欧盟政策制定者对开源软件和即将出台的《网络安全弹性法》中支持期的态度正在逐渐明朗。
《网络安全弹性法》是一项立法提案,为联网设备引入安全要求。该法律草案正处于立法程序的最后一步,欧洲议会、理事会和委员会聚集在“三方会议”中,共同制定最终文本。
根据Euractiv看到的妥协文本,欧盟政策制定者正在接近就文本的两个关键部分达成妥协:如何监管开源软件,以及定义一个支持期,在此期间制造商将保证安全更新。
如果得到确认,这些文本部分很可能在11月8日的下一次三方会议上得到政治层面的认可。
开源软件(OpenSource Software)
数字领域创新的主要推动力之一是开源软件,该草案法律的一个主要讨论点就是如何处理开源软件。欧盟谈判代表正在讨论的是基于10月20日初步传阅的妥协方案。
虽然开源软件的特点是协同开发,但权利人可以有不同的方式来控制最终代码的接受程度以及如何商业化。
这两个因素对于确定开源软件在多大程度上符合即将出台的网络安全法的要求至关重要。这就是为什么欧盟政策制定者提出了一种分层的做法,并规定了相应的义务。
单独开发和控制嵌入其产品中的开源软件的商业实体必须遵守《网络弹性法》的所有义务,包括基本要求、技术文档、合格标记和市场监督。
更复杂的情况涉及在开源软件基金会或“管理人”等支持组织保护下协同开发软件的情况。这里的想法是引入一个更宽松的制度,并规定特定的义务。
为开源软件管理者量身定制的要求包括:促进漏洞处理流程,包括立即推出安全补丁,并报告被积极利用的漏洞。
同时,由于归责问题可能特别复杂,开源软件管理者不会受到罚款,也不需要展示CE标志以证明符合欧盟法规。
最后,在没有单一实体决定项目代码的接纳并在商业活动之外进入市场的合作开发软件将不纳入该法规的适用范围。
此外,文本还规定,开发人员对开源项目的个人贡献不被视为“制造活动”,而在其开放存储库中托管开源软件的实体也不被认为是分销商,前提是该软件是在免费许可下提供的。
文本授权欧盟委员会通过二级立法来建立安全认证计划,作为开源软件的开发者和用户评估其是否符合欧盟立法的一种自愿方式,并帮助制造商将其开源组件集成到其产品中。
在整个支持期内,制造商必须确保处理漏洞,特别是立即推出安全补丁。最初的提案指出,支持期应持续到产品的预期寿命或五年,以较短者为准。
欧盟议会和理事会取消了这五年的上限,赋予制造商更多的自由裁量权,以便在这方面进行竞争。10月24日的妥协文本恢复了五年时间框架,但以不同的形式出现。
据Euractiv了解,该文本大致稳定,规定“除非预计带有数字元素的产品使用时间不到五年,否则支持期不得少于五年”。
在确定支持期时,制造商必须考虑产品预计的使用时间、合理用户的期望、产品的性质、其目的和市场上类似产品的支持期。
确定支持期的理由应包括在技术文档中。支持期应在产品的包装上显示。
根据妥协,每个安全更新应保持可用至少10年。同样,技术文档应保持可用10年或产品支持期,以较长者为准。
阅读全文
