L’UE è nel bel mezzo del processo di modifica della sua proposta di legge sulla resilienza informatica (Cyber Resilience Act, CRA), una legge destinata a rafforzare le difese europee contro gli attacchi informatici e a migliorare la sicurezza dei prodotti. Questa legge si rivolge a un’ampia fascia di prodotti immessi sul mercato e destinati ai consumatori europei, tra cui dispositivi Internet of Things (IoT), computer desktop e smartphone. La legge impone ai produttori e ai distributori di dispositivi requisiti in materia di divulgazione delle vulnerabilità e introduce nuove norme sulla responsabilità per gli incidenti di sicurezza informatica.
La EFF accoglie con favore l’intenzione della legislazione, ma la legge proposta penalizzerà gli sviluppatori open source che ricevono un qualsiasi compenso monetario per il loro lavoro. Inoltre, richiederà ai produttori di segnalare alle autorità di regolamentazione le vulnerabilità non risolte e attivamente sfruttate. Questo requisito rischia di esporre la conoscenza e lo sfruttamento di tali vulnerabilità a un pubblico più vasto, aggravando i danni che questa legislazione intende mitigare.