-
Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte auswirkt
- Open Source nicht automatisch ausgenommen
- Bereitstellung auf dem Markt
- Reine Committer nicht vom CRA betroffen
- Pflichten für Verwalter
- Ausnahmen für Open Source bei Produkthaftung und KI
- Fazit
Im Oktober 2024 hat die EU den finalen Text des Cyber Resilience Act (CRA) oder auch Cyberresilienzverordnung (CR-VO) veröffentlicht. Zusammen mit der Produkthaftungsrichtlinie und der KI-Verordnung (KI-VO) kommen damit neue Zeiten auf alle Unternehmen zu, die Produkte mit digitalen Elementen vertreiben, verkaufen oder importieren. Diese Regulierungen können aber auch Entwicklerinnen und Entwickler von freier und Open-Source-Software (FOSS) betreffen.
Im Vorfeld der Verabschiedung des CRA hatten deshalb Open-Source-Organisationen wie die Linux Foundation, die Eclipse Foundation, die Apache Software Foundation und die Open Source Business Alliance (OSBA), aber auch Unternehmen wie GitHub intensiv darauf hingewirkt, den Gesetzesentwurf der Kommission für freie und offene Software klarer zu formulieren und zu entschärfen, da er viele Unklarheiten und vage Formulierungen enthielt. Im Vergleich zum ersten Entwurf der EU-Kommission im Jahr 2022 berücksichtigt der final verabschiedete Text die besonderen Arbeits- und Entwicklungsbedingungen, aber auch die Bedeutung von FOSS für Wirtschaft, Forschung und Gesellschaft viel stärker.
- Freie und Open-Source-Software (FOSS) unterliegt dem Cyber Resilience Act (CRA), wenn sie professionell entwickelt und auf dem Markt angeboten wird. Forschungsprojekte und reine Hobbyprojekte sind nicht betroffen.
- Im Einzelfall ist die Abgrenzung nicht immer klar. Dies ist gewollt, um die Umgehung nicht zu einfach zu machen, und der großen Bedeutung von freier und Open-Source-Software geschuldet.
- Der CRA sieht für FOSS-Projekte zahlreiche Erleichterungen vor.
- Organisationen wie die Eclipse Foundation oder die Open Source Business Alliance (OSBA) unterstützen Projekte bei der Umsetzung.
- Auch die Produkthaftungsrichtlinie der EU und die KI-Verordnung enthalten Ausnahmeregelungen für Open Source.
Denn gerade weil FOSS in technischer und wirtschaftlicher Hinsicht so wichtig geworden ist, ist es für die Gesellschaft und Wirtschaft weder realistisch noch wünschenswert, sie komplett vom Anwendungsbereich des CRA auszunehmen. Schließlich ist mittlerweile in fast allen kommerziellen Produkten auf die eine oder andere Weise freie und offene Software verbaut. Dieser Artikel will die Auswirkungen, mögliche Probleme und deren Lösungen für Open-Source-Projekte von Einzelpersonen und Organisationen, einzelnen Entwicklern sowie kleinen Unternehmen beschreiben. Da aber nicht alle Bestimmungen genau im Gesetz festgelegt sind, sondern teilweise erst im Nachhinein entstehen, lassen sich nicht alle Auswirkungen im Vorhinein genau vorhersagen.
Das war die Leseprobe unseres heise-Plus-Artikels "Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte auswirkt". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
English (US) ·