Die von der Eclipse Foundation gegründete Open Regulatory Compliance Working Group (ORC WG) hat ihr erstes Whitepaper veröffentlicht. Die Arbeitsgruppe – zu deren Mitgliedern namhafte Unternehmen wie Microsoft, Siemens, Red Hat und Bosch zählen – entstand durch das Aufkommen des Cyber Resilience Act (CRA), einer EU-Regulierung zur erhöhten Sicherheit von Produkten mit digitalen Elementen.
Das Whitepaper widmet sich offenen Fragen rund um die neue Rolle der im CRA genannten Open Source Software Stewards. Dabei macht die Arbeitsgruppe deutlich, dass das Whitepaper keine juristische Empfehlung ist, sondern ein kollektives Verständnis von Open-Source-Beitragenden widerspiegelt.
Open Source Software Stewards: Verantwortlichkeiten und Verpflichtungen
Wie die ORC WG in ihrem Blog betont, markiert der Cyber Resilience Act einen bedeutenden Wandel der Cybersecurity-Verantwortlichkeiten innerhalb des Softwareentwicklungs-Ökosystems. Open Source Software Stewards werden im CRA erstmals als juristische Akteure genannt und sind eine von Herstellern (Manufacturers) separate Kategorie. Im Gegensatz zu diesen müssen sie beispielsweise keine administrativen Geldstrafen bei Nicht-Compliance leisten. Allerdings wirft die neue Rolle einige Fragen auf, etwa was sie in der Praxis konkret bedeutet und welche genauen Verpflichtungen sie mit sich bringt.
Für das neue Whitepaper haben Mitglieder der ORC-Community den CRA-Text analysiert und interpretiert, um praktische Handlungsanweisungen und Informationen zu bieten. Konkret benennt das Whitepaper beispielsweise, in welchem Verhältnis die Stewards zu ihren unterstützten Projekten stehen und weshalb diese Rolle geschaffen wurde. Ihre Verpflichtungen kommen ebenfalls zur Sprache, und wie sich diese von jenen an Softwarehersteller unterscheiden.
Praktische Beispiele sollen zeigen, wie Open Source Software Stewards in ihren Projekten Cybersicherheitsregeln etablieren und mit Sicherheitslücken sowie deren Offenlegung umgehen können. Das Whitepaper erwähnt darüber hinaus, welche Fragen noch ungeklärt sind, etwa wie man in komplexen Fällen die geeignete Marktüberwachungsbehörde auswählt, und wo weitere regulatorische Anweisungen notwendig sind.
Auf der Website der ORC Working Group steht das 25-seitige Whitepaper „Open Source Software Stewards and CRA“ in der Version 1.0 zum Download bereit.
Übergreifende Fragen: Wann ist ein Steward ein Steward?
Dabei richtet sich das Whitepaper lediglich an Open-Source-Projekte, die einen Steward haben. Auf die meisten Projekte trifft das nach Angaben der ORC-Arbeitsgruppe nicht zu. Ein Steward muss eine „juristische Person“ sein, was beispielsweise ein Unternehmen sein kann. Die meisten Open-Source-Projekte werden jedoch nicht von Unternehmen oder Stiftungen unterstützt. Auch dient das Dokument nicht dazu, festzustellen, ob ein Unternehmen als Steward eines Projektes gilt – oder gar als Hersteller. Solche Fragen kommen in den ORC Working Group FAQ zur Sprache.
(mai)
English (US) ·