Opensourcewereld blij met aangepaste Europese Cyber Resilliance Act

De IT-wereld was afgelopen zomer in rep en roer over de gevolgen van de voorgestelde Europese Cyber Resilliance Act voor de opensource ontwikkelaars. Brussel ging met de kritiek aan de slag. Nu het wetsvoorstel nagenoeg definitief is klinkt er optimisme. 

Diverse open source-organisaties waaronder Apache, Adafruit, OpenInfra en Eclipse geven in verschillende statements aan opgelucht te zijn omdat diverse grote zorgen zijn weggenomen over vereisten aan open source-software. Deze gingen onder meer om complexe certificering en onrealistische wettelijke vereisten voor softwarereleases. Zo werden softwaremakers bij inwerkingtreding van de Europese wetgeving aansprakelijk gesteld voor slecht werkende of onveilige software. Ook krijgen ze diverse controles en vragenlijsten die vooraf moeten worden ingevuld over software over bijvoorbeeld beoogde doeleinden. Veel van deze eisen zijn voor open source-ontwikkelaars onwerkbaar, zo gaven zij aan.

Dirk-Willem van Gulik, founder van de Apache Software Foundation en één van de grondleggers van het moderne internet, schrijft in een blog dat de Cyber Resilliance Act het belang van open source voor innovatie in de softwarewereld in eerste instantie niet goed erkende en daarmee ook de gevolgen voor andere industrieën waaronder de autowereld hebben onderschat. Behalve de opensourcewereld kwamen diverse industrieën die afhankelijk zijn van open source-software dan ook in actie.

Een eigen ‘klasse’

In de afgelopen maanden is er door de organisaties veel tijd en energie gestoken om te praten met Europese beleidsmakers, het Europees Parlement, de Commissie en nationale regeringen. Het resultaat daarvan is dat er een nieuw concept is geïntroduceerd: de ‘open source steward’, een eigen economische klasse voor de software-industrie die los staat van alle andere partijen die software op de markt brengen. Veel voorgestelde regels en vereisten vallen daarmee weg.

Volgens Van Gulik is de Cyber Resilliance Act nu veel meer afgestemd op hoe de moderne software-industrie is gestructureerd. Voor alle vrijwilligers die sleutelen aan open source software is dat volgens hem dan ook goed nieuws. “Zo wordt nu erkend dat ontwikkel- en distributieplatformen geen economische actoren zijn die een product ‘verkopen’, of partijen die op een zinvolle manier betrokken zijn bij het op de markt brengen van wat mensen op hun platformen zetten. Ook erkent de Cyber Resilliance Act dat er een breed scala aan mensen is die met code werken en deze aan anderen kunnen bekendmaken, maar geen economische actoren zijn die een product op de markt brengen.”

Voorzichtig optimistisch

Open source wordt in de nieuwe versie minder hard ‘geraakt’ door de nieuwe regels voor software. Daar is ook Thierry Carrez van Open Infrastructure Foundation blij mee. “We zijn voorzichtig optimistisch dat de in de Cyber Resilliance Act aangebrachte verduidelijkingen een mondiaal huiveringwekkend effect hebben de ontwikkeling en participatie van open source-software.”

Software wordt volwassen product

De opensource-gemeenschap lijkt nu dus wél heil te zien in voorgestelde Cyber Resilliance Act, die ontworpen is om software veiliger te maken. De impact op de IT-wereld als geheel blijft echter enorm. Het gaat door de nieuwe verplichtingen waarschijnlijk een stuk duurder worden om software te kunnen maken. Met de Cyber Resilliance Act komt namelijk een einde aan een de gebruikelijke gang van zaken waarbij softwaregebruikers afhankelijk zijn van de goede wil van leveranciers om tijdig securityupdates te ontvangen, of in sommige gevallen zelfs moeten betalen voor updates en patches die software veilig houden. De softwarewereld wordt volgens Van Gulik nu eindelijk ‘volwassen’.  “Licentieovereenkomsten met eindgebruikers, click-through-licenses, disclaimers, vrijstellingen: ze worden straks allemaal terzijde geschoven door de nieuwe wet en dat is best wel een schok.”