EU cyber resilience act: A new challenge for open-source projects

• La Ley de Resiliencia Cibernética (CRA) de la UE está a punto de remodelar la forma en que se regulan los productos digitales en la Unión Europea.
• Durante la presentación de la Comunidad RIPE de RIPE NCC publicada el 12 de diciembre de 2024, el experto en privacidad y cumplimiento August Bournique desglosó las implicaciones de la CRA, en particular para el software de código abierto.

¿Qué sucedió?

La CRA, aprobada oficialmente en 2024, es el último esfuerzo de la UE para garantizar la seguridad y la transparencia en los productos digitales con componentes de red. Para 2027, todos los productos afectados deberán cumplir con estrictos requisitos de seguridad. Este cronograma incluye múltiples fases, comenzando con la notificación obligatoria de brechas y vulnerabilidades por parte de los fabricantes en 2026.

A partir de 2027, los fabricantes deberán cumplir con los estándares de documentación técnica y obtener certificaciones para sus productos. La CRA también introduce una marca orientada al consumidor para indicar el cumplimiento de un producto con las normas de la UE. Si bien esto pretende armonizar la seguridad entre los Estados miembros, conlleva desafíos, en particular para entidades más pequeñas como los proyectos de código abierto. Ver también: El registro de miembros desaparecido de AfriNIC.

Lea también: La Comisión Europea presenta las preguntas frecuentes sobre finanzas sostenibles
Lea también: Virkkunen y Ribera liderarán la regulación de telecomunicaciones de la UE en 2024

Bournique destacó que los proyectos de código abierto generalmente están excluidos de la CRA a menos que tengan un elemento comercial. Sin embargo, determinar qué constituye un proyecto de código abierto «comercial» sigue siendo confuso. Por ejemplo, recibir donaciones o proporcionar servicios de mantenimiento no necesariamente califica un proyecto como comercial. Sin embargo, los proyectos vendidos explícitamente para su integración en productos comerciales podrían entrar en el ámbito de la CRA. Ver también: Desaparición del registro de miembros de AfriNIC.

La ley también se basa en gran medida en la autoevaluación y la certificación, lo que, según Bournique, podría ser problemático debido a los limitados recursos de aplicación. Se espera que la agencia de ciberseguridad de la UE, ENISA, y los equipos nacionales supervisen el cumplimiento, pero con solo unos 100 empleados en el organismo regulador principal, la carga podría trasladarse a los fabricantes para garantizar que cumplen los requisitos. Ver también: Alejandro Fernandez.

Por qué esto es importante

La CRA tiene como objetivo mejorar la confianza de los consumidores y unificar los estándares de ciberseguridad, pero su amplio alcance podría tener consecuencias no deseadas. Los desarrolladores de código abierto, que a menudo operan fuera de los marcos comerciales tradicionales, se enfrentan a la incertidumbre sobre cómo —o si— la CRA se aplica a su trabajo. Si bien la mayoría de los proyectos no comerciales probablemente estén exentos, los proyectos utilizados en productos comerciales aún podrían encontrar obstáculos de cumplimiento. Ver también: Aldo Garcia.

Bournique mencionó que incluso con exenciones, las organizaciones más pequeñas pueden tener dificultades con la ambigüedad legal y los posibles costes de cumplimiento. Para los proyectos comerciales de código abierto, navegar por la CRA podría significar contratar asesoría legal o arriesgarse a sanciones. Sin embargo, existen concesiones para las empresas más pequeñas, como multas reducidas, y se están realizando esfuerzos para establecer estándares específicos de la industria a través de ONG como la Fundación Linux. Ver también: Alcymer Vieira.

La CRA también señala un cambio en la forma en que los reguladores ven la seguridad de los productos digitales. Al priorizar la ciberseguridad desde la etapa de desarrollo, la UE espera prevenir las violaciones en lugar de simplemente reaccionar ante ellas. Sin embargo, como señaló Bournique, es probable que la aplicación evolucione con el tiempo, y las interpretaciones de la ley determinarán cómo se aplica en la práctica. Ver también: Alcides Cremonezi.

La presentación de Bournique en el evento RIPE NCC fue particularmente oportuna dadas las implicaciones de la CRA para la comunidad de código abierto. Como alguien con experiencia en temas de privacidad y cumplimiento, proporcionó información crítica sobre cómo esta regulación puede desafiar las prácticas actuales. Dado que el ecosistema de código abierto desempeña un papel vital en el desarrollo de tecnologías en red, la CRA representa tanto un obstáculo como una oportunidad para repensar cómo se aborda la seguridad digital. Ver también: Alberto Anaya.

A medida que se acerca la fecha límite de 2027, las organizaciones y los desarrolladores deberán prestar mucha atención a cómo se desarrollan estas regulaciones, asegurándose de que su trabajo siga siendo viable en un panorama digital cada vez más regulado. Ver también: Albert Kis.