Tredici organizzazioni legate all’industria del software open source hanno scritto una lettera aperta alla Commissione Europea, esprimendo preoccupazione per il proposto Cyber Resilience Act (CRA) e chiedendo di rivederne alcuni aspetti, al fine di evitare un impatto negativo sullo sviluppo del software open source.
I timori della comunità open source
Le organizzazioni coinvolte, tra cui la Eclipse Foundation, Linux Foundation Europe e l’Open Source Initiative (OSI), sostengono che il CRA, nella sua forma attuale, “pone un rischio economico e tecnologico inutile all’UE”. La lettera ha l’obiettivo di garantire una maggiore partecipazione della comunità open source nell’elaborazione della legge, poiché essa rappresenta oltre il 70% del software presente nei prodotti digitali in Europa.
Il Cyber Resilience Act e le sue implicazioni
Il CRA, presentato per la prima volta in forma di bozza a settembre, mira a codificare le migliori pratiche di sicurezza informatica per i prodotti connessi venduti nell’Unione Europea. La legge intende obbligare i produttori di hardware e software connessi a garantire la robustezza e l’aggiornamento dei loro prodotti con le ultime misure di sicurezza. Tuttavia, la legge potrebbe avere un impatto negativo sullo sviluppo del software open source, che costituisce tra il 70 e il 90% dei prodotti software moderni, in quanto molti progetti open source sono sviluppati da individui o piccoli team nel loro tempo libero.
Richiesta di esenzione per il software open source
La comunità open source chiede che la legge venga modificata per esentare chiaramente i progetti open source da eventuali responsabilità derivanti da problemi di sicurezza nei prodotti che utilizzano componenti open source. In particolare, la lettera chiede che il CRA si concentri sui prodotti finiti e che il software open source sia esentato se non offerto come prodotto a pagamento o monetizzato.