オープンソース開発者をパニックに陥れた EUサイバーレジリエンス法 最終決定

　欧州連合（EU）の議会と理事会は、サイバーレジリエンス法（CRA）について合意に達し、待望のセキュリティ規制について、最終承認・採択への道筋をつけるとともに、オープンソースソフトウェアを除外する新たな規則を定めた。

　CRA は、2022 年 9 月に欧州委員会が提出したもので、赤ちゃんモニターからルーターに至るまで、すべてのハードウェアおよびソフトウェア製品にサイバーセキュリティの必須要件を課すものである。

　議会と理事会での採択から 20 日後に施行される CRA は、ハードウェアおよびソフトウェアメーカーにいくつかの威圧的な目標を達成することを求めるものとなる。この規則には、新たに発見された脆弱性が悪用されている場合に 24 時間以内に開示することや、5 年間のセキュリティパッチサポート、すべてのセキュリティ機能の完全な文書化などが含まれている。

　製造業者、輸入業者、流通業者は、36 か月以内にこの要件を採用しなければ、最高で 1,500 万ユーロまたは世界での年間総売上高の 2.5 ％以下の罰金を科せられる。

　セキュリティが強化されるのは良いことだが、CRA がオープンソースソフトウェアに及ぼす潜在的な影響について懸念が提起されてきた。