pile of papers

欧洲开源:应对监管挑战

欧洲的《网络弹性法案》(CRA) 将强制所有数字产品采用严格的安全标准……
首页 » 博客 » 欧洲开源:应对监管挑战

欧洲的《网络弹性法案》(CRA) 将强制所有数字产品采用严格的安全标准。虽然开源社区欢迎对安全的关注,但驾驭 CRA 的复杂性显然是一个挑战。

在最近的 OW2Con 上,一个专家小组讨论了合规和标准化的最重要方面。深入研究 CRA 细节的有开源促进会 (The Open Source Initiative) 的 Simon Phipps、开源标准倡导者 Camille Moulin 以及我自己,开源企业家 Stéfane Fermigier。会议以宽松的 鱼缸式形式 组织,听众可以坐在台上轮换替换小组成员。

This image has an empty alt attribute; its file name is Screenshot-2024-07-03-at-20.51.25.jpg
从会议环节来看,从左到右:Fermigier、Moulin 和 Phipps。屏幕截图

以下是 2024 年 6 月在 OW2Con 上题为“欧洲软件行业即将到来的监管”的会议的编辑和浓缩文字稿.

Simon Phipps: 让我们开始讨论欧洲软件行业即将到来的监管。这个话题是由欧洲委员会和议会今年颁布的一项名为《网络弹性法案》(CRA) 的立法引发的,其发展始于 2022 年。

以下是会议的进行方式:首先,Camille 将清晰地介绍即将出台的《网络弹性法案》(CRA) 立法。然后,我将带您了解开源社区如何参与 CRA 讨论的故事。

最后,Stéfane 将讨论与欧盟委员会合作仍在进行中的领域以及需要完成的工作……

Camille Moulin: 对于那些不认识我的人,我不是律师,但我多年来一直参与开源社区,并意识到欧洲法规可能对我们的工作产生重大影响。例如,《通用数据保护条例》( GDPR ) 提出了明确的要求,而最近的 《数字市场法案》 引入了守门人的概念。该法案允许我们重新审视旧问题,例如开源系统和硬件的捆绑销售。

开源监管为自由和开源软件提供了巨大的机会,但也带来了风险。CRA 就是一个典型的例子,即将出台的 《产品责任指令》 也是如此。这些法规挑战了开源许可证中的非担保和责任限制条款,降低了它们的影响。忽视这些法规是不可行的,因为它们从根本上影响了开源。

对于知识渊博且对开源真正感兴趣的个人来说,为这些法规做出贡献至关重要。CRA 因为这些贡献而发生了真正的变化,突出了真正参与的重要性。然而,诸如 开放清洗 和法规中未定义的术语,例如 《人工智能法案》 中关于 开源人工智能 的概念,都带来了挑战。必须有真诚的参与者为法规做出贡献……

Stéfane Fermigier: 我代表 CNLL (法国国家开源企业联合会)和 APELL(一个代表欧洲国家开源组织的欧洲联合会),我将讨论我们在过去两年中在 CRA 方面所做的努力以及我们为支持我们的社区应对这项法规而采取的举措。

我们最早在 2022 年底听说了 CRA,最初对其内容表示怀疑。12 月,委员会的 OSPO 在布鲁塞尔组织了一次关于开源可持续性的研讨会,但 CRA 的起草者均未出席。委员会内部的这种脱节突显了一个重大问题:那些了解开源的人没有被那些监管开源的人咨询。

尽管尝试参与,包括公开信和会议请求,但我们在与委员会沟通方面收效甚微。这教会了我们确保政府组织内部的专家在相关主题上进行协作的重要性。

在 APELL,我们的目标是代表欧洲的开源商业生态系统,并寻求资金在布鲁塞尔建立办事处。CNLL 和其他国家组织正在成立工作组,以帮助公司应对 CRA 广泛的法规,据估计,这将使开发成本增加 30%

摘自 CRA 的 欧盟委员会影响评估 .pdf 2,第 56 页。

Phipps: CRA 要求欧洲任何包含数字元素的产品都必须贴上 CE 标志,以确保其符合安全性和功能标准,并在整个生命周期内保持合规。欧洲标准组织,如 ETSICEN-CENELEC,负责制定 CRA 合规的协调标准。然而,这些机构缺乏开源专业知识。

Eclipse 正在开展一个 计划,以帮助开源管理者 和公司遵守即将到来的标准。参与并提出反映开源现实的强大且相关的标准至关重要。我们需要协调一致的努力,以确保在这些标准化过程中代表开源的观点。

从左到右,Phipps、Moulin、Blondelle 和 Fukami。屏幕截图。

Fukami: 我参与欧盟政策和网络安全已有二十多年。我赞赏委员会的开放态度,但认为我们的社区仍然难以有效地沟通并在适当的时候参与。CRA 及其相关标准只是我们需要全面解决的更广泛监管环境的一部分。

有效的参与需要组织和对监管环境的理解。虽然开源社区取得了进展,但仍然需要改进协调和战略。OSI 和 APELL 等组织发挥着关键作用,但我们必须确保我们的努力是连贯且有影响力的。

Gael Blondelle: 我代表 Eclipse,去年对于开源社区来说非常忙碌,因为 CRA。我们致力于为我们的社区创建危害较小的 CRA 版本。该法规将在三年多后生效,在此期间,将制定标准。我们已经建立了联系,以积极影响这些标准。

我们的开放监管合规工作组旨在起草规范,以管理整个开源供应链的网络安全,涉及 管理者、公司和研究人员。我们希望将这些规范提交给标准化机构,确保在最终标准中考虑开源的需求。

Pierre-Yves Gibello: 我代表 OW2,OW2 是一个可能被视为 CRA 下管理者的基金会,我们正在探索如何为我们的成员提供符合 CRA 的管理服务,而不会带来巨大的成本或 IP 入侵。如果成功,这可以为中小企业提供可行的解决方案,但我们必须等待最终立法才能确定这是否可行。

Phipps: 为了继续这次对话,OSI 在 discuss.opensource.org 上有一个讨论论坛,您可以在那里进一步参与。让我们继续共同努力,协调我们的努力,确保我们社区的需求在这些监管过程中得到满足。

您可以在 YouTube 上观看完整的 35 分钟会议

作者

1 条评论

评论已关闭。

您可能也喜欢

如果您喜欢这篇文章,您可能也会喜欢这些