Hoe de nieuwe EU-cyberwet open source grotendeels buiten schot houdt

Open-source software valt alleen binnen de reikwijdte an de CA wanneer deze 'op de markt wordt aangeboden', oftewel wanneer sprake is van distributie of gebruik in het kader van een commerciële activiteit. Software die niet wordt gemonetiseerd door de fabrikant wordt niet als commercieel beschouwd. Ook individuele ontwikkelaars die bijdragen aan open-sourceprojecten vallen buiten de scope, zolang zij niet verantwoordelijk zijn voor het eindproduct.

Open-source software stewards

Daarnaast introduceert de wet een nieuwe categorie: open-source software stewards. Dit zijn organisaties die structureel ondersteuning bieden aan de ontwikkeling van open-source software die bedoeld is voor commerciële toepassingen en die een belangrijke rol spelen in de levensvatbaarheid ervan. Voor deze groep geldt een lichter toezichtskader.

Wanneer een fabrikant een product met digitale elementen op de markt brengt dat bestaat uit open-source software, moet deze voldoen aan de verplichtingen die gelden voor fabrikanten onder de CRA. Open-source software stewards hebben eigen verplichtingen, zoals het opstellen van een cybersecuritybeleid, het bevorderen van veilige ontwikkelpraktijken, samenwerking met toezichthouders en het melden van actief misbruikte kwetsbaarheden en ernstige incidenten. Zij zijn niet onderworpen aan administratieve boetes bij overtredingen.

Zorgen weggenomen

Eerdere zorgen binnen de open-sourcegemeenschap over de impact van de CRA leidden tot aanpassingen in de uiteindelijke tekst van de wet. In een interview met AG Connect, circa anderhalf jaar geleden, werd gewezen op mogelijke risico’s voor open-sourceontwikkeling. De huidige formulering van de CRA laat zien dat deze zorgen deels zijn meegenomen, onder meer door het expliciet uitsluiten van niet-commerciële projecten en individuele bijdragen.