La UE Avanza en Ciberseguridad de Código Abierto

Posted on October 30, 2023
Los legisladores de la Unión Europea (UE) están avanzando en su enfoque hacia el software de código abierto y su período de apoyo en el próximo Acto de Resiliencia Cibernética. Esta ley introduce requisitos de seguridad para dispositivos conectados y está acercándose a las etapas finales del proceso legislativo. Las discusiones clave giran en torno a la regulación del software de código abierto, que es vital para la innovación digital. La UE está considerando un enfoque por niveles con obligaciones variables basadas en cómo se desarrolla y comercializa el software.

Para las entidades comerciales que únicamente desarrollan y controlan software de código abierto integrado en sus productos, deben adherirse a todas las obligaciones del Acto de Resiliencia Cibernética. Esto incluye requisitos esenciales, documentación técnica, marcado de conformidad y vigilancia del mercado. En contraste, el software desarrollado colaborativamente bajo organizaciones como fundaciones de software de código abierto tendrá un conjunto más ligero de obligaciones. Estas entidades serán responsables de gestionar vulnerabilidades, implementar parches de seguridad con prontitud e informar sobre vulnerabilidades activamente explotadas. Sin embargo, no enfrentarán multas y no necesitarán mostrar el marcado CE para cumplir con las normas de la UE.

El software desarrollado colaborativamente sin una única entidad controladora y puesto a disposición fuera de las actividades comerciales quedará excluido del alcance de la regulación. El acto también aclara que las contribuciones individuales a proyectos de código abierto no se consideran como ‘actividad de fabricación’. La Comisión Europea tiene el poder de introducir legislación secundaria para programas de atestiguación de seguridad, asistiendo a desarrolladores y usuarios de software de código abierto en la evaluación de la conformidad con las leyes de la UE.

En cuanto al período de soporte, los fabricantes están obligados a gestionar vulnerabilidades, especialmente a implementar parches de seguridad con prontitud. Inicialmente, el período de soporte se estableció en la vida útil esperada del producto o cinco años, lo que fuera más corto. Sin embargo, compromisos recientes sugieren un período de soporte mínimo de cinco años a menos que el uso esperado del producto sea más corto. Este período está determinado por varios factores, incluidas las expectativas del usuario y las comparaciones de mercado. Las actualizaciones de seguridad deben estar disponibles durante un mínimo de diez años, y la documentación técnica debe ser accesible durante diez años o el período de soporte del producto, lo que sea más largo.

Source: EURACTIV

Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.

Leave a Reply

Your email address will not be published. Required fields are marked *