Cyberbezpieczeństwo stało się jednym z najważniejszych zagadnień dla Unii Europejskiej, zwłaszcza w kontekście rosnącej liczby cyberataków i złożoności technologicznej. Parlament Europejski pracuje nad wprowadzeniem Aktu o Cyberodporności (Cyber Resilience Act, CRA), który ma na celu zwiększenie poziomu bezpieczeństwa produktów z elementami cyfrowymi. Jednakże, projekt ten wywołuje kontrowersje, zwłaszcza w społeczności open source.
Co wnosi Akt o Cyberodporności?
Projekt Aktu o Cyberodporności, zaproponowany przez Komisję Europejską, ma na celu wprowadzenie ścisłych wymogów dotyczących cyberbezpieczeństwa w produktach z elementami cyfrowymi. Regulacje te mają zastosowanie do szerokiego zakresu produktów, od smartfonów po inteligentne lodówki, z wyjątkiem tych, które już podlegają odrębnym przepisom w UE, takim jak urządzenia medyczne czy samochody.
Ostrzeżenia ze strony społeczności Open Source
Jednakże, społeczność open source wyraża obawy, że proponowane regulacje mogą zaszkodzić ekosystemowi open source. Oprogramowanie open source stanowi ponad 70% oprogramowania w produktach z elementami cyfrowymi w Europie, a jego unikalny charakter i mechanizmy rynkowe różnią się od komercyjnego oprogramowania. Obawy te są podzielane przez różne grupy interesu, które podpisały list otwarty do Unii Europejskiej, wzywając do zmiany zasad dotyczących oprogramowania open source.
Dylematy i kontrowersje
Społeczność open source zwraca uwagę na dwa główne problemy:
- Niejasne Definicje: Akt nie rozróżnia jasno między oprogramowaniem komercyjnym a niekomercyjnym, co stwarza problemy w interpretacji prawa.
- Brak Konsultacji: Ponad 70% oprogramowania w Europie ma zostać uregulowane bez dogłębnych konsultacji ze społecznością open source, co może mieć negatywny wpływ na innowacje i rozwój technologiczny.
Prawo przewiduje zatem wyjątek dla open source, który nie jest wykorzystywany do celów komercyjnych. Ale nie zostało doprecyzowane, co właściwie oznacza “komercyjny” w przypadku open source. Weźmy za przykład GitHub: Git jest oferowany za darmo, ale stoi za nim firma z celami komercyjnymi – czy to oznacza, że powinni być odpowiedzialni za każdy projekt opracowany z pomocą GitHub? A zatem potrzebne są jaśniejsze definicje, aby odróżnić od siebie komercyjne i niekomercyjne oprogramowanie.
Kolejną kwestią jest to, że oddzielne zasady dla europejskiego przemysłu mogą sprzyjać wykluczeniu i fragmentacji, co nie sprzyja rozwoju europejskiego rynku oprogramowania. Dlatego organizacje zrzeszające grupy interesów open source apelują o opracowanie globalnych standardów. W Europie nie ma dużych firm technologicznych, jak np. w USA.
Droga naprzód
Wiodące instytucje zarządzające w społeczności open source zachęcają do nawiązania współpracy i uwzględnienia ich obaw w procesie legislacyjnym. Podkreślają również potrzebę ustanowienia mechanizmu ciągłego dialogu i współpracy między instytucjami europejskimi a społecznością open source.
Akt o Cyberodporności jest ambitnym projektem, który ma na celu zwiększenie poziomu cyberbezpieczeństwa w Unii Europejskiej. Jednakże, jego wprowadzenie bez uwzględnienia unikalnych potrzeb i perspektyw społeczności open source może mieć nieprzewidziane i potencjalnie negatywne konsekwencje. Dlatego też, kluczowe jest znalezienie równowagi między regulacją a innowacją, aby zapewnić cyberbezpieczeństwo, nie hamując jednocześnie rozwoju technologicznego.