De Python Software Foundation (PSF) is bezorgd dat de voorgestelde EU-cyberbeveiligingswetten ervoor zorgen dat opensource-organisaties onterecht aansprakelijk worden gesteld voor het verspreiden van onjuiste code.
“Als de voorgestelde wet wordt gehandhaafd zoals momenteel geschreven, kunnen de auteurs van open-sourcecomponenten juridische en financiële verantwoordelijkheid dragen voor de manier waarop hun componenten worden toegepast in het commerciële product van iemand anders”, zegt de PSF in een verklaring.
Europese wetgevers introduceerden vorig jaar twee wetteksten om de beveiliging en aansprakelijkheid van software aan te pakken. Vanaf het begin heeft de technische gemeenschap zich verzet tegen de regels.
Cyber Resilience Act
De Cyber Resilience Act (CRA) verplicht productmakers om de productbeveiliging te beoordelen, procedures voor het beperken van kwetsbaarheden te implementeren en beveiligingsinformatie aan klanten vrij te geven. De wet heeft als doel om de veiligheid van digitale producten te verbeteren.
Wanneer een softwareleverancier niet voldoet aan de eisen, kunnen boetes oplopen tot 15 miljoen euro of tot 2,5 procent van de jaaromzet, afhankelijk van wat het hoogste is. De CRA moet nog worden goedgekeurd door het Europees Parlement en de Europese Raad.
Product Liability Act
De Product Liability Act past de Europese regels voor productaansprakelijkheid aan door digitale productwijzigingen op te nemen die voortkomen uit software-updates. De wet stelt consumenten in staat om schadevergoeding te eisen als ze schade oplopen door producten die onveilig zijn geworden na een software revisie.
Europese regels ontmoedigen opensource-bijdragen
De PSF dringt er bij Europese wetgevers op aan om de brede taal in de voorgestelde wetgeving te verduidelijken. Dit moet ervoor zorgen dat opensource-organisaties en ontwikkelaars niet verantwoordelijk worden gehouden door gebreken in commerciële producten die gebruik maken van hun code.
“Onder de huidige taal zou de PSF mogelijk financieel aansprakelijk kunnen zijn voor elk product dat Python-code bevat, terwijl het nooit enige geldelijke winst heeft ontvangen van een van deze producten”, zegt de PSF. Het toevoegen van een dergelijk risico zou het voor de stichting onmogelijk maken om Python en PyPI (de Python Package Index) te blijven aanbieden in Europa.