La llegada de la nueva reglamentación europea sobre la seguridad en dispositivos y aplicaciones “Cyber Resilience Act” va a suponer un cambio muy importante en el desarrollo de productos digitales.
“Cyber Resilience Act”
En el año 2022, la Unión Europea publicó el primer borrador para su futura reglamentación sobre la seguridad de productos digitales. Esta reglamentación establecerá los estándares mínimos de seguridad que los productos digitales deberán cumplir cuando se comercialicen en la Unión Europea durante los próximos años.
Evidentemente el control de calidad en el software ha sido un verdadero quebradero de cabeza desde hace muchos años. Década tras década, las compañías desarrolladoras han ido aplicando sus mejores criterios metodológicos y procedimentales al desarrollo de aplicaciones software. Algo que, aunque loable, ha evidenciado la disparidad de mecanismos y de rigor que se utilizan como condición previa para el lanzamiento de un producto al mercado.
Con el fin de unificar esos requisitos, la Unión Europea puso sobre en marcha el desarrollo de un nuevo reglamento que establecía un buen número de exigencias a los productos software que en el futuro se comercialicen en Europa, asociando los conceptos de calidad y seguridad.
Entre las exigencias identificadas se definían los estándares mínimos de cumplimiento e incluso las responsabilidades derivadas de la presencia de vulnerabilidades en los productos conocidas antes de su comercialización. Se trataría de algo así como una prueba de validación del producto a fecha de puesta en el mercado y que iría con garantía “CE”.
Borrador del reglamento
Como puede intuirse, el objetivo es ambicioso y por ello el texto de la reglamentación es suficientemente sutil y extenso como para echarle un vistazo un poco más profundo.
Por ejemplo, resultan llamativos algunos aspectos que pueden afectar al devenir de la comercialización de productos digitales —ya no solo software, sino también hardware— y que incluyen situaciones como:
- la necesidad de implantar mecanismos de diseño y desarrollo seguro que sean comunes a todos los desarrolladores de aplicaciones;
- la protección del acceso y de la información durante el propio desarrollo de software;
- la incorporación de mecanismos de ciberseguridad durante todo el ciclo de vida comercial del software, lo que supone actualizaciones periódicas frente a vulnerabilidades detectadas —asumiendo responsabilidades en caso de no cumplirse. Y
- la divulgación y compartición de información sobre vulnerabilidades desde el momento de la detección de forma obligatoria dentro de las comunidades de actores definidos.
La UE podrá incluso hacer una evaluación independiente de forma discrecional de los productos comercializados y llegar a sus propias conclusiones con mecanismos sancionadores que podrán llegar a los 15 millones de euros o el 2,5% de la facturación anual de la compañía si esta fuera mayor.
Peticiones del colectivo de software libre
El reglamento, recientemente aprobado en el mes de marzo de 2024, recoge, como puede observarse, puntos que son realmente controvertidos y que van a suponer exigencias importantes a casi cualquier desarrollo software. Y decimos controvertidos porque uno de principales grupos de actores que se verá más afectado será el de los desarrolladores de software libre.
Bien es cierto que el reglamento deja fuera de su marco de aplicación a algunos elementos software como el código libre no vinculados a aplicaciones comerciales, servicios en la nube o sitios web de información en general, sin embargo, el nerviosismo ha cundido en el entorno.
Si prestamos atención al primero de los elementos mencionados, al concepto de software libre le añaden el sufijo de “no vinculado a aplicaciones comerciales”.
Se trata de una cuestión no menor porque, pese a que da cobertura a una parte del grupo, un porcentaje muy elevado de las actuales aplicaciones comerciales hacen uso de software habitualmente definido como “libre”. Algunos expertos hablan de un 70%; otros de más allá de un 90%.
Sea cual sea el valor real, el resultado es que estas aplicaciones software, suficientemente numerosas, estarían obligadas a validar —y asumir como responsables— la seguridad del software que proporcionan e integran.
En pie de guerra
El tema tiene a la comunidad de desarrolladores en pie de guerra dado que el matiz descrito puede resultar insuficiente frente a la variedad de actores que participan en el ecosistema del software libre. Un ecosistema que incluye a fundaciones, plataformas distribuidoras, grupos académicos, personas particulares o incluso entidades gubernamentales.
Grupos como Eclipse Europe, Open Forum Europe , Apache Foundation o Linux Foundation remitieron hace tiempo una carta a la Comisión expresando sus inquietudes y su voluntad de convenir un modelo más acorde a la realidad de este tipo de software.
Por ejemplo, GitHub el año pasado puso sobre la mesa al menos cinco recomendaciones que consideraba que adaptaban mejor la realidad a un entorno en el que colaboran más de 14 millones de desarrolladores solo en Europa y que mueve un negocio milmillonario.
“As is” frente a “Es seguro”
Finalmente, el pasado mes de julio de 2023, la decisión fue tomada. La Comisión adoptó una posición común respecto al borrador sin introducir respuestas a estas peticiones. Tanto es así que hace apenas un mes la Comisión Europea acabó definitivamente aprobando el documento, incluyendo un periodo de carencia de dos años para algunos actores.
Llegados a este punto, el software libre tendrá que hacer frente a su nueva situación haciendo uso de la imaginación. Y el reto no es menor.
No en vano, si se piensa bien, la puesta a disposición de los usuarios e integradores de un software “as is” contradice la condición que impone la Comisión Europea de tener que declarar que “hasta donde se conoce en el sector, el software desarrollado es completamente seguro”.
