Hoje divulgamos artigo de Italo Vignoli, Diretor da The Document Foundation, analisando as implicações da Cyber Resilience Act (CRA), no desenvolvimento do software livre, também incluído em seu escopo.
Ela é um complemento ao da lei de responsabilidade por defeito de software, ao incluir as vulnerabilidades cibernéticas, estabelecendo requisitos específicos para garantir a segurança dos produtos digitais.
Esta lei estabelece obrigações aos fabricantes de produtos digitais, exigindo que adotem a abordagem de “Security by Design”. Assim pretende-se os produtos digitais sejam mais resistentes a ataques cibernéticos, protegendo os dados e a privacidade dos usuários.
Em março, o Parlamento Europeu aprovou o texto do CRA com uma ampla maioria de votos. Mês, o Conselho da União Europeia deu sua aprovação final, formalizando sua adoção.
O qué é “segurança by design”?
É a prática de incorporar a segurança em todas as fases do desenvolvimento de um produto ou sistema, do planejamento inicial até o lançamento e manutenção. Em vez de adicionar medidas de segurança como um “remendinho” no final, ela é um componente intrínseco do projeto, diminuindo as vulnerabilidades.
Ao adotar o Security by Design, demonstra-se um compromisso com a segurança dos dados pessoais dos clientes de produtos digitais, aplicado a uma ampla gama de produtos digitais, incluindo IoT, software e hardware. Com produtos mais seguros, os consumidores terão mais confiança em utilizar tecnologias digitais.
Também incentiva as empresas europeias a desenvolverem produtos mais seguros, aumentando sua competitividade no mercado global, além de criar um ambiente digital mais seguro, protegendo infraestruturas críticas e serviços essenciais.
Em resposta a CRA, a união do mundo open source
Essa lei impõe requisitos de segurança cibernética a fabricantes de produtos digitais, incluindo software open source (OSS), que sempre careceram de uma estrutura organizacional que lide com desafios regulatórios. Isso representou um choque, mas percebeu-se a necessidade de união para estabelecer padrões de segurança.
Em resposta, criou-se o Open Regulatory Compliance Working Group para desenvolver melhores práticas de segurança cibernética, em conformidade com a legislação, fortalecendo a indústria OSS. O que permitirá uma resposta mais eficaz a ameaças cibernéticas e regulamentações futuras.
O compartilhamento das melhores práticas desenvolvidas pelo grupo, contribuirá para a criação de software mais seguro, protegendo os dados dos usuários, e a indústria OSS poderá se posicionar de forma mais sólida no cenário global, aumentando sua influência e reconhecimento.
Apesar dos avanços, ainda há muito trabalho a ser feito. A comunidade OSS precisa continuar a se organizar, compartilhar conhecimento e colaborar em projetos de interesse comum. A CRA, inicialmente vista como uma ameaça, tornou-se um catalisador para a união e evolução da indústria de software open source.
Open Regulatory Compliance Working Group
O Open Regulatory Compliance Working Group (ORC WG) é um esforço colaborativo para facilitar a conformidade de todos os atores de código aberto com os requisitos regulatórios.
Ele reúne as partes interessadas da indústria OSS, instituições de pesquisa, fundações de código aberto, mantenedores e contribuidores para enfrentar os desafios impostos pela evolução das regulamentações globais no ecossistema de código aberto.
Por meio de um fórum aberto, troca-se conhecimento, experiências e melhores práticas; desenvolve-se diretrizes para auxiliar os esforços de conformidade; colabora na criação de ferramentas e tecnologias que suportem a conformidade regulatória e facilita discussões e coordenação entre as partes.
O foco está no CRA e outras regulamentações que impõe novos requisitos de cibersegurança às organizações, incluindo as que utilizam software de código aberto.
Ao engajar-se ativamente com as autoridades reguladoras e fornecer insights valiosos, o ORC WG garante que o código aberto permaneça uma parte vital da economia mundial, ao mesmo tempo em que cumpre os cenários regulatórios em evolução.
O autor crê que a indústria OSS tem a oportunidade de se transformar em um setor mais coeso e eficiente, adotando melhores práticas e fortalecendo a comunicação entre as partes, além de construir um futuro onde a colaboração supere a competição e o bem comum, os interesses individuais.
Fonte: links no texto