RolaArt. 3(14)

Opiekun oprogramowania open source

Opiekun oprogramowania open source to każda osoba prawna, która systematycznie wspiera rozwój wolnego i otwartego produktu programowego, którego zamierzone użycie można zasadnie przewidzieć jako komercyjne.

Kluczowe fakty

Nowa kategoria wprowadzona przez CRA w celu uwzględnienia OSS bez karania indywidualnych programistów
Mniejsze obowiązki niż producenci (brak oznakowania CE, brak deklaracji zgodności)
Musi wdrożyć politykę cyberbezpieczeństwa i współpracować z organami
Test aktywności komercyjnej decyduje, czy projekt OSS jest objęty zakresem
Status opiekuna nie dotyczy użytkowników niższego szczebla, którzy pakują/dystrybuują oprogramowanie

Kluczowe terminy

11 grudnia 2024 r. — CRA wchodzi w życie

Rozporządzenie obowiązuje prawnie. Produkty wprowadzane na rynek od tej daty muszą być zgodne z CRA po osiągnięciu dat stosowania.

11 września 2026 r. — Obowiązki zgłaszania podatności mają zastosowanie

Zgłaszanie podatności i incydentów do ENISA zgodnie z art. 14 staje się obowiązkowe. To pierwszy nieprzekraczalny termin. Producenci muszą mieć wdrożone procesy zgłaszania przed tą datą.

11 czerwca 2027 r. — Powiadomienie jednostek oceny zgodności

Państwa członkowskie muszą notyfikować Komisji jednostki oceny zgodności.

11 grudnia 2027 r. — Pełne rozporządzenie ma zastosowanie

Wszystkie wymagania CRA mają zastosowanie do wszystkich objętych produktów. Na rynek UE nie mogą być wprowadzane nowe produkty niezgodne z przepisami.

Obowiązki (5)

OBL-ART23-01Binding

Prowadzenie rejestrów identyfikowalności łańcucha dostaw i ich udostępnianie na żądanie

Wszyscy podmioty gospodarcze muszą być w stanie, na żądanie organów nadzoru rynku, wskazać (a) każdy podmiot gospodarczy, który dostarczył im produkt, oraz (b) każdy podmiot gospodarczy, któremu dostarczyły produkt. Rejestry muszą być przechowywane przez 10 lat od każdej transakcji.

Art. 23(1)Art. 23(2)

ManufacturerImporterDistributorOpen-source steward

OBL-ART24-01Binding

Ustanowienie i udokumentowanie polityki cyberbezpieczeństwa dla oprogramowania open source

Opiekunowie oprogramowania open source muszą ustanowić i udokumentować politykę cyberbezpieczeństwa sprzyjającą opracowywaniu bezpiecznego produktu i umożliwiającą skuteczną obsługę podatności w komponentach oprogramowania open source, którymi zarządzają.

Art. 24(1)

Open-source steward

OBL-ART24-02Binding

Zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów

Opiekunowie oprogramowania open source muszą powiadamiać właściwy CSIRT (zespół reagowania na incydenty komputerowe) wyznaczony jako koordynator bez zbędnej zwłoki o wszelkich aktywnie wykorzystywanych podatnościach zawartych w zarządzanych przez nich komponentach OSS, a także o wszelkich poważnych incydentach wpływających na bezpieczeństwo tych komponentów.

Art. 24(2)

Open-source steward

OBL-ART24-03Binding

Współpraca z organami nadzoru rynku

Opiekunowie oprogramowania open source muszą współpracować z organami nadzoru rynku na ich żądanie i dostarczać wszelkich informacji wymaganych do wykonywania ich zadań regulacyjnych.

Art. 24(3)

Open-source steward

OBL-ART24-04Binding

Sporządzanie dokumentacji technicznej na żądanie

Na żądanie organów nadzoru rynku opiekunowie oprogramowania open source muszą sporządzić i aktualizować dokumentację techniczną zarządzanych przez siebie komponentów oprogramowania open source, wystarczającą do oceny zgodności w zakresie cyberbezpieczeństwa.

Art. 24(4)

Open-source steward

Gotowy, by pójść głębiej?

Przeglądaj pełną bibliotekę obowiązków, poznaj swoją rolę lub sprawdź harmonogram.

Biblioteka obowiązków Wyświetl harmonogram