Descrizione
Discutere il CRA e le conseguenza che potrebbe avere sul contesto open source.
Sources:
- https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
- https://www.youtube.com/watch?v=nYhRo74yqJg&t=280s
- https://www.europarl.europa.eu/meps/it/124867/BRANDO_BENIFEI/assistants
- https://blog.opensource.org/the-ultimate-list-of-reactions-to-the-cyber-resilience-act/
- https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
- https://devclass.com/2023/01/24/eus-proposed-ce-mark-for-software-could-have-dire-impact-on-open-source/
Email da scrivere
OGGETTO: Cyber Resilience Act: un grosso errore per lo sviluppo e l’economia del paese.
Tra pochi giorni si voterà per l’approvazione della proposta di legge in oggetto (CRA).
Questo provvedimento, se approvato per come è scritto, rischia di danneggiare gravemente la comunità Free Software & Open Source in Europa.
L’Open Source ha un ruolo cardinale nello sviluppo economico del paese, rappresentando un asset fondamentale per numerosissime realtà su tutto il territorio Europeo.
L’intento della proposta di legge in oggetto è nobile, ma nella attuale formulazione risulta problematico per più ragioni:
-
La restrizione alla distribuzione di “software incompleto” si basa su una concezione anacronistica dello sviluppo del software ed è in diretta opposizione con il modello di sviluppo ed evoluzione tecnologica dell’Open Source.
-
Nell’attuale disegno di legge, “fini commerciali” è definito come “fornire una piattaforma software tramite la quale il produttore possa monetizzare altri servizi” ma questo è il business model di quasi tutte le realtà Open Source, che quindi non sarebbero esenti dal disegno di legge, contrariamente a quanto indicato in un passaggio precedente.
-
L’articolo 16, sancisce che “chi applica modifiche sostanziali” ad un progetto, è considerato al pari dell’autore in termini di responsabilità. Questo è un forte disincentivo alla collaborazione da parte di terzi che contraddistingue tutti i progetti Open Source.
Per queste ragioni, le organizzazioni dei più importanti progetti Open Source sarebbero costrette a chiudere i battenti e smettere di erogare i propri prodotti e servizi su tutto il territorio Europeo, con significative ripercussioni su tutte le realtà cyber Italiane ed Europee, che fanno ampio uso di componenti Open Source all’interno dei propri prodotti.
In ultimo, il beneficio di utilizzare componenti Open Source per accelerare lo sviluppo dei progetti sarebbe invece mantenuto da tutte le realtà EXTRA-EU che avrebbero un notevole vantaggio competitivo.
Per questa ragione, vi chiediamo di non approvare il disegno di legge per come è stato presentato, ma fornire le seguenti fonti per approfondire quanto discusso:
Commenti delle realtà Open al CRA: https://blog.opensource.org/the-ultimate-list-of-reactions-to-the-cyber-resilience-act/
Licenza GPLv3 (Free Software): https://www.gnu.org/licenses/gpl-3.0.html
Analisi delle possibili conseguenze: EU's proposed CE mark for software could have dire impact on open source • DEVCLASS
Panoramica sulla CRA: Cyber Resilience Act | Shaping Europe’s digital future
Timestamps
In questo video porto qualche riflessione scaturita dal Cyber Resilience Act, una proposta portata avanti dall’unione europea nel contesto della cybersecurity.
Riferimenti / Materiale
00:00 Che cos’è il CRA?
02:20 Perché è stato sviluppato il CRA
05:00 Obiettivi del CRA
11:30 L’effetto del CRA sull’open source
18:30 Articolo 4: “unfinished software”
21:25 Annex I: Requisiti di sicurezza richiesti
28:34 Annex I: Gestione delle vulnerabilità
32:00 Articolo 16: “substantial modification”
37:40 Analisi dei costi
39:35 Osservazioni finali
43:24 Cosa possiamo fare?