En tres años, todas las obligaciones del Acta de Resiliencia Cibernética de la Unión Europea (CRA, por sus siglas en inglés) serán plenamente aplicables, con las obligaciones de reporte de vulnerabilidades a partir de septiembre de 2026. Desde su concepción hasta su implementación, el CRA ha sido un tema central en la agenda de polÃticas de desarrolladores de GitHub durante casi seis años. Junto con sus socios, GitHub ha colaborado con los legisladores de la UE para garantizar que el CRA evite consecuencias no deseadas para el ecosistema de código abierto, que forma la columna vertebral de cualquier pila de software moderna.
La razón detrás de la regulación del software en la UE es evidente: dispositivos IoT baratos que terminan siendo utilizados en botnets, teléfonos inteligentes que no reciben actualizaciones de seguridad después de pocos años de su compra, y aplicaciones que filtran información de los usuarios accidentalmente. Estos problemas no solo afectan a los consumidores, sino que también pueden ser el punto de partida de ciberataques que debilitan industrias enteras y afectan servicios públicos. Para abordar este problema, el CRA establece requisitos para la ciberseguridad, el mantenimiento y la divulgación de vulnerabilidades para los productos de software en el mercado de la UE.
El código abierto también necesita ciberseguridad, aunque históricamente ha florecido porque se ha ofrecido «tal cual», sin garantÃas de sus desarrolladores. Sin embargo, muchos proyectos de código abierto carecen de personal y recursos suficientes. GitHub ha abogado por un enfoque más de apoyo que de regulación para estos proyectos. Por ejemplo, GitHub está ampliando programas de financiación pública y ha lanzado el GitHub Secure Open Source Fund, que ayudará a mejorar la postura de ciberseguridad de los proyectos a través de financiación, educación y herramientas gratuitas.
El CRA establece obligaciones para fabricantes, importadores y distribuidores de software. Para quienes contribuyen al código abierto de manera personal, la pregunta clave es si el CRA les aplica. En la mayorÃa de los casos, la respuesta es «no», aunque permanece cierta incertidumbre hasta que la UE desarrolle legislación adicional. En su esencia, el CRA busca excluir cualquier software libre y de código abierto que no esté enmarcado en una «actividad comercial». La carga de cumplimiento debe recaer en las empresas que se benefician del código abierto, no en los proyectos que dependen de ella.
Además, si formas parte de una organización que apoya y mantiene software de código abierto para uso comercial, podrÃas ser considerado un «administrador de software de código abierto» según el CRA. Estas organizaciones tendrán obligaciones limitadas, como documentar polÃticas de ciberseguridad y notificar vulnerabilidades explotadas activamente.
A pesar de las aclaraciones legales, muchos desarrolladores de código abierto aún enfrentan incertidumbre sobre si están cubiertos por el CRA. GitHub está trabajando con agencias de ciberseguridad y reguladores para garantizar la correcta implementación de las normas. En especial, GitHub solicita a la Comisión Europea que emita directrices claras para facilitar que cada desarrollador de código abierto determine si el CRA les impone obligaciones o no.
La prioridad es apoyar proyectos de código abierto, asegurando mejores resultados de seguridad y un ecosistema más sostenible para todos.
vÃa: Github Open Source
