Ajattelin jakaa täälläkin, itse bongasin Mastodonin puolelta tämän (https://suomi.social/@laho/115972283271647632)
Hallitus kaavailee “avoimen lähdekoodin ohjelmistojen ylläpitäjille” uhkasakkoa esimerkiksi haavoittuvuuksien korjaamiseksi.
Vaikuttaa ainakin omaan käsitykseen täysin väärältä lähestymistavalta sinällään aiheelliseen ongelmaan.
Itse esitys: https://www.finlex.fi/fi/hallituksen-esitykset/2025/179#bills
Hallitus kaavailee “avoimen lähdekoodin ohjelmistojen ylläpitäjille” uhkasakkoa esimerkiksi haavoittuvuuksien korjaamiseksi.
Ei kaavaile, lue oma finlex-linkkisi.
Tuo COSSin lausunto on muutenkin vähän käsittämätön, mutta noh, COSS ajaa avointa koodia ajavien yhtiöiden asiaa, ei avoimen koodin kehittäjien asiaa.
T: avoimen koodin kehittäjä.
Tähän tarkennusta. “ohjelmistovastaava” on “open-source software steward”.
https://cra.orcwg.org/faq/stewards/ Täältä voi kattoo mitä se tarkoittaa, mut:
“‘open-source software steward’ means a legal person, other than a manufacturer, that has the purpose or objective of systematically providing support on a sustained basis for the development of specific products with digital elements, qualifying as free and open-source software and intended for commercial activities, and that ensures the viability of those products;” ja
"A steward must be a “legal person” (Article 3(14)), such as a company, and most open source projects are not supported by a company.
The stewarding organization must also have “the purpose or objective of systematically providing support on a sustained basis” (Article 3(14)) and their software must be “ultimately intended for commercial activities” (Recital 19). Organizations who do not meet those tests will also not be considered stewards."
Täältä löytyy esitys. §24 on se mitä oleellisesti katotaan nyt https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847
Eli oot käytännössä vastuussa ainoastaan siitä jos olet yritys joka myy sitä avointa koodia ja tukea siihen kaupallisiin tarkoituksiin, missä tilanteessa toi uhkasakko on hyvä asia. Jos teistä se ei oo hyvä juttu, niin tietäkää ainakin mihin ootte allekirjottamalla tukenne näyttämässä, koska se ei oo avoimen softan kehittäjät.
En nyt aivan viiimeisen päälle ajatuksella lukenut tuota esitystä läpi, mutta eikös tuossa nyt noin karkeasti sanota että kaupallisten tuotteiden softissa pitää olla järkevä tietoturvan taso (ts. ei mitään botnetin osaksi päätyviä IOT-valaisimia tai telkkareita) ja että näihin härveleihin pitää valmistajan tarjota tietoturvapaikkoja järkveän mittainen aika (pääasiassa 5 vuotta tai enemmän). Ja että lisäksi valmistajien pitää tarjota riittävästi tietoa romuistaan että kuluttajat voivat tehdä valistuneita päätöksiä.
Lisäksi tuolla oli mainintaa siitä, että elinkaaren loputtua koodi olisi syytä julkaista että osavat voivat tuen loppumisen jälkeenkin paikkailla omia vehkeitään sikäli kun niin haluavat. Pääosiltaan ihan järkevän oloisia vaatimuksia.
Sitä tuosta nyt en pienellä selailulla saanut selville että koskeeko tuo esim. Pekan mikrotukea joka asentelee linuxeja asiakkaidensa koneisiin ja myy esiasennettuja linux-myllyjä. Jos koskee niin siinä kyllä näen ilmeisen ongelman kun sitten sen Pekan pitäisi tarjota tietoturvapaikkaa uhkasakon edessä aina 5 vuotta jokaiselle konemallille, mutta ei tuosta semmoista käsitystä ainakaan noin pikaisella selailulla jäänyt.
Tuo Pekan mikrotuki joka asentelee Linuxeja on kyllä hyvä kysymys, en kyllä pitemmälläkään lukemisella oo varma meneekö se tuon alle vai ei.
edit: CRA:ssa toi menis käsittääkseni palveluihin, jotka ei kuulu CRA:n piiriin. Tuo HE ei meikästä oo niin selkeä tuon suhteen.
Itse käsitin, että tuossa puhutaan ohjelmiston tuottajista, ei niinkään toisten koodia käyttävien palveluiden tuottajista. Eli Pekan mikrotuki ei ole vastuussa, paitsi jos Pekka asentaa jotain omatekemäänsä softaa niille palvelimille.
Ehkä siinä on ajateltu isompia firmoja tai yhteisöjä, jotka julkaisevat avoimena lähdekoodina softaa. Luultavasti niitä ei ainakaan Suomessa juuri ole. Mutta tarvitseeko tämän toteuttamiseen uhkasakkoja? Siinä käy äkkiä niin, että se kaikkien käyttämä avoimen lähdekoodin kirjasto jää sitten entistä enemmän tuuliajolle.
Taustalla on varmasti joku pamppu, joka on sokkona käyttänyt koodia omassa tuotteessa josta on paljastunut tietoturvaongelmia. Ja nyt halutaan pakottaa korjaamaan ilmaiseksi isojen yritysten tietoturvaa.
Tuo uhkasakko ei koske valmistajia, kun ohjelmistovastaava erikseen määritellään “other than a manufacturer”.
Mut joo, siinä just ajatellaan isompia firmoja ja yhteisöjä, ja se tarvitteeko se uhkasakkoja on oikea kysymys. Muut EU-maat ei oo nähnyt sitä tarpeelliseksi, ja eilen kun käytti päivänsä siihen että kahlasi noita säännöksiä läpi, niin se uhkasakko on ohjelmistovastaavallekin osoitettuna aika pahasti sen EU-tekstin henkeä vastaan. Ja se, et toi toimii päinvastaisesti odotuksiin siihen nähden että on lukenut vain CRA:n vs. tuon hallituksen esityksen Suomessa ei oo hyvä juttu kellekkään kyl.
Jos oisin COSSin lausuntoo valmistelemassa ollu, niin toi on se mihin oisin tarttunu, koska meikästä se, että poiketaan suoraan EU:n perusteluista on IMO paljon isompi juttu kuin se uhkasakko itsessään sinänsä.
Taustalla on varmasti joku pamppu, joka on sokkona käyttänyt koodia omassa tuotteessa josta on paljastunut tietoturvaongelmia. Ja nyt halutaan pakottaa korjaamaan ilmaiseksi isojen yritysten tietoturvaa.
Ei se ihan noin toimi. Jos oot ylläpitäjä/valmistaja niin tuo uhkasakko-kohta ei koske sua. Siinä tapauksessa et oot se ohjelmistovastaava, niin sillon oot jo kaupallisessa toiminnassa sen projektin kanssa, ja silloin joudut vastaamaan noista CRA:n pykälistä, mutta siinäkin puhutaan siitä et silloin ohjelmistovastaavan tulisi pyrkiä upstreamaamaan tietoturvakorjaukset (mitä ei taidettu tosin kirjata hallituksen esitykseen).
Toki se ohjelmistovastaava on velvoitettu korjaamaan ne välittämissään ohjelmistoissa ne löytäessään, mut se lasketaan tuossa palveluun kuuluvaksi laaduntarkkailuksi, ei ilmaiseksi korjaamiseksi.
Pitäisi lukea ihan ajatuksella koko esitys läpi, mutta näin illankähmässä tyydyin kysymään duckai:lta tiivistelmän ja sen mukaan Pekan mikrotuki menee tuon säännön alle. Toki siellä on jotain helpotuksia eikä mies+pakettiauto -yrityksillä ole samoja vaatimuksia kuin Metalla tai Bytedancella, mutta esim. pienemmät kotiautomaatio yms. kaupat menevät kyllä tuohon kastiin etenkin jos myyvät tavaraa jota ei ole jo erikseen hyväksytetty jolloin niihin markan wifi-lämpömittareihinkin pitäisi löytyä firmispäivityksiä ainakin jonkin aikaa.
"Markkinavalvontaviranomainen voi velvoittaa avoimen lähdekoodin ohjelmistovastaavan määräajassa korjaamaan puutteet sen kyberkestävyysasetuksessa säädettyjen velvollisuuksien noudattamisessa.
Markkinavalvontaviranomainen voi asettaa tämän pykälän nojalla antamansa päätöksen tehosteeksi uhkasakon."
Vahingossa kirjoitin ylläpitäjä. Esityksen sanavalinta on aivan yhtä ympäripyöreä.
Mutta hyvä muistutus siitä miksi tänne ei suomeksi kannata paljon mitään kirjoitella, asiallisia vastauksia on aika harvassa.
No sillä on aika iso ero onko se ohjelmistovastaava (joka on määritelty tuossa CRA:ssa, jonka linkkasin toisessa vastauksessani, että se ei oo ollenkaan ympäripyöreä) vai ylläpitäjä. Jälkimmäisessä tapauksessa oisin huutamassa useammassa paikassa että mitäs paskaa, ensimmäisessä tapauksessa se ei edes koske suurinta osaa avosorsamaailmasta, eikä luonnollisten henkilöiden tartte keskimäärin edes välittää siitä, ainoastaan oikeushenkilöiden.
Ja kaivoin vielä sen määrittelevän kappaleen suomenkielisestä CRA:sta.
“Koska monilla digitaalisia elementtejä sisältävillä tuotteilla, jotka katsotaan vapaiksi ja avoimen lähdekoodin ohjelmistoiksi ja jotka julkaistaan mutta joita ei aseteta saataville markkinoilla tässä asetuksessa tarkoitetulla tavalla, on suuri merkitys kyberturvallisuuden kannalta, sellaisiin oikeushenkilöihin, jotka tukevat pitkäjänteisesti tällaisten kaupallisiin tarkoituksiin tarkoitettujen tuotteiden kehittämistä ja joilla on keskeinen rooli kyseisten tuotteiden toimintakelpoisuuden varmistamisessa, jäljempänä ”avoimen lähdekoodin ohjelmistovastaavat”, olisi sovellettava kevyttä ja räätälöityä sääntelyjärjestelmää.”
Boldaus oma
