Nueva Ley Europea de Ciberseguridad y consecuencias para los CMS open source
La ciberseguridad es una preocupación constante tanto para los usuarios como para las empresas y las organizaciones. Por esta razón, gobiernos e instituciones se afanan en regular vacíos legales que nos protejan de forma integral frente a los ataques maliciosos de terceros que buscan algún beneficio. Es el caso de la Unión Europea.
Para cumplir con sus objetivos de protección supranacional, los legisladores comunitarios decidieron dar un paso más al proponer la denominada Cyber Resilience Act (CRA), o Ley de Ciberresiliencia, en septiembre de 2022. A priori, puede ser un instrumento positivo y muy oportuno para velar por la seguridad digital de la ciudadanía europea.
Pero vista en profundidad, esta regulación parece un enfrentamiento directo contra los CMS de código abierto. Pero ¿en qué medida? ¿Qué consecuencias supone para los softwares open source la aplicación de la CRA? Analizamos el alcance de esta nueva regulación europea y los efectos que derivan de ella para muchas organizaciones que emplean este tipo de software en sus sitios web.
El porqué de Cyber Resilience Act
La confianza en los servicios electrónicos es vital para la supervivencia del mercado actual, cada vez más digitalizado. Los productos deben ser fiables y tanto las empresas como los usuarios deben sentirse seguros con su uso. Con esta propuesta de la Unión Europea sobre requisitos de ciberseguridad exigibles a los productos con elementos digitales se busca reforzar esas normas y garantizar la seguridad del hardware y el software.
Esta ley es oportuna porque se ocupa de regular productos que carecían de normativa europea hasta el momento. La necesidad de legislación es real, sobre todo cuando el índice de ciberataques, según el Instituto Nacional de Ciberseguridad (INCIBE), va en aumento. Además, las disposiciones se centran en la vulnerabilidad de los programas informáticos no integrados.
¿Qué supone esta nueva regulación europea?
Aunque el planteamiento inicial es muy positivo, ya que vela por reforzar la confianza de la ciudadanía en los productos y los servicios digitales, lo cierto es que se enfrenta directamente a la naturaleza de un tipo de software muy extendido en el mundo: el de código abierto.
Esto es así porque el reglamento habla de actividad comercial a lo largo del texto legal y, como se sabe, el desarrollo de código abierto está fuera de este mercado. De hecho, esta es una de las razones de ser de las alternativas open source: códigos fuente y versiones modificadas que se comparten de forma abierta y son accesibles, utilizables y redistribuibles libremente.
Aunque la UE mantiene su firme posición de abogar por el código abierto, el borrador de la ley suscita dudas que es preciso aclarar antes de su aplicación:
¿En qué posición queda este tipo de software cuando se apruebe la propuesta?
¿Qué ocurre si se vulnera el código de un software open source?
Al tratarse de desarrollos colaborativos, ¿quién es el responsable original del software en caso de ciberataque?
4 Consecuencias reales para el software libre
1. Penalización a desarrolladores
El desajuste con la realidad estriba en lo que esta ley considera como actividad comercial. El software libre no se sustenta con empresas, sino que sobrevive en un ecosistema de donaciones y patrocinios.
Por tanto, la propuesta penalizará a los desarrolladores de código abierto que reciban cualquier cantidad económica en forma de compensación monetaria por su trabajo.
2. Vulnerabilidades a la vista de todos
La CRA exigirá a los fabricantes que informen a los reguladores de las vulnerabilidades no parcheadas y explotadas activamente.
Por la naturaleza del open source se corre el riesgo de exponer el conocimiento y la explotación de esas vulnerabilidades a un público más amplio. En lugar de solucionar ataques, esta ley los agravaría si se publica según está redactada actualmente.
3. Sanción al software inacabado
El software de código abierto está inacabado. Se trabaja en nuevos módulos, versiones o actualizaciones que se comparten entre desarrolladores para fomentar la investigación y la innovación competitiva.
La nueva norma sanciona el software inacabado, por lo que este borrador obvia la esencia colaborativa del código abierto.
4. Certificación obligatoria del software
El software deberá estar certificado sin tener en cuenta si los desarrolladores lo han publicado como código abierto o de forma comercial. Parece ser que no todos los creadores podrán afrontar ese paso burocrático que implica una certificación obligatoria.
La comunidad open source reclama límites a la Ley de Ciberresiliencia
Como es lógico, la comunidad open source ha alzado la voz en una carta abierta que representa los CMS gratuitos y de código abierto como Drupal, Joomla!, Typo3 o WordPress, que impulsan más de la mitad de todos los sitios web europeos y garantizan una economía de innovación competitiva.
La comunidad está a favor de regular, pero considera que no puede ser igual para todo tipo de desarrollos. Y avisa: esto puede acabar dañando en gran medida el trabajo de quienes dedican su tiempo al software libre.
Más allá de su petición de establecer límites y medir consecuencias, la comunidad solicita que el software libre y de código abierto desarrollado o suministrado fuera del curso de una actividad comercial no se encuentre cubierto por este reglamento. Esta solicitud se explica porque en muchos casos se trata de una labor altruista por parte del desarrollador. Por tanto, supondría tener que responder por el uso que se haga posteriormente de un desarrollo con el que se ha dejado de tener una asociación directa.
En la actualidad, esta propuesta de ley se encuentra en fase de debate y está pendiente de aprobación. Esperamos que las autoridades competentes tomen en consideración la carta abierta de la comunidad antes de llegar a una decisión final. En iXiam apostamos por el software libre y los sistemas que favorecen la colaboración y el bien común. Si necesitas asesoramiento sobre tecnología open source, rellena nuestro formulario de contacto. ¡Te ayudamos!
