-licenses, disclaimers, vrijstellingen: ze worden straks allemaal terzijde geschoven door de nieuwe wet en dat is best wel een schok.”

Dit artikel is eerder gepubliceerd op iBestuur, zustertitel van AG Connect.