EÚ bude kontrolovať softvér s otvoreným zdrojovým kódom

Európska komisia chce zvýšiť bezpečnosť softvéru pre používateľov prostredníctvom pravidiel, ktoré by sa vzťahovali aj na softvér s otvoreným zdrojovým kódom.

EPA/SASCHA STEINBACH

To by mohlo malým vývojárom sťažiť pokračovanie v tvorbe a voľnom zdieľaní, uviedli prispievatelia open source počas včerajšej konferencie CEPS na túto tému v Bruseli.

„Štátni aktéri si presadzujú vlastné ciele,“ povedal Mirko Boehm, výskumník na Technickej univerzite v Berlíne a prispievateľ do americkej Linux Foundation, neziskovej organizácie podporujúcej projekty softvéru s otvoreným zdrojovým kódom.

Varoval, že uplatňovanie pravidiel na komunitu s otvoreným zdrojovým kódom „by mohlo podkopať samotné ciele, ktoré sa za nimi skrývajú“.

Európska komisia obracia svoju pozornosť na softvér s otvoreným zdrojovým kódom, teda zdieľaný, verejne dostupný kód, ktorý tvorí základ väčšiny digitálnych produktov.

Správa o bezpečnosti a analýze rizík otvoreného zdrojového kódu z roku 2025 zistila, že 97 percent skúmaného softvéru obsahovalo otvorený zdrojový kód, zatiaľ čo 81 percent malo vážne bezpečnostné zraniteľnosti.

Štúdia zistila, že väčšina kódu bola tiež zastaraná, pričom 90 percent projektov používalo komponenty staršie ako štyri roky a mnohé sa spoliehali na softvér, ktorý sa už neudržiava.

V praxi to znamená, že časti internetu stále fungujú na kóde, ktorý napísali pred rokmi neplatení dobrovoľníci, ktorí sa odvtedy presunuli inam.

Kreshnik Rexha, technický riaditeľ pre bezpečnosť dát a aplikácií v spoločnosti IBM (EMEA), na tej istej konferencii uviedol, že keď jeden dobrovoľný kóder s otvoreným zdrojovým kódom odstráni malý kúsok zdieľaného kódu, tisíce webových stránok a služieb cez noc prestanú fungovať.

Ale skutočnosť, že títo vývojári pracujú zadarmo, sťažuje ospravedlnenie ohrozenia ich kreativity neupravenými pravidlami.

Povedal, že menšie spoločnosti môžu mať s novými požiadavkami najväčšie problémy. „Nie každý je IBM alebo Red Hat,“ povedal. „Niektorý malý výrobca v Taliansku má jedného IT technika – ako ich podporíme?“

Agentúra Európskej únie pre kybernetickú bezpečnosť uviedla, že 62 percent kybernetických útokov zneužíva dôveru medzi zákazníkmi a ich dodávateľmi.

Nové pravidlá EÚ pochádzajú najmä z dvoch zákonov: smernice NIS2 a zákona o kybernetickej odolnosti.

NIS2 stanovuje požiadavky pre vlády, nemocnice a kritické priemyselné odvetvia na ochranu svojich sietí pred kybernetickými útokmi.

Zákon o kybernetickej odolnosti ide ešte ďalej – bude vyžadovať, aby každý produkt s digitálnymi súčasťami, od „inteligentných“ chladničiek až po softvér do auta, spĺňal základné štandardy kybernetickej bezpečnosti predtým, ako sa bude môcť predávať v Európe.

Tieto pravidlá sa uplatňujú aj vtedy, keď je kód s otvoreným zdrojovým kódom zabudovaný do komerčných softvérových produktov, ktoré sú uvedené na trh EÚ.

„Vzhľadom na súčasnú geopolitickú realitu je to dôležitejšie ako kedykoľvek predtým,“ povedala Raluca Stefanuc, zástupkyňa vedúceho oddelenia pre kybernetickú bezpečnosť a digitálne súkromie v Európskej komisii.

Táto výzva nasleduje po náraste kybernetických útokov od začiatku vojny na Ukrajine v roku 2022. To je spojené s rastúcim globálnym napätím okolo dodávateľských reťazcov technológií a snahou Európy znížiť svoju závislosť od zahraničných digitálnych produktov.

Prispievatelia open source varovali, že rastúca závislosť Európy od formálnych štandardov by mohla odsunúť tvorbu politík od vývojárov smerom k veľkým inštitúciám.

Boehm povedal, že keď sa regulácia implementuje prostredníctvom európskych normalizačných orgánov, existuje riziko „delegovania tvorby politík“ na organizácie, ktoré nezastupujú ľudí, ktorí v skutočnosti píšu kódex.

Zákon o kybernetickej odolnosti nadobudol účinnosť 10. decembra 2024. Hlavné povinnosti zavedené zákonom sa budú uplatňovať od 11. decembra 2027.

Smernica NIS2 platí od októbra 2024 a hoci výslovne nereguluje projekty s otvoreným zdrojovým kódom ani správcov, ukladá zodpovednosť organizáciám, ktoré používajú komponenty s otvoreným zdrojovým kódom.

Zdroj: https://brusselssignal.eu/2025/10/eu-to-police-open-source-software/