Lei de Resiliência Cibernética da União Europeia poderá gerar uma sobrecarga de conformidade em desenvolvedores de código aberto, alerta NLnet Labs
A organização acredita que essa proposta legislativa, na forma como ela está agora, perde uma grande oportunidade: em vez de dar suporte aos profissionais que mantêm os fundamentos críticos de nossa sociedade digital, ela tende a impor uma carga que pode variar de difícil a impossível para desenvolvedores pequenos ou sem dinheiro.
A Lei de Resiliência Cibernética pretende garantir a cibersegurança de produtos com elementos digitais, estabelecendo requisitos e obrigações para fabricantes e afetando todos os hardwares e softwares do mercado europeu.
Para se certificar de esses requisitos estão sendo cumpridos, os fabricantes (ou, neste caso aqui, os programadores) precisarão realizar avaliações de risco e produzir documentação técnica.
Em caso de sistemas críticos (cujas categorias definidas pela Lei incluem implementações amplamente utilizadas em softwares open source), é obrigatória a contratação de um auditor terceirizado. O que tende a ser um problema porque:
- Auditorias são mais voltadas para negócios e podem ser muito caras;
- Habilidades jurídicas, de conformidade e de auditoria não são muito presentes em grupos de desenvolvedores de código aberto.
A fim de não prejudicar a inovação, a proposta de Lei chegou a estabelecer que "software livre e de código aberto, desenvolvido ou fornecido fora do âmbito de uma atividade comercial, não deverá ser abrangido pelo presente regulamento". Entretanto, esse é um conceito um tanto rebuscado.
Não há certeza jurídica sobre os limites do termo “atividade comercial” no contexto do fornecimento de software open source
Quanto maior a dependência do software, maiores as demandas e expectativas em cima dos desenvolvedores – o que leva muitos deles a buscar maneiras de trabalhar em tais projetos em tempo integral. Cobrar pelo suporte, por exemplo, poderia ser o suficiente para enquadrar um sistema como atividade comercial.
A NLnet Labs destaca que não faz sentido esperar que essa questão passe pelos tribunais para criar os precedentes legais necessários para esclarecê-la e que, “como comunidade de tecnologia, temos a responsabilidade compartilhada de contribuir para a qualidade da formulação de políticas que nos afeta e, por meio de nosso trabalho, a sociedade em geral”.