Для коммерческих организаций, которые исключительно разрабатывают и контролируют программное обеспечение с открытым исходным кодом, интегрированное в их продукты, они должны соблюдать все обязательства Закона о киберустойчивости. Это включает в себя основные требования, техническую документацию, маркировку соответствия и надзор за рынком. В отличие от этого, программное обеспечение, разработанное совместно в рамках организаций, таких как фонды программного обеспечения с открытым исходным кодом, будет иметь более легкий набор обязательств. Эти сущности будут отвечать за управление уязвимостями, оперативное внедрение патчей безопасности и отчетность о активно эксплуатируемых уязвимостях. Однако они не будут подвергаться штрафам и не будут обязаны отображать маркировку CE для соответствия правилам ЕС.
Программное обеспечение, разработанное совместно без единой контролирующей структуры и предоставленное за пределами коммерческой деятельности, будет исключено из поле действия регулирования. В акте также уточняется, что индивидуальные вклады в проекты с открытым исходным кодом не рассматриваются как ‘производственная деятельность’. Европейская комиссия уполномочена вводить второстепенное законодательство для программ аттестации безопасности, помогая разработчикам и пользователям программного обеспечения с открытым исходным кодом оценивать соответствие законам ЕС.
Что касается периода поддержки, производители обязаны управлять уязвимостями, особенно оперативно внедряя патчи безопасности. Изначально период поддержки был установлен на ожидаемый срок службы продукта или пять лет, в зависимости от того, что короче. Однако недавние компромиссы предполагают минимальный период поддержки в пять лет, если только ожидаемый срок использования продукта не короче. Этот период определяется различными факторами, включая ожидания пользователей и сравнение рынка. Обновления безопасности должны быть доступны минимум десять лет, и техническая документация должна быть доступна десять лет или период поддержки продукта, в зависимости от того, что дольше.
Source: EURACTIV
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.