Ley de Ciberresiliencia de la UE: un nuevo desafío para los proyectos de código abierto

Ley de Ciberresiliencia de la UE: un nuevo desafío para los proyectos de código abierto es perfilado por BTW Media porque la evidencia publicada lo vincula con la infraestructura de internet, la gobernanza, las dependencias operativas o la visibilidad del mercado.

• La Ley de Ciberresiliencia de la UE (CRA) está a punto de remodelar cómo se regulan los productos digitales en la Unión Europea.
• Durante la presentación de la Comunidad RIPE delRIPE NCCpublicada el 12 de diciembre de 2024, el experto en privacidad y cumplimiento August Bournique explicó las implicaciones de la CRA, en particular para el software de código abierto.

Lo que ocurrió

LaCRA,que se aprobó oficialmente en 2024, es el último impulso de la UE para garantizar la seguridad y la transparencia en los productos digitales con componentes de red. Para 2027, todos los productos afectados deberán cumplir con estrictos requisitos de seguridad. Este cronograma incluye múltiples fases, comenzando con la notificación obligatoria de vulneraciones y vulnerabilidades por parte de los fabricantes en 2026.

A partir de 2027, los fabricantes deberán cumplir con las normas de documentación técnica y obtener certificaciones para sus productos. La CRA también introduce un sello orientado al consumidor para indicar el cumplimiento de un producto con las normas de la UE. Si bien esto tiene como objetivo armonizar la seguridad entre los Estados miembros, conlleva desafíos, en particular para entidades más pequeñas como los proyectos de código abierto.

Lea también:La Comisión Europea presenta preguntas frecuentes sobre finanzas sostenibles
Lea también:Virkkunen y Ribera liderarán la regulación de las telecomunicaciones de la UE en 2024

Bournique destacó que los proyectos de código abierto generalmente están excluidos de la CRA, a menos que tengan un elemento comercial. Sin embargo, determinar qué constituye un proyecto de código abierto "comercial" sigue siendo confuso. Por ejemplo, recibir donaciones o proporcionar servicios de mantenimiento no califica necesariamente a un proyecto como comercial. Sin embargo, los proyectos vendidos explícitamente para su integración en productos comerciales podrían entrar en el ámbito de la CRA.

La ley también depende en gran medida de la autoevaluación y la certificación, lo que, según Bournique, podría ser problemático debido a los limitados recursos de aplicación. Se espera que la agencia de ciberseguridad de la UE, ENISA, y los equipos nacionales supervisen el cumplimiento, pero con solo alrededor de 100 empleados en el organismo regulador principal, la carga podría recaer en los fabricantes para garantizar que cumplan los requisitos.

Por qué esto es importante

La CRA tiene como objetivo mejorar la confianza de los consumidores y unificar las normas de ciberseguridad, pero su amplio alcance podría tener consecuencias no deseadas. Los desarrolladores de código abierto, que a menudo operan fuera de los marcos comerciales tradicionales, enfrentan incertidumbre sobre cómo —o si— la CRA se aplica a su trabajo. Si bien la mayoría de los proyectos no comerciales probablemente estén exentos, los proyectos utilizados en productos comerciales aún podrían enfrentar obstáculos de cumplimiento.

Bournique mencionó que, incluso con exenciones, las organizaciones más pequeñas pueden tener dificultades con la ambigüedad legal y los posibles costos de cumplimiento. Para los proyectos comerciales de código abierto, navegar por la CRA podría significar contratar asesoría legal o arriesgarse a sanciones. Sin embargo, existen concesiones para las empresas más pequeñas, como multas reducidas, y se están realizando esfuerzos para establecer estándares específicos de la industria a través de ONG como la Linux Foundation.

La CRA también indica un cambio en cómo los reguladores ven la seguridad de los productos digitales. Al priorizar la ciberseguridad desde la etapa de desarrollo, la UE espera prevenir violaciones en lugar de solo reaccionar ante ellas. Sin embargo, como señaló Bournique, la aplicación probablemente evolucionará con el tiempo, y las interpretaciones de la ley darán forma a cómo se aplica en la práctica.

La presentación de Bournique en el RIPE NCC fue particularmente oportuna dadas las implicaciones de la CRA para la comunidad de código abierto. Como alguien con experiencia en cuestiones de privacidad y cumplimiento, proporcionó información fundamental sobre cómo esta regulación puede desafiar las prácticas actuales. Dado que el ecosistema de código abierto desempeña un papel vital en el desarrollo de tecnologías en red, la CRA representa tanto un obstáculo como una oportunidad para repensar el enfoque de la seguridad digital.

A medida que se acerca la fecha límite de 2027, las organizaciones y los desarrolladores deberán prestar mucha atención a cómo evolucionan estas regulaciones, asegurando que su trabajo siga siendo viable en un panorama digital cada vez más regulado.