Lei de Resiliência Cibernética da União Europeia poderá gerar uma sobrecarga de conformidade em desenvolvedores de código aberto, alerta NLnet Labs · FlaviaCarvalho

A organização acredita que essa proposta legislativa, na forma como ela está agora, perde uma grande oportunidade: em vez de dar suporte aos profissionais que mantêm os fundamentos críticos de nossa sociedade digital, ela tende a impor uma carga que pode variar de difícil a impossível para desenvolvedores pequenos ou sem dinheiro.

A Lei de Resiliência Cibernética pretende garantir a cibersegurança de produtos com elementos digitais, estabelecendo requisitos e obrigações para fabricantes e afetando todos os hardwares e softwares do mercado europeu.

Para se certificar de esses requisitos estão sendo cumpridos, os fabricantes (ou, neste caso aqui, os programadores) precisarão realizar avaliações de risco e produzir documentação técnica.

A ilustração de uma grande estrutura com várias peças, sendo sustentada por uma pequena peça lateral. A estrutura é apontada (em inglês) como “toda a infraestrutura moderna digital”, enquanto a pequena peça é apontada como "um projeto que alguma pessoa aleatória no Nebraska tem mantido sem gratidão desde 2003"

Em caso de sistemas críticos (cujas categorias definidas pela Lei incluem implementações amplamente utilizadas em softwares open source), é obrigatória a contratação de um auditor terceirizado. O que tende a ser um problema porque:

Auditorias são mais voltadas para negócios e podem ser muito caras;
Habilidades jurídicas, de conformidade e de auditoria não são muito presentes em grupos de desenvolvedores de código aberto.

A fim de não prejudicar a inovação, a proposta de Lei chegou a estabelecer que "software livre e de código aberto, desenvolvido ou fornecido fora do âmbito de uma atividade comercial, não deverá ser abrangido pelo presente regulamento". Entretanto, esse é um conceito um tanto rebuscado.

Não há certeza jurídica sobre os limites do termo “atividade comercial” no contexto do fornecimento de software open source

Quanto maior a dependência do software, maiores as demandas e expectativas em cima dos desenvolvedores – o que leva muitos deles a buscar maneiras de trabalhar em tais projetos em tempo integral. Cobrar pelo suporte, por exemplo, poderia ser o suficiente para enquadrar um sistema como atividade comercial.

A NLnet Labs destaca que não faz sentido esperar que essa questão passe pelos tribunais para criar os precedentes legais necessários para esclarecê-la e que, “como comunidade de tecnologia, temos a responsabilidade compartilhada de contribuir para a qualidade da formulação de políticas que nos afeta e, por meio de nosso trabalho, a sociedade em geral”.