En av huvudanledningarna varför jag deltog i konferensen FOSDEM i år var rummet tillägnat Open Source In The European Legislative Landscape devroom. Fokuset var främst paneldebatter och workshops där både EU-kommissionen och representanter från EU-parlamentet fanns på plats. Men givetvis också en stor grupp av oss som arbetar med fri och öppen källkod på olika vis, som användare, utvecklare, integratörer osv.
Intresset var högt, rummet var fullt under hela dagen, och när någon gick så fanns det en kö av väntande utanför. Det som främst var i fokus var European Cyber Resilience Act (CRA), men även Product Liability Directive (PLD) och The Interoperable Europe Act (IEA) .
I workshops och öppna panelsamtal var jag med och delade med mig oro och möjligheter för främst CRA och PLD tillsammans med politiker, EU-tjänstemän, utvecklare etc. Debatten var stundtals livlig (det var nog till lugnets fördel att det endast fanns en mikrofon), men givande. Många frågetecken rätades ut, kanske några nya dök upp. Resultatet av dagen kommer att bli fyra olika rapporter från FOSDEM som skickas med till EU-kommissionen.
Cyber Resilience Act
När Cyber Resilience Act först fick uppmärksamhet bland oss som är aktiva i FOSS (Free and Open Source Software), var det många som var livrädda, det verkade som om öppen källkod överhuvudtaget inte skulle användas inom EU, men tack vare ett stort engagemang inom olika grupper inom FOSS, så är situationen nu helt annorlunda. CRA kommer att påverka oss på olika vis, men i slutändan behöver det inte bli på ett dåligt vis. CRA kommer att bli verklighet först inom några år, och det kommer bland annat att innebära att 40+ nya standarder kommer att implementeras, och där kommer olika aktörer inom FOSS att medverka på olika sätt. Från att öppen källkod har betraktats i EU-kommissionen som något som någon sitter och gör för sig själv nere i källaren och inte har någon viktig samhällsfunktion, till förståelsen att öppen källkod finns överallt, även i de mest avancerade systemen.
Man tittar på hur CRA inte ska påverka FOSS på ett dåligt vis inom EU, och olika initiativ har startats redan. Att det kommer att påverka står dock helt klart. Trots ganska lugnande besked från EU-kommissionen hördes en hel del oroliga röster från deltagarna under dagen. ”Jag vill skriva kod, inte behöva bry mig om EU-politik”, var en ganska vanlig ståndpunkt.
Något som kanske inte fått lika stor synlighet som CRA är det nya uppdaterade Product Liability Directive, som kommer att skrivas in i alla länders lagar inom ett par år. Direktivet handlar om skydda offer för produkter, som felaktiga bilar, lampor, stolar osv. Alla produkter räknas in, och det nya direktivet ersätter det gamla då världen förändrats.
Bugg-scenario
Tänk er följande scenario: Ett mjukvaruföretag har av misstag sålt en programvara till en biltillverkare med en bugg i. Buggen leder att en person skadas i en olycka. Med det gamla direktivet skulle biltillverkaren kunna åtalas, men inte den som levererat programvaran med buggen. Med det nya direktivet kan även det företag som sålt programvaran kunna åtalas. Eftersom mjukvara finns överallt i dag, så kan de som levererar den inte vara utan skuld om någon oskyldig faller offer för en ”produkt” med en bugg.
Men, och detta är ett viktigt men, det är endast om mjukvaran är en kommersiell produkt som företaget som utvecklat mjukvaran kan åtalas. Om mjukvaran innehåller, vilket är mycket troligt, öppen källkod som någon annan utvecklat, kan inte den åtalas. Endast den som paketerat det hela och sålt det kan åtalas. Det kan dock krävas att öppen källkod som använts till en kommersiell produkt behöver certifieras (som ett krav av någon av de standarder som ska tillfogas CRA), då är det naturligt att det är den som vill sälja en produkt med den i, betalar för den certifieringen. Om det finns en säkerhetsbrist i ett öppet källkodspaket i ett företags produkt, kan det mycket väl bli så att det är företaget som tjänar pengar på det, bidrar till att fixa problemet, och på så sätt ökar sitt engagemang i fri och öppen källkod. Men detta får vi se hur de utvecklas de kommande åren.
Open source stewards
Ett nytt begrepp har introducerats i EU-kommissionen, och det är Open source stewards. En open source steward är någon som är ansvarig för öppen källkod på olika vis, det kan vara en foundation, ett företag, en grupp av utvecklare etc. Vad open source stewards i EU-kontexten kommer innebära i praktiken får vi återkomma till.
Det är min förhoppning att Open Source In The European Legislative Landscape devroom återkommer under nästa år, och att man får tillgång till ett större rum, frågorna var har att fortsätta att diskutera inom området är många, och intresset stort.
