Die Open Source Initiative ist besorgt über den von der EU vorgeschlagenen Cyber Resilience Act. Das Gesetz verpflichtet Softwareentwickler, dafür zu sorgen, dass ihre Programme bestimmte Sicherheitsanforderungen erfüllen, und die erklärte Ausnahme für Open-Source-Software lässt immer noch zu viel Raum für Interpretationen.
So heißt es in dem Vorschlag beispielsweise, dass „Open-Source-Software nicht abgedeckt werden sollte“, wobei insbesondere der Teil „sollte“ zu Unklarheiten führt. Die OSI hält auch die Verwendung des Begriffs „kommerziell“ für fragwürdig; ihrer Meinung nach sollte jede kommerzielle Nutzung von der Open-Source-Software selbst getrennt sein.
Die Eclipse Foundation, die vor allem für die Eclipse IDE bekannt ist, ist ebenfalls betroffen. Obwohl die Organisation keinen Erwerbszweck verfolgt, scheint ihre kostenlose Software unter die kommerziellen Aktivitäten im Sinne des Gesetzes zu fallen, so dass sie verpflichtet wäre, die Anforderungen der Regelung zu erfüllen.
Der Vorschlag für den European Cyber Resilience Act wurde im vergangenen September vorgelegt. Ziel ist es, die Auswirkungen der Internetkriminalität zu verringern, deren jährliche Kosten auf 5,5 Milliarden Euro geschätzt werden. Mit einer obligatorischen CE-Kennzeichnung müssten die Entwickler angeben, dass ihre (kommerzielle) Software alle Sicherheitsanforderungen erfüllt, genau wie Hardware, mit anderen Worten, tatsächlich.