Além das exigências do CRA aos fornecedores, também tem implicações para os utilizadores de software de código aberto, daí o interesse da Fundação no tema. Entre outras medidas, o CRA cria o papel de administrador de código aberto dentro da empresa, com a responsabilidade de garantir que uma política de segurança esteja em vigor para qualquer software usado na organização.
A primeira parte da CRA a entrar em vigor, em 11 de junho, diz respeito à designação dos organismos de avaliação da conformidade pelos Estados-membros. Então, a partir de 11 de setembro, os fabricantes serão obrigados a começar a reportar vulnerabilidades nos seus produtos às autoridades competentes. As restantes obrigações ao abrigo da Lei, que incluem sanções financeiras substanciais, serão aplicáveis a partir de 11 de dezembro de 2027.
As sanções iminentes parecem não ter preocupado as empresas: 56 por cento dos entrevistados no inquérito OpenSSF não sabiam que as multas por incumprimento poderiam atingir 15 milhões de euros ou 2,5 por cento do volume de negócios anual global.
A falta de conhecimento sobre as implicações da lei surpreendeu o CTO do OpenSSF, Christopher Robinson. “Já falamos sobre este assunto há algum tempo e estamos coçando a cabeça sobre por que mais empresas não estão cientes das implicações da lei”, disse ele.
