Declaración de los desarrolladores de Debian sobre la Ley de Resiliencia Cibernética
Hace pocos días se dieron a conocer los resultados de la votación general de los desarrolladores del proyecto Debian, en la que han emitido su posición respecto al proyecto de Ley de Resiliencia Cibernética (CRA) propuesto en la Unión Europea.
Ley de Resiliencia Cibernética tiene como objetivo establecer requisitos adicionales para los fabricantes de software, con el objetivo de mejorar la seguridad y la gestión de vulnerabilidades a lo largo del ciclo de vida del producto. Sin embargo, la comunidad de Debian expreso sus preocupaciones sobre el impacto potencial en el ecosistema de desarrollo de software de código abierto.
¿Que es Ley de Resiliencia Cibernética?
La Ley de Resiliencia Cibernética (CRA) es una legislación propuesta por la Comisión Europea que tiene como objetivo aumentar la ciberseguridad de los productos y servicios digitales en la Unión Europea.
La CRA establece una serie de requisitos para los fabricantes y proveedores de productos y servicios digitales, que deben cumplirse a lo largo de todo el ciclo de vida del producto o servicio y en caso de incumplimiento de los requisitos, está previsto introducir multas que pueden alcanzar los 15 millones de euros o el 2,5% de la facturación anual de la empresa.
Una vez que la legislación sea aprobada, se requerirá que los fabricantes faciliten la distribución de parches para abordar vulnerabilidades en sus productos. Además, deberán llevar a cabo evaluaciones de riesgos de seguridad antes de lanzar nuevos productos al mercado y realizar pruebas de seguridad. En particular, se implementarán auditorías externas obligatorias para sistemas críticos. Además, se espera que los fabricantes eliminen cualquier vulnerabilidad a lo largo de todo el ciclo de vida del producto y comuniquen incidentes de seguridad en un plazo máximo de 24 horas tras su descubrimiento a la agencia de ciberseguridad de la Unión Europea (ENISA).
Cabe mencionar que el impacto principal de la legislación recaerá en los productores de software comercial, pero existe la preocupación en la comunidad respecto a su posible efecto negativo en el ecosistema de desarrollo de software de código abierto.
Principales puntos de preocupación
Responsabilidad legal para Debian
El proyecto de ley introduce responsabilidad legal por el incumplimiento de los requisitos de seguridad, lo que va en contra de la responsabilidad social de Debian de distribuir software para cualquier propósito y sin restricciones. Al no rastrear la procedencia del código y distribuir software para cualquier propósito sin restricciones, Debian se enfrenta a riesgos legales al aplicar los requisitos establecidos en la CRA.
Posible retiro de código abierto
La CRA podría llevar a proyectos upstream a dejar de proporcionar su código por temor a sanciones. Esto también podría dificultar que la comunidad de código abierto comparta código, ya que los desarrolladores deberán considerar las implicaciones legales.
Impacto en el desarrollo de código abierto
La comunidad teme que la CRA pueda limitar el avance de proyectos de código abierto y obstaculizar el desarrollo internacional de software de código abierto. Las empresas que utilizan o contribuyen a proyectos de código abierto podrían ser responsables de problemas de seguridad, incluso si el código fue creado en otros países.
Riesgos legales para proyectos independientes
Proyectos independientes que incorporan código de fabricantes comerciales pueden enfrentar consecuencias legales inciertas ya que la responsabilidad legal introducida por la CRA podría afectar la transferencia de código entre proyectos comerciales y no comerciales.
Naturaleza cuestionable de los requisitos de informes
Los desarrolladores expresan dudas sobre la exigencia de informar problemas de seguridad a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) dentro de las 24 horas. Acumular información sobre vulnerabilidades no parcheadas en un solo lugar podría plantear riesgos significativos en caso de fuga de información.
Demandas y Propuestas
Exclusión del desarrollo de código abierto
Los desarrolladores de Debian piden que el desarrollo de código abierto se elimine por completo de la CRA y que la ley solo se aplique a productos finales.
Exención para comerciantes individuales y pequeñas empresas
Se propone que los requisitos de la CRA no se apliquen a comerciantes individuales y pequeñas empresas, ya que podrían no cumplir con todos los requisitos y podrían verse obligados a cerrar.
Reevaluación de los requisitos de informes
Los desarrolladores de Debian hacen un llamado a una reevaluación de la necesidad y naturaleza de los requisitos de informes de la CRA, considerando los posibles riesgos de seguridad asociados.
La declaración de los desarrolladores de Debian destaca la importancia de preservar la naturaleza abierta y colaborativa del desarrollo de software de código abierto en medio de las preocupaciones planteadas por la CRA propuesta.
Finalmente, si estás interesado en poder conocer más al respecto, puedes consular los detalles en el siguiente enlace.