Απαιτήσεις ασφαλείας για συνδεδεμένες συσκευές εισάγει η νομοθετική πρόταση για την ανθεκτικότητα στον κυβερνοχώρο που βρίσκεται τώρα στο τελευταίο στάδιο της ευρωπαϊκής νομοθετικής διαδικασίας, κατά την οποία διεξάγεται τριμερής διάλογος μεταξύ του Κοινοβουλίου, του Συμβουλίου και της Επιτροπής ώστε να διαμορφωθεί το τελικό κείμενο.
Σύμφωνα με τα έως τώρα κείμενα που είδε το Euractiv, οι υπεύθυνοι χάραξης πολιτικής της ΕΕ είναι κοντά στο να πετύχουν έναν συμβιβασμό σε δύο κρίσιμα σημεία του κειμένου: τον τρόπο ρύθμισης του λογισμικού ανοικτού κώδικα και τον ορισμό μιας περιόδου υποστήριξης κατά τη διάρκεια της οποίας οι κατασκευαστές θα εγγυώνται ενημερώσεις ασφαλείας.
Εάν επιβεβαιωθούν, αυτά τα μέρη του κειμένου είναι πιθανό να εγκριθούν σε πολιτικό επίπεδο κατά την επόμενη τριμερή σύνοδο στις 8 Νοεμβρίου.
Λογισμικό ανοικτού κώδικα
Ένα από τα κύρια σημεία συζήτησης στο σχέδιο νόμου ήταν η αντιμετώπιση του λογισμικού ανοικτού κώδικα, ενός κρίσιμου μοχλού καινοτομίας στον ψηφιακό τομέα. Οι διαπραγματευτές της ΕΕ αυτή τη στιγμή στοχεύουν να πετύχουν έναν συμβιβασμό, γεγονός που προέκυψε αρχικά στις 20 Οκτωβρίου.
Ενώ το χαρακτηριστικό του λογισμικού ανοικτού κώδικα είναι ότι αναπτύσσεται συνεργατικά, υπάρχουν διάφοροι τρόποι με τους οποίους οι κάτοχοι των δικαιωμάτων μπορούν να διεκδικήσουν τον έλεγχο του τι γίνεται αποδεκτό στον τελικό κώδικα και πώς αυτός εμπορευματοποιείται.
Αυτοί οι δύο παράγοντες είναι ουσιώδεις για τον προσδιορισμό του βαθμού στον οποίο το λογισμικό ανοικτού κώδικα μπορεί να συμμορφωθεί με τις απαιτήσεις του επερχόμενου νόμου για την ασφάλεια στον κυβερνοχώρο. Αυτός είναι ο λόγος για τον οποίο οι υπεύθυνοι χάραξης πολιτικής της ΕΕ έχουν σχεδιάσει μια κλιμακωτή προσέγγιση με αναλογικές υποχρεώσεις.
Μια εμπορική οντότητα που αναπτύσσει και ελέγχει από μόνη της λογισμικό ανοικτού κώδικα ενσωματωμένο στα προϊόντα της πρέπει να συμμορφώνεται με όλες τις υποχρεώσεις του νόμου για την ανθεκτικότητα στον κυβερνοχώρο, συμπεριλαμβανομένων των βασικών απαιτήσεων, της τεχνικής τεκμηρίωσης, της σήμανσης συμμόρφωσης και της εποπτείας της αγοράς.
Ένα πιο σύνθετο σενάριο αφορά τις περιπτώσεις όπου το λογισμικό αναπτύσσεται συνεργατικά υπό την ομπρέλα ενός υποστηρικτικού οργανισμού, όπως τα ιδρύματα λογισμικού ανοικτού κώδικα ή οι «διαχειριστές». Η ιδέα εδώ είναι να εισαχθεί ένα ηπιότερο καθεστώς με συγκεκριμένες υποχρεώσεις.
Οι εξατομικευμένες απαιτήσεις για τους διαχειριστές λογισμικού ανοικτού κώδικα που προβλέπονται περιλαμβάνουν την ενεργοποίηση και την προώθηση μιας διαδικασίας για τον χειρισμό των ευπαθειών, συμπεριλαμβανομένης της άμεσης διάθεσης διορθωτικών διορθώσεων ασφαλείας και της υποβολής εκθέσεων σχετικά με τις ενεργά εκμεταλλευόμενες ευπάθειες.
Ταυτόχρονα, οι διαχειριστές λογισμικού ανοικτού κώδικα δεν θα υπόκεινται σε πρόστιμα, καθώς ο καταλογισμός της ευθύνης μπορεί να αποδειχθεί ιδιαίτερα περίπλοκος, και δεν θα πρέπει να επιδεικνύουν τη σήμανση CE για να αποδεικνύουν τη συμμόρφωση με τους κανόνες της ΕΕ.
Τέλος, από το πεδίο εφαρμογής του κανονισμού εξαιρείται το λογισμικό που αναπτύσσεται συνεργατικά χωρίς να υπάρχει ένας μόνο φορέας που αποφασίζει τι θα γίνει αποδεκτό στον κώδικα του έργου και θα διατεθεί στην αγορά εκτός εμπορικής δραστηριότητας.
Επιπλέον, το κείμενο διευκρινίζει ότι οι ατομικές συνεισφορές των προγραμματιστών σε έργα ανοικτού κώδικα δεν θεωρούνται «κατασκευαστική δραστηριότητα», ενώ οι οντότητες που φιλοξενούν λογισμικό ανοικτού κώδικα στα ανοικτά αποθετήριά τους δεν θεωρούνται διανομείς, εάν το λογισμικό παρέχεται με ελεύθερη άδεια χρήσης.
Το κείμενο εξουσιοδοτεί την Ευρωπαϊκή Επιτροπή να εκδώσει δευτερογενή νομοθεσία για τη θέσπιση προγραμμάτων πιστοποίησης ασφάλειας σε εθελοντική βάση για τους προγραμματιστές και τους χρήστες λογισμικού ανοικτού κώδικα να αξιολογούν τη συμμόρφωση με τη νομοθεσία της ΕΕ και να βοηθούν τους κατασκευαστές να ενσωματώνουν τα στοιχεία ανοικτού κώδικα στα προϊόντα τους.
Περίοδος στήριξης
Καθ’ όλη τη διάρκεια της περιόδου υποστήριξης, οι κατασκευαστές πρέπει να διασφαλίζουν τον χειρισμό των τρωτών σημείων, ιδίως με τη διάθεση διορθωτικών διορθώσεων ασφαλείας χωρίς αδικαιολόγητη καθυστέρηση. Η αρχική πρόταση ανέφερε ότι η περίοδος υποστήριξης θα έπρεπε να διαρκεί για την αναμενόμενη διάρκεια ζωής του προϊόντος ή για πέντε έτη, ανάλογα με το ποιο από τα δύο είναι μικρότερο.
Το Κοινοβούλιο και το Συμβούλιο αφαίρεσαν αυτό το ανώτατο όριο των πέντε ετών, δίνοντας στους κατασκευαστές μεγαλύτερη διακριτική ευχέρεια ώστε να μπορούν να ανταγωνίζονται. Ένα συμβιβαστικό κείμενο με ημερομηνία 24 Οκτωβρίου, το οποίο είδε το Euractiv, επανέφερε το πενταετές χρονικό πλαίσιο, αλλά με διαφορετική μορφή.
Το κείμενο, το οποίο φαίνεται να είναι και το τελικό, αναφέρει ότι «εκτός εάν το προϊόν με ψηφιακά στοιχεία αναμένεται να χρησιμοποιηθεί λιγότερο από πέντε χρόνια, η περίοδος υποστήριξης δεν μπορεί να είναι μικρότερη από πέντε χρόνια».
Για τον καθορισμό της περιόδου υποστήριξης, οι κατασκευαστές πρέπει να λαμβάνουν υπόψη το χρόνο που αναμένεται να χρησιμοποιηθεί το προϊόν, τις εύλογες προσδοκίες των χρηστών, τη φύση του προϊόντος, το σκοπό του και την περίοδο υποστήριξης για παρόμοια προϊόντα που υπάρχουν στην αγορά.
Το σκεπτικό για τον καθορισμό της περιόδου υποστήριξης πρέπει να περιλαμβάνεται στον τεχνικό φάκελο. Η περίοδος υποστήριξης πρέπει να αναγράφεται στη συσκευασία του προϊόντος.
Σύμφωνα με τον συμβιβασμό, κάθε ενημερωμένη έκδοση ασφαλείας θα πρέπει να παραμένει διαθέσιμη για τουλάχιστον 10 έτη. Ομοίως, η τεχνική τεκμηρίωση θα πρέπει να παραμένει διαθέσιμη για 10 έτη ή για την περίοδο υποστήριξης του προϊόντος, ανάλογα με το ποια από τις δύο είναι μεγαλύτερη.
Πηγή: Εuractiv.gr
Related Post
Leave a comment