Artikel 25 Säkerhetsintyg för programvara med fri och öppen källkod

Programvara och data som delas öppet och som användarna fritt kan komma åt, använda, modifiera och redistribuera, eller modifierade versioner av dem, kan bidra till forskning och innovation på marknaden. För att främja utvecklingen och spridningen av programvara med fri och öppen källkod, särskilt av mikroföretag och små och medelstora företag, inbegripet uppstartsföretag, enskilda personer, ideella organisationer och akademiska forskningsorganisationer, bör tillämpningen av denna förordning på produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som tillhandahålls för distribution eller användning i samband med kommersiell verksamhet ta hänsyn till de olika utvecklingsmodellerna för programvara som distribueras och utvecklas inom ramen för licenser för programvara med fri och öppen källkod.

Med programvara med fri och öppen källkod avses programvara vars källkod delas öppet och vars licensiering ger alla rättigheter att göra den fritt tillgänglig, samt möjlig att använda, ändra och omfördela. Programvara med fri och öppen källkod utvecklas, underhålls och distribueras öppet, inbegripet via onlineplattformar. När det gäller ekonomiska aktörer som omfattas av denna förordning bör endast programvara med fri och öppen källkod som tillhandahålls på marknaden och som därför levereras för distribution eller användning i samband med kommersiell verksamhet omfattas av denna förordnings tillämpningsområde. De omständigheter under vilka produkten med digitala element har utvecklats, eller hur utvecklingen har finansierats, bör inte beaktas vid fastställandet av huruvida denna verksamhet är av kommersiell eller icke-kommersiell karaktär. Mer specifikt bör tillhandahållandet av produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som inte monetariseras av deras tillverkare inte betraktas vara en kommersiell verksamhet vid tillämpningen av denna förordning och för de ekonomiska aktörer som omfattas av dess tillämpningsområde, för att säkerställa en tydlig åtskillnad mellan utvecklings- och leveransfaserna. Dessutom bör tillhandahållande av produkter med digitala element som klassificeras som komponenter för programvara med fri och öppen källkod och som är avsedda att integreras av andra tillverkare i deras egna produkter med digitala element betraktas som tillhandahållande på marknaden endast om komponenten monetariseras av dess ursprungliga tillverkare. Till exempel bör enbart det faktum att en programvaruprodukt med fri och öppen källkod med digitala element får ekonomiskt stöd från tillverkare, eller att tillverkarna bidrar till utvecklingen av en sådan produkt, inte i sig fastställa att verksamheten är av kommersiell karaktär. Dessutom bör själva det faktum att en produkt regelbundet släpps ut inte i sig leda till slutsatsen att en produkt med digitala element tillhandahålls inom ramen för kommersiell verksamhet. Slutligen bör utveckling av produkter med digitala element som betraktas som programvara med fri och öppen källkod av ideella organisationer inte betraktas som kommersiell verksamhet vid tillämpningen av denna förordning, förutsatt att organisationen är inrättad på ett sätt som säkerställer att alla intäkter efter kostnader används för att uppnå icke-vinstdrivande mål. Denna förordning är inte tillämplig på fysiska eller juridiska personer som bidrar med källkod till produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som inte omfattas av deras ansvar.

Med tanke på hur viktigt det är för cybersäkerheten hos många produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som offentliggörs men inte tillhandahålls på marknaden i den mening som avses i denna förordning, bör juridiska personer som ger varaktigt stöd för utvecklingen av sådana produkter som är avsedda för kommersiell verksamhet och som spelar en viktig roll för att säkerställa dessa produkters bärkraft (förvaltare av programvara med fri och öppen källkod) omfattas av ett förenklat och skräddarsytt regelverk. Förvaltare av programvara med fri och öppen källkod omfattar vissa stiftelser samt enheter som utvecklar och publicerar programvara med fri och öppen källkod i ett affärssammanhang, inbegripet icke-vinstdrivande enheter programvara med fri och öppen källkod. Regelverket bör ta hänsyn till deras särskilda karaktär och förenlighet med den typ av skyldigheter som införs. Det bör endast omfatta produkter med digitala element som klassificeras som programvara med fri och öppen källkod och som i slutändan är avsedda för kommersiell verksamhet, såsom integrering i kommersiella tjänster eller i monetariserade produkter med digitala element. Vid tillämpningen av det regelverket omfattar en avsikt om integrering i monetariserade produkter med digitala element fall där tillverkare som integrerar en komponent i sina egna produkter med digitala element antingen bidrar till utvecklingen av den komponenten på ett regelbundet sätt eller tillhandahåller regelbundet ekonomiskt stöd för att säkerställa en programvaruprodukts kontinuitet. Tillhandahållandet av varaktigt stöd till utvecklingen av en produkt med digitala element omfattar, men är inte begränsat till, hysande och förvaltning av samarbetsplattformar för programvaruutveckling, hysande av källkod eller programvara, styrning eller förvaltning av produkter med digitala element som klassificeras som fri och öppen programvara med fri och öppen källkod samt styrning av utvecklingen av sådana produkter. Eftersom det förenklade och skräddarsydda regelverket inte ålägger dem som agerar som förvaltare av programvara med fri och öppen källkod samma skyldigheter som dem som agerar som tillverkare enligt denna förordning, bör de inte ha rätt att fästa CE-märkningen på produkter med digitala element vars utveckling de stöder.

För att stödja och underlätta tillbörlig aktsamhet hos tillverkare som i sina produkter med digitala element integrerar komponenter för programvara med fri och öppen källkod som inte omfattas av de väsentliga cybersäkerhetskrav som fastställs i denna förordning bör kommissionen kunna inrätta frivilliga program för säkerhetsintyg, antingen genom en delegerad akt som kompletterar denna förordning eller genom att enligt artikel 48 i förordning (EU) 2019/881 begära en europeisk ordning för cybersäkerhetscertifiering som tar hänsyn till särdragen hos utvecklingsmodellerna för programvara med fri och öppen källkod. Programmen för säkerhetsintyg bör utformas på ett sådant sätt att inte bara fysiska eller juridiska personer som utvecklar eller bidrar till utvecklingen av en produkt med digitala element som klassificeras som programvara med fri och öppen källkod kan initiera eller finansiera ett säkerhetsintyg, utan även tredje parter, såsom tillverkare som integrerar sådana produkter i sina egna produkter med digitala element, användare eller offentliga förvaltningar på unionsnivå och nationell nivå.

Effektiviteten i genomförandet av denna förordning kommer också att vara beroende av tillgången till lämpliga cybersäkerhetskunskaper. På unionsnivå konstaterades i olika programdokument och politiska dokument, inbegripet kommissionens meddelande Minska kompetensbristen på cybersäkerhetsområdet för att främja EU:s konkurrenskraft, tillväxt och resiliens av den 18 april 2023 och rådets slutsatser av den 22 maj 2023 om EU:s politik för cyberförsvar, kompetensbristen inom cybersäkerhet i unionen och behovet av att ta itu med sådana utmaningar som en prioriterad fråga, både inom den offentliga och den privata sektorn. För att säkerställa ett effektivt genomförande av denna förordning bör medlemsstaterna se till att tillräckliga resurser finns tillgängliga för lämplig personal vid marknadskontrollmyndigheterna och organen för bedömning av överensstämmelse för att de ska kunna utföra sina uppgifter enligt denna förordning. Dessa åtgärder bör öka arbetskraftens rörlighet på cybersäkerhetsområdet och deras tillhörande karriärvägar. De bör också bidra till att göra cybersäkerhetsarbetskraften mer resilient och inkluderande, även när det gäller kön. Medlemsstaterna bör därför vidta åtgärder för att säkerställa att dessa uppgifter utförs av tillräckligt utbildade yrkesutövare med nödvändig cybersäkerhetskompetens. På samma sätt bör tillverkarna se till att deras personal har den kompetens som krävs för att fullgöra sina skyldigheter som fastställs i denna förordning. Medlemsstaterna och kommissionen bör, i enlighet med sina rättigheter och befogenheter och de särskilda uppgifter som de tilldelas genom denna förordning, vidta åtgärder för att stödja tillverkare, särskilt mikroföretag och små och medelstora företag, inbegripet uppstartsföretag, även på områden såsom kompetensutveckling, i syfte att fullgöra de skyldigheter som fastställs i denna förordning. Eftersom direktiv (EU) 2022/2555 ålägger medlemsstaterna att anta strategier för att främja och utveckla utbildning i cybersäkerhet och cybersäkerhetskompetens som en del av sina nationella strategier för cybersäkerhet, får medlemsstaterna, när de antar sådana strategier, också överväga om de ska ta itu med de kompetensbehov inom cybersäkerhet som följer av denna förordning, inbegripet sådana som rör omskolning och kompetenshöjning.

Vid integrering av komponenter från tredje parter i produkter med digitala element under utformnings- och utvecklingsfasen bör tillverkarna, för att säkerställa att produkterna utformas, utvecklas och tillverkas i enlighet med de väsentliga cybersäkerhetskrav som fastställs i denna förordning, iaktta tillbörlig aktsamhet med avseende på dessa komponenter, inbegripet komponenter av programvara med fri och öppen källkod som inte har tillhandahållits på marknaden. Den lämpliga nivån på tillbörlig aktsamhet beror på arten av och nivån på den cybersäkerhetsrisk som är förknippad med en viss komponent, och bör i detta syfte beakta en eller flera av följande åtgärder: Kontrollera, när så är relevant, att tillverkaren av en komponent har påvisat överensstämmelse med denna förordning, inbegripet genom att kontrollera om komponenten redan är försedd med CE-märkning. Kontrollera att en komponent får regelbundna säkerhetsuppdateringar, till exempel genom att kontrollera dess säkerhetshistorik. Kontrollera att en komponent är fri från sårbarheter som registrerats i den europeiska sårbarhetsdatabas som inrättats enligt artikel 12.2 i direktiv (EU) 2022/2555 eller andra allmänt tillgängliga sårbarhetsdatabaser, eller utföra ytterligare säkerhetstester. De skyldigheter att hantera sårbarheter som fastställs i denna förordning och som tillverkare måste uppfylla när de släpper ut en produkt med digitala element på marknaden och för stödperioden, gäller för produkter med digitala element i sin helhet, inbegripet alla integrerade komponenter. Om tillverkaren av en produkt med digitala element vid utövandet av tillbörlig aktsamhet identifierar en sårbarhet i en komponent, inbegripet i en komponent med fri och öppen källkod, bör den informera den person eller entitet som tillverkar eller underhåller komponenten, åtgärda och avhjälpa sårbarheten och, i tillämpliga fall, förse personen eller entiteten med den tillämpade säkerhetsåtgärden.

Omedelbart efter övergångsperioden för tillämpningen av denna förordning kan en tillverkare av en produkt med digitala element som integrerar en eller flera komponenter från tredje parter som också omfattas av denna förordning inte kunna kontrollera, som en del av sin skyldighet att visa tillbörlig aktsamhet, att tillverkarna av dessa komponenter har visat överensstämmelse med denna förordning, till exempel genom att kontrollera om komponenterna redan är CE-märkta. Detta kan vara fallet om komponenterna har integrerats innan denna förordning blir tillämplig på tillverkarna av dessa komponenter. I sådana fall bör en tillverkare som integrerar sådana komponenter visa tillbörlig aktsamhet på andra sätt.