... ------------------------------ 📊 Weekly Scan — εβδομάδα 10–17.6.2026 *Θέμα της εβδομάδας:* Η ευρωπαϊκή ατζέντα μετατοπίστηκε από τη ρύθμιση στην *κυριαρχία*, και *για πρώτη φορά εδώ και χρόνια ο ανοιχτός κώδικας τοποθετείται ρητά στο κέντρο της*. Για την ΕΕΛΛΑΚ αυτό αλλάζει το έδαφος της επιχειρηματολογίας. I. Γεωπολιτική & ψηφιακή τάξη *1. G7: «Ανοιχτή ΤΝ» και κυβερνοασφάλεια.* Οι υπουργοί Ψηφιακής Τεχνολογίας των G7 συμφώνησαν σε κοινό πλαίσιο για την Ανοιχτή Τεχνητή Νοημοσύνη ( ellak.gr, 3.6), και η Επιτροπή καλωσόρισε τη δήλωση κυβερνοασφάλειας των G7 για την παγκόσμια ψηφιακή ανθεκτικότητα (8.6). Διεθνής αναγνώριση της «open AI» ως κατεύθυνσης πολιτικής — αξιοποιήσιμο εισαγωγικό επιχείρημα. *2. EU–Βραζιλία Ψηφιακή Εταιρική Σχέση* ( 12.6): ένδειξη ότι η ΕΕ επενδύει σε «ψηφιακή διπλωματία» με ομοϊδεάτες εταίρους, παράλληλα με την εσωστρεφή ατζέντα αυτονομίας. II. Ευρωπαϊκή ψηφιακή αρχιτεκτονική *3. ⭐ ΤΟ ΜΕΓΑΛΟ ΝΕΟ: Πακέτο Τεχνολογικής Κυριαρχίας — και νέα Στρατηγική Ανοιχτού Κώδικα.* Στις 3.6 η Επιτροπή παρουσίασε το European Technological Sovereignty Package, ευρύ σύνολο πρωτοβουλιών για ημιαγωγούς, ΤΝ, cloud, ανοιχτές τεχνολογίες και ψηφιακές υποδομές. Περιλαμβάνει δύο νομοθετικές προτάσεις — τον Chips Act 2.0 και τον Cloud and AI Development Act — καθώς και μια Στρατηγική Ανοιχτού Κώδικα και έναν Στρατηγικό Οδικό Χάρτη για την ψηφιοποίηση και την ΤΝ στην ενέργεια. Κρίσιμο για εμάς: η νέα EU Open Source Strategy τοποθετεί τον ανοιχτό κώδικα στο κέντρο της τεχνολογικής κυριαρχίας της ΕΕ, προωθώντας ευρωπαϊκές ανοιχτές εναλλακτικές απέναντι σε ιδιόκτητες λύσεις τρίτων χωρών σε κρίσιμους τομείς — τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. → *Αυτό καλύπτει ακριβώς το κενό που είχαμε καταγράψει* στις «Νομικές βάσεις»: μέχρι χθες δεν υπήρχε διάδοχη στρατηγική μετά το «Think Open» 2020-2023. Τώρα υπάρχει, και πρέπει να ενσωματωθεί στο επιχείρημα ΜΑΤ. *4. CADA & δημόσιες προμήθειες.* Ο προτεινόμενος Cloud and AI Development Act δημιουργεί ενιαίο πλαίσιο ΕΕ για την αξιολόγηση της κυριαρχίας σε cloud και ΤΝ, με πρόβλεψη αποκλεισμού παρόχων cloud που δεν πληρούν τα νέα κριτήρια κυριαρχίας από ευαίσθητες δημόσιες συμβάσεις. Άμεση σύνδεση με το επιχείρημά μας για κριτήρια ανοιχτών αδειών στις προμήθειες (άρθρο 27-τύπου). Σημειωτέον: η Επιτροπή αναγνωρίζει ότι η ΕΕ παραμένει δομικά εξαρτημένη από μη-ευρωπαϊκούς παρόχους για πάνω από το 80% ψηφιακών προϊόντων/υπηρεσιών/υποδομών, ενώ τρεις αμερικανικοί hyperscalers κατέχουν πάνω από το 70% της αγοράς cloud της ΕΕ — ισχυρά στατιστικά για briefing. *Επιφύλαξη:* η ανάλυση της SUSE επισημαίνει ότι, παρά το «open-source-first» πνεύμα, υπάρχουν σημεία όπου το CADA υστερεί· χρειάζεται κριτική ανάγνωση πριν το υιοθετήσουμε αυτούσιο. *5. AI Omnibus — η σύγκρουση συνεχίζεται.* Η εικόνα παραμένει ρευστή: παρά την προσωρινή συμφωνία Μαΐου, οι αναλύσεις Ιουνίου δείχνουν ότι οι διαπραγματεύσεις εξακολουθούν να σκοντάφτουν καθώς πλησιάζει η προθεσμία. Η ΕΕΛΛΑΚ τοποθετήθηκε ευθέως (12.6): «το ΕΚ και το Συμβούλιο οφείλουν να απορρίψουν την αποδόμηση των εγγυήσεων για την ΤΝ». *Υπενθύμιση:* η υποχρέωση ενημέρωσης χρήστη του άρθρου 50 §1 (chatbots) παραμένει αμετάβλητη από *2.8.2026* — δεν θίγεται από τον Omnibus. *6. Κώδικας Πρακτικής για σήμανση περιεχομένου ΤΝ* ( 10.6): το λειτουργικό σημείο αναφοράς για το άρθρο 50 §2. *7. State of the Digital Decade 2026* ( 17.6 — σήμερα): δείχνει πρόοδο αλλά καλεί σε κάλυψη διαρθρωτικών κενών για τους στόχους 2030. Να ελεγχθεί η θέση της Ελλάδας. *8. Επαναχρησιμοποίηση ανοιχτού κώδικα στον δημόσιο τομέα* ( advisory.ellak.gr, 9.6): υλικό για τα άρθρα 4/6/8 του Καν. 2024/903. III. Ελληνική εφαρμογή *9. Backdrop:* ο νόμος «μόνον άπαξ» ( υπερψηφίστηκε 28.5, λίγο πριν το παράθυρο της εβδομάδας) έχει κυρωθεί χωρίς τις προτάσεις της ΕΕΛΛΑΚ. Το track ΜΑΤ είναι πλέον αμιγώς υπόθεση *υπουργικής απόφασης* — και το νέο ευρωπαϊκό πλαίσιο κυριαρχίας (σημείο 3) του δίνει φρέσκο νομικό/πολιτικό αέρα. *10. ΤΝ & ψηφιακή κυριαρχία στον ελληνικό διάλογο.* Σειρά άρθρων-υποδομή της εβδομάδας: «Η Τεχνητή Νοημοσύνη ως υποδομή κυριαρχίας» (9.6), «Ψηφιακή κυριαρχία χωρίς ψηφιακή λογοκρισία» (10.6), «Όταν η ΤΝ γράφει σαν επιστήμονας: γιατί οι ανιχνευτές δεν αρκούν» (10.6). Συγκλίνουν θεματικά με το ευρωπαϊκό πακέτο. *11. Open source workspace & ψηφιακή ανεξαρτησία:* «Nextcloud Hub 26 Spring» (10.6) και η σειρά για τα «10 χρόνια Nextcloud» — χρήσιμα παραδείγματα ευρωπαϊκών ανοιχτών εναλλακτικών για τους δήμους (Open-Local-LLM context). *12. Διεθνής παρουσία ΕΕΛΛΑΚ.* OFE Capital Series Cyprus (Λευκωσία, 16.6) με την ΕΕΛΛΑΚ θεσμικό εταίρο και τέσσερις εκπροσώπους σε panels, μεταξύ άλλων για την ψηφιακή κυριαρχία και τον ρόλο του ανοιχτού λογισμικού· παρουσίαση Δ. Σπινέλλη στο Kongsberg Agenda 2026 (10.6) για ανοιχτό κώδικα και εθνική κυριαρχία. ------------------------------ 🔮 Αναδυόμενα Θέματα - *Ενσωμάτωση της νέας EU Open Source Strategy στο επιχείρημα ΜΑΤ.* Η στρατηγική (3.6) είναι το πιο φρέσκο και ισχυρό πολιτικό έρεισμα που έχουμε αποκτήσει εδώ και χρόνια. *(deep-dive prompt: ανάγνωση του κειμένου της Communication + χαρτογράφηση των σημείων που στηρίζουν εθνικό OSPO/ΜΑΤ)* - *CADA & ελληνικές δημόσιες προμήθειες.* Αν ο αποκλεισμός μη-κυρίαρχων παρόχων cloud από ευαίσθητες συμβάσεις γίνει δεσμευτικός, αλλάζει το τοπίο για το data.gov.gr, το G-Cloud και τον Φάρο. *(deep-dive prompt: τι σημαίνει το CADA για το ελληνικό cloud δημόσιου τομέα)* - *Σύνδεση Φάρου / ΔΑΙΔΑΛΟΣ με την ευρωπαϊκή ατζέντα κυριαρχίας.* Ευκαιρία follow-up στα σχόλιά μας του Δεκεμβρίου περί ανοιχτότητας μοντέλων: ποια άδεια θα φέρουν τα μοντέλα του AI Factory; *(deep-dive prompt: επιστολή/σημείωμα προς ΓΓΠΣΨΔ & ΕΔΥΤΕ)* - *Compliance chatbot gov.gr <http://gov.gr> με ορίζοντα 2.8.2026.* Με τον νόμο ψηφισμένο και την προθεσμία αμετάβλητη, το κενό (άρθρα 5 & 8 ν. 4961/2022 + άρθρο 50 §1 AI Act) απαιτεί συγκεκριμένο χρονοδιάγραμμα. *(deep-dive prompt: σύνταξη σημειώματος συμμόρφωσης)* ------------------------------ To* CRA είναι αυτό που επιβάλλει πραγματικές, δεσμευτικές υποχρεώσεις* σε όποιον «διαθέτει στην αγορά» λογισμικό· *το CSA είναι κατά βάση πλαίσιο εθελοντικής πιστοποίησης* συν το θεσμικό σκέλος της ENISA, και από μόνος του δεν επιβάλλει υποχρεώσεις στους παραγωγούς λογισμικού.Cyber Resilience Act (Καν. ΕΕ 2024/2847) *Νομική φύση & εφαρμογή στην Ελλάδα.* Είναι Κανονισμός — άμεσα εφαρμοστέος, χωρίς ανάγκη ελληνικού νόμου μεταφοράς. Τέθηκε σε ισχύ τον Δεκέμβριο 2024 και κλιμακώνει τις υποχρεώσεις σε διάστημα ~3 ετών. *Υποχρεώσεις για επιχειρήσεις παραγωγής λογισμικού (ως «κατασκευαστές»/manufacturers).* Όποιος διαθέτει στην αγορά «προϊόν με ψηφιακά στοιχεία» οφείλει: ασφάλεια εκ σχεδιασμού, διαχείριση ευπαθειών, αξιολόγηση συμμόρφωσης, τεχνική τεκμηρίωση και σήμανση CE. Πρακτικά αυτό σημαίνει και SBOM (κατάλογο συστατικών λογισμικού), υποχρέωση παροχής ενημερώσεων ασφαλείας για πέντε έτη από τη διάθεση στην αγορά, και αναφορά περιστατικών. Οι προθεσμίες αναφοράς είναι αυστηρές: για ενεργά αξιοποιούμενη ευπάθεια, έγκαιρη προειδοποίηση εντός 24 ωρών, ειδοποίηση εντός 72 ωρών και τελική έκθεση εντός 14 ημερών από τη διάθεση διορθωτικού μέτρου· για σοβαρά περιστατικά η τελική έκθεση εντός ενός μήνα. Οι αναφορές θα υποβάλλονται μέσω της ενιαίας πλατφόρμας αναφοράς CRA που λειτουργεί η ENISA. Οι κυρώσεις φτάνουν τα 15 εκατ. ευρώ ή το 2,5% του παγκόσμιου ετήσιου κύκλου εργασιών. *Υποχρεώσεις για προγραμματιστές ανοιχτού λογισμικού.* Εδώ ο CRA κάνει μια σημαντική διάκριση: - *Μη-εμπορική ανάπτυξη εξαιρείται.* Το μη-εμπορικό λογισμικό ανοιχτού κώδικα εξαιρείται· όμως εταιρείες που ενσωματώνουν εμπορικά συστατικά ανοιχτού κώδικα στα προϊόντα τους ευθύνονται για τη συμμόρφωση των συστατικών αυτών. Δηλαδή ο εθελοντής/maintainer που δεν έχει εμπορικό σκοπό τυπικά δεν καλύπτεται. - *Ο νέος ρόλος του «open-source software steward».* Ο CRA εισάγει την έννοια του «διαχειριστή λογισμικού ανοιχτού κώδικα» — οντότητες πλην του κατασκευαστή που στηρίζουν την ανάπτυξη προϊόντων εντός πεδίου του CRA με ελεύθερο/ανοιχτό λογισμικό, και το κάνουν για εμπορικούς σκοπούς. Η «στήριξη» περιλαμβάνει τη φιλοξενία/διαχείριση πλατφορμών συνεργατικής ανάπτυξης, τη φιλοξενία πηγαίου κώδικα, ή την καθοδήγηση της ανάπτυξης — ο ορισμός είναι αρκετά ευρύς ώστε να καλύπτει τα μεγάλα ιδρύματα ανοιχτού κώδικα (Eclipse, Linux, Apache Foundation). Οι stewards υπόκεινται σε ελαφρύτερο καθεστώς με τρεις βασικές υποχρεώσεις: θέσπιση πολιτικής κυβερνοασφάλειας, συνεργασία με τις αρχές εποπτείας, και υποχρεώσεις αναφοράς. - *Ανακούφιση από κυρώσεις.* Πολύ μικρές και μικρές επιχειρήσεις δεν επιβάλλονται πρόστιμα για αστοχία στην 24ωρη προθεσμία αναφοράς, και οι διαχειριστές ανοιχτού κώδικα δεν προστιμώνται για οποιαδήποτε παράβαση του CRA. Αυτό είναι ιδιαίτερα κρίσιμο για το ελληνικό οικοσύστημα, που αποτελείται κυρίως από ΜμΕ. *Ημερομηνίες CRA:* Ημερομηνία Τι ισχύει 10–11.12.2024 Έναρξη ισχύος *11.6.2026* Κεφάλαιο IV (κοινοποίηση φορέων αξιολόγησης συμμόρφωσης)· τα κράτη μέλη ορίζουν εθνικές αρχές και κοινοποιημένους φορείς — *μόλις πέρασε* *11.9.2026* Υποχρεώσεις αναφοράς του άρθρου 14 (ευπάθειες/περιστατικά) — *προσεχώς* *11.12.2027* Πλήρης συμμόρφωση· όλα τα προϊόντα πρέπει να πληρούν τις βασικές απαιτήσεις, να φέρουν σήμανση CE και να έχουν ολοκληρώσει αξιολόγηση συμμόρφωσης — χωρίς πρόβλεψη grandfathering για μη-συμμορφούμενα προϊόντα *Σημείωση: η Επιτροπή δημοσίευσε στις 3.3.2026 προς διαβούλευση σχέδιο καθοδήγησης για την εφαρμογή του CRA με διευκρινίσεις στα όρια «εμπορικού/μη-εμπορικού».* Cybersecurity Act (Καν. ΕΕ 2019/881) *Νομική φύση.* Θέσπισε δύο πυλώνες: μόνιμη εντολή για την ENISA και ένα *εθελοντικό* Ευρωπαϊκό Πλαίσιο Πιστοποίησης Κυβερνοασφάλειας για προϊόντα, υπηρεσίες και διεργασίες ΤΠΕ. Το βασικό σημείο: *για τους παραγωγούς λογισμικού και τους προγραμματιστές, ο CSA από μόνος του δεν δημιουργεί δεσμευτικές υποχρεώσεις* — η πιστοποίηση είναι προαιρετική. Απευθύνεται σε κατασκευαστές/παρόχους ΤΠΕ που *υποβάλλονται εθελοντικά* σε πιστοποίηση κυβερνοασφάλειας. Το πρώτο σχήμα που εγκρίθηκε είναι το EUCC (βάσει Common Criteria), με τον Εκτελεστικό Κανονισμό (ΕΕ) 2024/482 — το πρώτο εγκεκριμένο σχήμα υπό τον Κανονισμό 2019/881. *Πιθανές αλλαγές — CSA2.* Προσοχή, το τοπίο αλλάζει: στις 20.1.2026 η Επιτροπή δημοσίευσε πρόταση Κανονισμού για την επικαιροποίηση και αντικατάσταση του Cybersecurity Act (γνωστή ως «Cybersecurity Act 2 / CSA2»), ως μέρος ευρύτερου πακέτου εκσυγχρονισμού του πλαισίου κυβερνοασφάλειας, συνδεδεμένου με την αναθεώρηση της Οδηγίας NIS2. Το ανανεωμένο πλαίσιο πιστοποίησης στοχεύει σε απλούστερες διαδικασίες (ανάπτυξη σχημάτων εντός 12 μηνών κατά κανόνα) και πιο ευέλικτη διακυβέρνηση, με την πιστοποίηση να παραμένει πρακτικό, *εθελοντικό* εργαλείο. *Είναι ακόμη πρόταση — δεν έχει υιοθετηθεί*, άρα δεν υπάρχει σήμερα νέα δεσμευτική ημερομηνία για τους παραγωγούς. Πρακτικό συμπέρασμα για το ελληνικό οικοσύστημα Για τις ελληνικές εταιρείες λογισμικού η «καυτή» δέσμη είναι ο *CRA*: η επόμενη συγκεκριμένη προθεσμία είναι *11 Σεπτεμβρίου 2026* (αναφορά ευπαθειών/περιστατικών), και ο πραγματικός στόχος προετοιμασίας είναι η *11 Δεκεμβρίου 2027* (CE/πλήρης συμμόρφωση). Για τους προγραμματιστές ανοιχτού κώδικα, το κλειδί είναι η γραμμή «εμπορικού/μη-εμπορικού» και το ευνοϊκό καθεστώς stewards — με την έμπρακτη ασπίδα ότι *οι stewards δεν προστιμώνται*. Ο *CSA* παραμένει προαιρετικός· αξία έχει στρατηγικά (το EUCC ως διαφοροποιητικό πλεονέκτημα σε δημόσιες προμήθειες), όχι ως υποχρέωση. ------------------------------ - Εργαλεία Δημιουργίας και Διαχείρισης SBOM Η χειροκίνητη καταγραφή ενός SBOM είναι πρακτικά αδύνατη σε σύγχρονα περιβάλλοντα ανάπτυξης. Η παραγωγή του πρέπει να είναι *αυτοματοποιημένη* και ενσωματωμένη στο CI/CD pipeline σας (Continuous Integration / Continuous Deployment). *Τα εργαλεία χωρίζονται στις παρακάτω βασικές κατηγορίες:* Α. Εργαλεία Παραγωγής (SBOM Generation Tools) Εξετάζουν τον πηγαίο κώδικα, τα build artifacts ή τα container images και παράγουν το αρχείο CycloneDX/SPDX. - *Syft (by Anchore):* Εξαιρετικό open-source CLI εργαλείο για τη δημιουργία SBOM από container images και συστήματα αρχείων. Υποστηρίζει πολλαπλά formats (CycloneDX, SPDX). - *Trivy (by Aqua Security):* Πολυεργαλείο που όχι μόνο παράγει SBOM (σε CycloneDX/SPDX), αλλά κάνει ταυτόχρονα και vulnerability scanning. - *cdxgen:* Εξειδικευμένο εργαλείο του OWASP για τη δημιουργία CycloneDX SBOMs, με εξαιρετική υποστήριξη για node.js, python, java, c/c++ και native applications. - *Microsoft sbom-tool:* Ένα open-source εργαλείο της Microsoft, εξαιρετικά scalable, που ενσωματώνεται εύκολα σε enterprise pipelines. Β. Πλατφόρμες Διαχείρισης & Παρακολούθησης (SBOM Management & VEX) Το να φτιάξετε ένα SBOM είναι το πρώτο βήμα. Το CRA απαιτεί να το *παρακολουθείτε* για νέες ευπάθειες. - *OWASP Dependency-Track:* Μια open-source, intelligent πλατφόρμα ανάλυσης component-συνιστωσών. Εισάγετε τα SBOMs που παράγετε και η πλατφόρμα τα συγκρίνει καθημερινά με τις βάσεις δεδομένων (NVD, GitHub Advisories) για να σας ειδοποιήσει αν ανακαλύφθηκε νέα ευπάθεια σε κώδικα που έχετε ήδη διαθέσει στην αγορά. - *Guac (Graph for Understanding Artifact Composition):* Open-source εργαλείο που βοηθά στη σύνδεση των SBOMs με άλλες μετα-πληροφορίες ασφαλείας. - Η σύνδεση SBOM και VEX (Vulnerability Exploitability eXchange) Μια κρίσιμη τεχνική λεπτομέρεια του CRA είναι ότι η ύπαρξη μιας ευπάθειας σε μια βιβλιοθήκη (που φαίνεται στο SBOM) *δεν σημαίνει απαραίτητα ότι το προϊόν σας είναι ευάλωτο*, καθώς ο συγκεκριμένος κώδικας μπορεί να μην εκτελείται ποτέ. Για να αποφευχθεί ο "θόρυβος" (false positives), το CRA υποστηρίζει τη χρήση του *VEX (Vulnerability Exploitability eXchange)*. - Το VEX είναι ένα συνοδευτικό, μηχανικά αναγνώσιμο αρχείο (συχνά ενσωματωμένο στο CycloneDX). - Επιτρέπει σε εσάς (τον κατασκευαστή) να δηλώσετε την κατάσταση μιας ευπάθειας, π.χ.: Not_Affected (ο κώδικας δεν επηρεάζεται), Affected, ή Under_Investigation. ------------------------------ ... -- Θεόδωρος Καρούνος <https://www.karounos.gr/blog/>, PGP KEY <https://www.karounos.gr/blog/theodoros-g-karounos-public-pgp-key> <https://www.karounos.gr/blog/theodoros-g-karounos-public-pgp-key> ______________________________________________________________ https://mathe.ellak.gr/ - https://ellak.gr/wiki/ - https://gfoss.eu/ - https://ellak.gr/ <https://ellak.gr/wiki/>
---- Λαμβάνετε αυτό το μήνυμα απο την λίστα: Λίστα αλληλογραφίας και συζητήσεων για το ΕΛ\/ΛΑΚ και την Επιχειρηματικότητα, https://lists.ellak.gr/imeres-sinergasias/listinfo.html Μπορείτε να απεγγραφείτε από τη λίστα στέλνοντας κενό μήνυμα ηλ. ταχυδρομείου στη διεύθυνση <imeres-sinergasias+unsubscribe [ at ] ellak [ dot ] gr>.