Source: OJ L 2024/2847, 20.11.2024Current language: FR
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Article 24 Obligations des intendants de logiciels ouverts
Summary What does Article 24 of the CRA regulation say?
This article carves out a tailored regime for open-source software stewards, a category of legal person distinct from manufacturers that supports the development of free and open-source software intended for commercial activities.
Rather than applying the full manufacturer obligations found elsewhere in the regulation, Article 24 establishes a lighter-touch but still meaningful set of requirements.
The core obligation is to have a documented, verifiable cybersecurity policy covering how vulnerabilities are handled, reported, and shared within the open-source community.
The article also connects directly to Article 14, extending certain incident and vulnerability reporting obligations to stewards, but only to the extent they are involved in development or where severe incidents affect their own systems.
Important points:
- Open-source software stewards are required to put in place and document a verifiable cybersecurity policy covering vulnerability handling, remediation, and information sharing within the open-source community.
- Open-source software stewards must cooperate with market surveillance authorities on request and provide their cybersecurity policy documentation in a language easily understood by those authorities.
- Reporting obligations from Article 14 apply to open-source software stewards, but only in a scoped manner — vulnerability reporting applies where they are involved in development, and severe incident reporting applies where their own systems are affected.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les intendants de logiciels ouverts mettent en place et documentent de manière vérifiable une politique de cybersécurité afin de favoriser le développement d’un produit comportant des éléments numériques sécurisé ainsi qu’un traitement efficace des vulnérabilités par les développeurs de ce produit. Cette politique encourage également le signalement volontaire des vulnérabilités, prévu à l’article 15, par les développeurs de ce produit et tient compte de la nature spécifique de l’intendant de logiciels ouverts et des modalités juridiques et organisationnelles auxquelles il est soumis. Cette politique comprend, en particulier, des aspects liés à la documentation, au traitement et à la correction des vulnérabilités, ainsi qu’à la promotion du partage d’informations sur les vulnérabilités découvertes au sein de la communauté des logiciels ouverts.
Les intendants de logiciels ouverts coopèrent avec les autorités de surveillance du marché, à leur demande, en vue d’atténuer les risques de cybersécurité posés par un produit comportant des éléments numériques qui répond aux critères de logiciel libre et ouvert.
Sur demande motivée d’une autorité de surveillance du marché, les intendants de logiciels ouverts fournissent à cette autorité, dans une langue aisément compréhensible par celle-ci, la documentation visée au paragraphe 1, sur support papier ou sous forme électronique.
Les obligations prévues à l’article 14, paragraphe 1, s’appliquent aux intendants de logiciels ouverts dès lors qu’ils participent au développement des produits comportant des éléments numériques. Les obligations prévues à l’article 14, paragraphes 3 et 8, s’appliquent aux intendants de logiciels ouverts dès lors que des incidents graves ayant des répercussions sur la sécurité des produits comportant des éléments numériques touchent les réseaux et les systèmes d’information fournis par les intendants de logiciels ouverts pour le développement de ces produits.
Relevant recitals
Considérant 17 Application considering free and open-source software
Les logiciels et données qui sont partagés de manière ouverte, auxquels les utilisateurs peuvent librement accéder et qu’ils peuvent librement utiliser, modifier et redistribuer, dans une version modifiée ou non, peuvent contribuer à la recherche et à l’innovation sur le marché. Pour favoriser le développement et le déploiement de logiciels libres et ouverts, en particulier par les microentreprises et les petites et moyennes entreprises, y compris les jeunes pousses, par les personnes physiques, par les organisations à but non lucratif et par les instituts de recherche universitaires, l’application du présent règlement aux produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale devrait tenir compte de la nature des différents modèles de développement de logiciels distribués et développés sous licences logicielles libres et ouvertes.
Considérant 18 Definition of free and open-source software
On entend par «logiciel libre et ouvert» un logiciel dont le code source est partagé de manière ouverte et dont la licence prévoit tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable. Les logiciels libres et ouverts sont développés, entretenus et distribués de façon ouverte, y compris par l’intermédiaire de plates-formes en ligne. En ce qui concerne les opérateurs économiques auxquels s’applique le présent règlement, seuls les logiciels libres et ouverts mis à disposition sur le marché, donc fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale, devraient relever du champ d’application du présent règlement. Les seules circonstances dans lesquelles le produit comportant des éléments numériques a été développé ou la manière dont le développement a été financé ne devraient donc pas être prises en considération au moment de déterminer si l’activité en question est de nature commerciale ou non. Plus précisément, aux fins du présent règlement et en ce qui concerne les opérateurs économiques auxquels il s’applique, afin de garantir la distinction claire entre les phases de développement et de fourniture, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts qui ne sont pas monétisés par leur fabricant ne devrait pas être considérée comme une activité commerciale. En outre, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts, destinés à être intégrés par d’autres fabricants à leurs propres produits comportant des éléments numériques, ne devrait être considérée comme une mise à disposition sur le marché que si le composant est monétisé par son fabricant d’origine. Par exemple, le simple fait qu’un fabricant verse un soutien financier à un logiciel libre comportant des éléments numériques ou qu’il contribue au développement d’un tel produit ne devrait pas en soi suffire à déterminer que cette activité est de nature commerciale. En outre, les mises à jour régulières de ce logiciel ne devraient pas permettre à elles seules de conclure qu’un produit comportant des éléments numériques est fourni dans le cadre d’une activité commerciale. Enfin, aux fins du présent règlement, le développement par des organisations à but non lucratif de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne devrait pas être considéré comme une activité commerciale, pour autant que l’organisation concernée soit constituée de telle façon que tous les bénéfices sont utilisés pour atteindre des objectifs non lucratifs. Le présent règlement ne s’applique pas aux personnes physiques ou morales qui contribuent, sous forme de code source, à des produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne relevant pas de leur responsabilité.
Considérant 19 Regulatory regime for open-source software stewards
Étant donné l’importance que revêtent, en matière de cybersécurité, de nombreux produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts qui sont publiés mais ne sont pas mis à disposition sur le marché au sens du présent règlement, les personnes morales qui apportent un soutien prolongé au développement de tels produits destinés à des activités commerciales et qui jouent un rôle de premier plan en veillant à la viabilité de ces produits (intendants de logiciels ouverts) devraient être soumises à un régime réglementaire allégé et sur mesure. Figurent parmi les intendants de logiciels ouverts certaines fondations et les entités qui développent et publient des logiciels libres et ouverts dans un cadre commercial, y compris les entités à but non lucratif. Le régime réglementaire devrait tenir compte de leur nature particulière et de leur compatibilité avec le type d’obligations qui leur incombent. Ce régime ne devrait concerner que les produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et dont la finalité est commerciale, par exemple ceux qui sont destinés à être intégrés à des services commerciaux ou à des produits comportant des éléments numériques monétisés. Aux fins de ce régime réglementaire, l’intention d’intégration à des produits comportant des éléments numériques monétisés couvre les cas où le fabricant qui intègre un composant dans ses propres produits comportant des éléments numériques contribue régulièrement au développement de ce composant ou apporte une assistance financière régulière afin d’assurer la pérennité d’un logiciel. Le fait d’apporter un soutien prolongé au développement d’un produit comportant des éléments numériques comprend, sans s’y limiter, l’hébergement et la gestion de plates-formes collaboratives de développement de logiciels, l’hébergement de code source ou d’un logiciel, l’administration ou la gestion de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ainsi que le pilotage du développement de ces produits. Étant donné que le régime réglementaire allégé et sur mesure n’impose pas aux intendants de logiciels ouverts les mêmes obligations que celles qui incombent aux fabricants en vertu du présent règlement, les intendants de logiciels ouverts ne devraient pas être autorisés à apposer le marquage CE aux produits comportant des éléments numériques dont ils soutiennent le développement.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybersécurité
(En. cybersecurity)
Definition
autorité de surveillance du marché
(En. market surveillance authority)
Definition
intendant de logiciels ouverts
(En. open-source software steward)
Definition
logiciel libre et ouvert
(En. free and open-source software)
Definition
opérateur économique
(En. economic operator)
Definition
mise à disposition sur le marché
(En. making available on the market)
Definition
mandataire
(En. authorised representative)
Definition
distributeur
(En. distributor)
Definition
composant
(En. component)
Definition
microentreprises
(En. microenterprises)
Definition
importateur
(En. importer)
Definition
logiciel
(En. software)
Definition
législation d’harmonisation de l’Union
(En. Union harmonisation legislation)
Definition
produit comportant des éléments numériques
(En. product with digital elements)
Definition
fabricant
(En. manufacturer)
Definition
système d’information électronique
(En. electronic information system)
Definition
incident
Definition
traitement de données à distance
(En. remote data processing)
Definition
marquage CE
(En. CE marking)
Definition
risque de cybersécurité
(En. cybersecurity risk)