Das Cyberresilienzgesetz verfolgt angesichts seiner zentralen Rolle bei der Gewährleistung der Cybersicherheit von Produkten mit digitalen Elementen und seiner Beiträge zur Wirtschaft der Europäischen Union einen besonderen Ansatz für freie und quelloffene Software.
Wie adressiert die CRA freie und Open-Source-Software?
Die Ratingagentur erkennt an, dass zur Förderung der Entwicklung und des Einsatzes von freier und quelloffener Software besonderes Augenmerk auf die Art der verschiedenen Entwicklungsmodelle von Software gelegt werden sollte, die unter freien und quelloffenen Softwarelizenzen vertrieben und entwickelt wird.
Aus diesem Grund fällt nur freie und quelloffene Software, die auf dem Markt bereitgestellt und daher für den Vertrieb oder die Nutzung im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird, in den Anwendungsbereich des Cyber Resilience Act. Insbesondere sollte die Bereitstellung von Produkten mit digitalen Elementen, die als freie und quelloffene Software gelten und von ihren Herstellern nicht monetarisiert werden, nicht als kommerzielle Tätigkeit angesehen werden. Darüber hinaus gilt die CRA nicht für Entwickler, die mit Quellcode zu freier und Open-Source-Software beitragen, die nicht in ihrer Verantwortung stehen.
In Anerkennung der Bedeutung vieler Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten und veröffentlicht, aber nicht auf dem Markt im Sinne der CRA bereitgestellt werden, für die Cybersicherheit wird darüber hinaus die neue rechtliche Kategorie der quelloffenen Software-Stewards eingeführt. Dabei handelt es sich um juristische Personen, die die Entwicklung solcher Produkte, die für kommerzielle Tätigkeiten bestimmt sind, nachhaltig unterstützen und die eine Hauptrolle bei der Gewährleistung ihrer Lebensfähigkeit spielen und einem leichten und maßgeschneiderten Regulierungssystem unterliegen.
Weitere Leitlinien werden verdeutlichen, wie die CRA für freie und Open-Source-Software gilt.
Was sind die Hauptverpflichtungen?
Stellt ein Hersteller ein Produkt mit digitalen Elementen in Verkehr, bei dem es sich um eine freie und quelloffene Software handelt, unterliegt es den Verpflichtungen der Hersteller.
Wenn eine juristische Person sie nicht in Verkehr bringt, sondern die Entwicklung bestimmter Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten und für kommerzielle Tätigkeiten bestimmt sind, systematisch und nachhaltig unterstützt und die Lebensfähigkeit dieser Produkte sicherstellt, unterliegt sie den Verpflichtungen von quelloffenen Software-Stewards.
Open-Source-Software-Stewards unterliegen den in Artikel 24 festgelegten Verpflichtungen, insbesondere der Einführung einer Cybersicherheitspolitik zur Förderung der sicheren Entwicklung und des Umgangs mit Schwachstellen; Zusammenarbeit mit den Marktüberwachungsbehörden; Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle, die sich auf die Sicherheit von Produkten mit digitalen Elementen auswirken. Gemäß Artikel 64 Absatz 10 werden Verwalter von Open-Source-Software bei Verstößen gegen die Ratingagentur nicht mit Geldbußen belegt.
Einschlägige Kooperationsstellen
Vertreter freier und quelloffener Software sind Mitglieder der Expert Group on the Cybersecurity of Products with Digital Elements (CRA Expert Group).
Referenzdokumente und Links
Häufig gestellte Fragen zur CRA-Umsetzung
Ressourcen in der Open-Source-Community zur Unterstützung der CRA-Implementierung
Open-Source-Communities haben eine Reihe frei zugänglicher Ressourcen auf der CRA entwickelt. Eine nicht erschöpfende Liste enthält:
- Die Open Regulatory Compliance Working Group (ORC WG) zur Ratingagentur
- Die Open Source Initiative arbeitet an harmonisierten Normen
- Der OpenSSF Kurs auf der CRA
Die Kommission ist nicht verantwortlich für die Richtigkeit der in den nachstehenden Links bereitgestellten Informationen. Sie sind eingeladen, sich mit uns in Verbindung zu setzen, wenn Sie Initiativen oder Ressourcen auf der CRA auflisten möchten.
Zugehöriger Inhalt
Gesamtbild