La UE Avança en Ciberseguretat de Codi Obert

Posted on October 30, 2023
Els legisladors de la Unió Europea (UE) estan progressant en el seu enfocament cap al programari de codi obert i el seu període de suport en l’apropant Acte de Resiliència Cibernètica. Aquesta llei introdueix requeriments de seguretat per a dispositius connectats i s’està acostant a les etapes finals del procés legislatiu. Les discussions clau es centren en la regulació del programari de codi obert, que és vital per a la innovació digital. La UE està considerant un enfocament escalonat amb obligacions variables basades en com es desenvolupa i comercialitza el programari.

Per a les entitats comercials que només desenvolupen i controlen programari de codi obert integrat en els seus productes, han de complir amb totes les obligacions de l’Acte de Resiliència Cibernètica. Això inclou requeriments essencials, documentació tècnica, marcatge de conformitat i vigilància de mercat. En contrast, el programari desenvolupat col·laborativament sota organitzacions com fundacions de programari de codi obert tindrà un conjunt més lleuger d’obligacions. Aquestes entitats seran responsables de gestionar vulnerabilitats, implementar correccions de seguretat ràpidament i informar sobre vulnerabilitats activament explotades. No obstant això, no s’enfrontaran a multes i no necessitaran mostrar el marcatge CE per complir amb les normes de la UE.

El programari desenvolupat col·laborativament sense una única entitat controladora i posat a disposició fora d’activitats comercials quedarà exclòs de l’àmbit de la regulació. L’acte també aclareix que les contribucions individuals a projectes de codi obert no es consideren com a ‘activitat de fabricació’. La Comissió Europea té el poder d’introduir legislació secundària per a programes d’atestació de seguretat, ajudant als desenvolupadors i usuaris de programari de codi obert en l’avaluació de la conformitat amb les lleis de la UE.

Pel que fa al període de suport, els fabricants estan obligats a gestionar vulnerabilitats, especialment a implementar correccions de seguretat ràpidament. Inicialment, el període de suport es va establir en la vida útil esperada del producte o cinc anys, el que fos més curt. No obstant això, compromisos recents suggereixen un període de suport mínim de cinc anys llevat que l’ús esperat del producte sigui més curt. Aquest període està determinat per diversos factors, incloses les expectatives dels usuaris i les comparacions de mercat. Les actualitzacions de seguretat haurien d’estar disponibles durant un mínim de deu anys, i la documentació tècnica hauria de ser accessible durant deu anys o el període de suport del producte, el que sigui més llarg.

Source: EURACTIV

Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.

Leave a Reply

Your email address will not be published. Required fields are marked *