Вы не совсем верно понимаете и текущую ситуацию и инициативу. А в самой новости слишком много букв, чтобы разглядеть суть."AS IS" более-менее защищает разработчика, в особенности с запрещением использовать его софт в конкретной юрисдикции при отсутствии возможности отказа от ответственности.
Но эта защита неизбежно будет под атаками и соответственно под вопросом, ибо основная проблема = отсутствие аудита и/или неустраненные дыры у пользователей.
Удобный/понятный для разработчика "AS IS" на самом деле не приемлем для конечных пользователей/потребителей. Сами пользователи, конечно, могут быть согласны на "AS IS", но в реальности это приводит к злоупотреблению безответственностью со стороны огромного кол-ва поставщиков ПО.
Евросоюз пытается бороться с ситуацией методом "поезд стой, раз-два!", что во-многом глупо и некомпетентно. Тем не менее, цель Cyber Resilience Act, в частности, в том чтобы на уровне регулятора оградить/очистить рынок ПО от неподдерживаемого кода, т.е. если код входит в продаваемое ПО, то кто-то обязан отслеживать и устранять в нём уязвимости.
Однако, это привнесение здравого смыла неизбежно будет рикошетить по разработчикам с "AS IS", ибо "AS IS" равноценен декларации "идите на фиг, ничего не знаю" (предполагает не-устранение уязвимостей).
Добавление соответствующего пункта лицензии вместо анархического "AS IS" будет требовать от коммерческих поставщиков участие в процессе поддержки. Это не только обозначает "юридическую колею" для исков, но и закладывает в лицензию основу для финансирования разработчиков.
Поэтому эта инициатива очень разумная и своевременная, если не запоздалая.