Monitor Software
Piden a la UE reevaluar la Ley de Ciberresiliencia
Publicación:20-04-2023
TEMA: #Software
Ya que señalan que tendría un efecto negativo en el desarrollo de software open source si se implementa con el formato que tiene actualmente.
Trece entidades y empresas dedicadas al open source han publicado una carta abierta, en la que piden a la Comisión Europea que reconsidere diversos aspectos de su propuesta de Ley de Ciberresiliencia.
Entre las organizaciones que han impulsado esta carta están la Fundación Eclipse, la Linux Foundation Europe y la Iniciativa Open Source (OSI), y además de señalar que afectaría al desarrollo open source, también señalan que la ley, tal como está redactada actualmente, «supone un riesgo económico y tecnológico innecesario para la Unión Europea«.
Otro de los fines de esta carta, al parecer, es conseguir que la comunidad open source tenga más voz en la evolución de la ley a medida que vaya avanzando en el Parlamento Europeo. Entre otroas cosas, sus firmantes señalan su preocupación «porque la mayoría de la comunidad open source ha estado infrarrepresentada durante el desarrollo hasta la fecha de la Ley de Ciberresiliencia, y desean asegurar que se ponga remedio a esto a lo largo del proceso colegislativo prestando nuestro apoyo«,
Además, las entidades recuerdan que «el software open source representa más del 70% del software presente en Europa en los productos con elementos digitales. Aún así, la comunidad no tiene las ventajas de una relación establecida con los colegisladores. El software y otros artefactos técnicos producidos por nosotros no tienen precedentes en su contribución al sector tecnológico, así como a nuestra soberanía digital y a los beneficios económicos asociados a muchos nivelkes. Con la CRA, más del 70% del software en Europa va a regularse sin una consulta en profundidad«.
Presentada por primera vez en septiembre pasado, la Ley de Ciberresiliencia pretende recoger en una ley las mejores prácticas de ciberseguridad para los productos conectados que se venden en la UE. La ley está diseñada para poder tener mano dura con los fabricantes de hardware y software, para que sus productos sean robustos y se mantengan actualizados con las últimas mejoras de seguridad.
Las multas por no cumplir sus normas pueden llegar a los 15 millones de euros, o equivaler al 2,5% de los ingresos mundiales de la empresa sancionada. El proceso que llevará a su aprobación en el futuro, algo que no será inmediato, todavía está dando sus primeros pasos, y a pesar de ello ya ha alarmado a la comunidad open source.
Se estima que entre el 70 y el 90 por ciento de los componentes software de muchos productos es open source, desde los navegadores a los servidores. Además, muchos proyectos open source son producto del trabajo de desarrollos independientes durante su tiempo libre.
Por eso, las intenciones de la CRA de ampliar a todo el territorio de la unión un sistema de autocertificación del software, según el cual todos los desarrolladores de software tendrán que asegurar que sus programas están bien y a la última, podrían frenar el desarrollo open source por miedo a contradecir la nueva ley.
De hecho, el borrador de la ley, tal y como está, ya aborda alguna de dichas preocupaciones. Tal como señala dicho borrador «para no perjudicar la innovación ni la investigación, el software gratuito y open source desarrollado o suministrado fuera del curso de una actividad comercial no estará cubierto por esta normativa. Esto es para el software, incluidas sus versiones modificadas y su código fuente, que se comparta abiertamente y está accesible y usable libremente, y que pueda modificarse y redistribuirse«.
No obstante, el lenguaje con el que está redactada en este caso, y otros parecidos, ha despertado la preocupación del sector open source. Aunque el texto parece dejar exento de la norma al software open source no comercial, intentar definir lo que es este concepto no es una tarea sencilla. Entre otras cosas, porque los desarrolladores crean y mantienen frecuentemente open source en diversos contextos de pago y gratuitos, que pueden incluir software en sectores académicos, de ONGs, gubernamentales e incluso empresariales.
Para que el software open source no se vea afectado por esta ley tampoco se puede cobrar por mantenerlo o prestar servicio técnico, y muchas ONGs y entidades diversas ofrecen a menudo servicios de consultoría de pago como soporte técnico por su software open source. Además, los desarrolladores suelen recibir con cierta frecuencia becas, premios y otras formas de soporte económico por su trabajo.
No está claro si esto se vería afectado por la ley, y debería quedar claro que no debería ser así: necesitan que haya excepciones. Por ejemplo, según varios expertos, se solucionaría si la ley se centra en los productos terminados y no en las actividades relacionadas con ellos, y que si un producto no es de pago ni mediante suscripción, debería estar exento.
« Especial »