Brief van Stichting Vrijschrift aan Eerste en Tweede Kamer over het EU Cyber Resilience Act voorstel.
aan: Voorzitter TK commissie voor Digitale Zaken,
Voorzitter EK commissie voor Justitie en Veiligheid
van: Stichting Vrijschrift
betreft: EU Cyber Resilience Act zal concurrentievermogen schaden
Zeer geachte heer Valstar,
Zeer geachte heer Dittrich,
Het EU Cyber Resilience Act (CRA) voorstel heeft tot doel producten met software en software zelf veiliger te maken. Deze doelstelling wordt door Vrijschrift onderschreven. De minister van Economische Zaken en Klimaat heeft aan de Eerste Kamer geschreven dat de zorgen met betrekking tot open source software door middel van een overweging “uitgebreid geadresseerd” zijn. Echter, overwegingen hebben geen zelfstandige rechtskracht; de amendementen van de Raad van de EU missen werking. De CRA zal, indien in deze vorm aangenomen, het open source ecosysteem en het concurrentievermogen van de Europese economie ernstig schaden. We zullen dit hieronder uiteenzetten.
Open source software speelt een grote rol in de softwarewereld, in de Europese economie, zowel voor grote bedrijven, als voor het MKB, dat voor de EU van cruciaal belang is. De Duitse vereniging van de auto-industrie legde in een korte stellingname het belang van vrije en open broncode software voor standaardisatie, kostenefficiëntie, flexibiliteit en samenwerking goed uit. Een citaat:
“De efficiënte samenwerking in de Duitse auto-industrie met behulp van [free and open source software] is cruciaal voor haar concurrentievermogen.”
Moderne Nederlandse software bedrijven leunen veelal volledig op open source. DigitalEurope, vertegenwoordiger van 45.000 bedrijven die actief zijn en investeren in Europa, waaronder 102 bedrijven die wereldleiders zijn op hun vakgebied, schrijft in een stellingname met uitgebreide aanbevelingen:
“Wil het CRA zijn doelstellingen kunnen verwezenlijken, dan moet de definitieve tekst maatregelen bevatten die naleving duidelijk en uitvoerbaar maken, in plaats van nieuwe onzekerheden te genereren die het vermogen van Europa om te innoveren en mondiaal te concurreren zouden verstoren.”
In het Europese Commissievoorstel is onvoldoende rekening gehouden met de unieke eigenschappen van open source software. Anders dan gesloten broncode software, die door één partij achter gesloten deuren wordt ontwikkeld, wordt open source software in het openbaar ontwikkeld door individuele ontwikkelaars, organisaties zonder winstoogmerk, en bedrijven – een kwetsbaar ecosysteem. Het is cruciaal om slechts het los hiervan staande proces van het commercieel op de markt brengen van open source software onder de reikwijdte van de CRA te brengen.
Met betrekking tot het uitzonderen van open source software heeft de Europese Commissie in het voorstel slechts een beperkte overweging opgenomen in de Overwegingen (Recitals). Een overweging heeft echter geen zelfstandige rechtskracht en kan slechts een rol spelen in de interpretatie indien er ook een artikel is om te interpreteren. Een dergelijk artikel is wat betreft de reikwijdte van de CRA niet aanwezig.
Medewetgever Raad van de EU heeft in zijn versie amendementen toegevoegd aan de Overwegingen zonder een artikel met betrekking tot de reikwijdte toe te voegen. De amendementen van de Raad blijven hierdoor met betrekking tot de reikwijdte zonder werking. De minister van Economische Zaken en Klimaat bevestigt in een brief aan de Eerste Kamer dat er slechts sprake is van een overweging. De minister laat onvermeld dat overwegingen geen zelfstandige rechtskracht hebben en dat de zorgen dus in het geheel niet “uitgebreid geadresseerd” zijn. Pijnlijk, zeker omdat ons concurrentievermogen op het spel staat.
De ITRE commissie van het Europese Parlement heeft in haar versie een belangrijk artikel toegevoegd met betrekking tot de reikwijdte. Verdere noodzakelijke uitzonderingen en definities met betrekking tot de reikwijdte heeft de ITRE commissie slechts toegevoegd als te beperkte en soms contraproductieve overwegingen. Ook de versie van deze medewetgever creëert veel juridische onzekerheid, die juist voor een kwetsbaar ecosysteem schadelijk is.
De medewetgevers hebben besloten tot een versnelde wetgevingsprocedure (trilogues) hetgeen gezien de staat van de voorstellen onverstandig lijkt. Anders dan in Den Haag worden in Brussel geen of amper wetgevingsexperts betrokken bij het maken van wetten, dat wreekt zich hier. Zonder verbeteringen zal de Cyber Resilience Act het kwetsbare ecosysteem van open source software en daarmee ons concurrentievermogen ernstig schaden, zonder software veiliger te maken.
We willen u vragen te bevorderen dat het voorstel verbeterd wordt in overleg met open source software organisaties. Hierbij dient in het oog gehouden te worden dat slechts artikelen zelfstandige rechtskracht hebben.
Hoogachtend,
namens Stichting Vrijschrift,
Ante Wessels