EU のサイバーレジリエンス法について Pyton が懸念を表明

EU のサイバーレジリエンス法 (Cyber Resilience Act)^*1について、Python Software Foundation や Eclipse Foundation が懸念を表明していたのでメモ。

• Python Software Foundation News: The EU's Proposed CRA Law May Have Unintended Consequences for the Python Ecosystem
• Open Letter to the European Commission on the Cyber Resilience Act | Eclipse News, Eclipse in the News, Eclipse Announcement

この EU のサイバーレジリエンス法というのはソフトウェアに対して製造物責任を負わせることになるものですが、これが営利企業であるかどうかに関わらず対象になることが議論の中心になっているようです。これまでソフトウェアは製造物責任の枠外に置かれていましたが、これが OSS やフリーソフトにまで及ぶことになると現状のエコシステムが壊れてしまうというのはあるので、なんとか妥協点を見つけて欲しいと思います。

「営利企業でなくボランティアに製造物責任負わす」Python 責任者異議 | ScanNetSecurity

欧州議会議員らは昨年、ソフトウェアのセキュリティおよび責任について定めた 2 つの法案を提出した。そしてその後、テック系のコミュニティは、これらの法案の規定が幅広すぎるとして反対の声を上げてきた。
そのうちの 1 つであるサイバーレジリエンス法案（CRA）は、デジタル製品のセキュリティ向上を目的として、製品を作る側に対して「製品のセキュリティの確認」「脆弱性回避策の実装」および「顧客へのセキュリティ関連情報の開示」を義務付けるものだ。

• ^*1: Cyber Resilience Act | Shaping Europe’s digital future