Le texte actuel considère qu'un fournisseur ou modificateur de logiciel, personne physique (y compris les développeurs bénévoles) ou juridique, devient automatiquement juridiquement responsable ou co-responsable de la présence d'un problème de sécurité.