EU Cyber Resiliance Act (CRA) / Open Source
Wichtiger Erfolg für die Open-Source-Gemeinde im EU Cyber Resilience Act!
EU-Parlament berücksichtigt Open-Source-Anliegen!
Die Open-Source-Gemeinde kann einen wichtigen Erfolg verbuchen. Ihre Rückmeldungen wurden in die laufenden Trilog-Verhandlungen des EU Cyber Resilience Act (CRA) aufgenommen. Durch diese Änderung wird quelloffene und nicht-kommerzielle Software von den Auflagen des CRA ausgenommen und wird keine CE Kennzeichnung benötigen. Diese Entwicklung deutet auf eine positive Abstimmung im EU-Parlament im April 2024 hin.
Open-Source-Gemeinschaft erreicht eine Nachbesserung des Cyber Resilience Acts der EU in den laufenden Trilogverhandlungen!
Die Europäische Union steht kurz davor, mit dem neuen Cyber Resilience Act (CRA) weltweit Pionierarbeit zu leisten. Dieses Gesetz, offiziell als „Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“ benannt, zielt darauf ab, die Verantwortlichkeiten der Produkthaftung für Software und softwareenthaltende Produkte neu zu definieren. Die Bestätgiung der Einhaltung des CRA wird durch die CE-Kennzeichnung sichtbar gemacht, die nun erstmals auch für Software zur Pflicht wird. Die finale Abstimmung im EU-Parlament ist für April 2024 angesetzt, und die Anzeichen stehen gut, dass die Verordnung angenommen wird.
Die Herausforderungen und Ziele des CRA
Die Europäische Kommission hat die Einführung des CRA vorgeschlagen, um zwei Hauptprobleme anzugehen: das oft unzureichende Cybersicherheitsniveau von Produkten, die Software enthalten, sowie einen Mangel an Transparenz und Sicherheitswissen bei den Verbrauchern. Die Ziele sind klar: Die EU strebt sicherere Hardware und Software durch harmonisierte Regeln, einen einheitlichen Rahmen für Cybersicherheitsanforderungen und die Übernahme der Fürsorgepflicht durch die Hersteller für den gesamten Lebenszyklus der Produkte an.
Auswirkungen auf die Open-Source-Gemeinschaft
Anfangs war der CRA nur für IoT-Geräte geplant, wurde dann aber schnell auf auf sämtliche Geräte und Programme mit Datenverarbeitungsschnittstelle erweitert. Dies sorgte für Unruhe in der Open-Source-Gemeinschaft. Viele Open-Source-Projekte sahen sich mit potenziell unerfüllbaren Anforderungen konfrontiert, wie z.B. der Durchführung von Risikobeurteilungen für alle Einsatzzwecke und der kontinuierlichen Aktualisierung dieser, um Sicherheitslücken zu adressieren. Diese Forderungen hätten, ohne Anpassungen, das Ende vieler Open-Source-Projekte bedeuten können, was eine erhebliche Veränderung der digitalen Landschaft zur Folge gehabt hätte.
Ein Wendepunkt in den Trilog-Verhandlungen
Glücklicherweise hat die Open-Source-Gemeinschaft erfolgreich auf eine Anpassung des Cyber Resilience Actes hingewirkt. In den laufenden Trilog-Verhandlungen wurde beschlossen, Open-Source-Software unter bestimmten Bedingungen von den Anforderungen des CRA zu befreien. Dies betrifft vor allem Entwickler und Organisationen, die ihre Software kostenlos und frei zur Verfügung stellen. Kommerziell vermarktete Open-Source-Produkte fallen jedoch weiterhin unter den CRA, wobei Spenden und Schenkungen explizit nicht als kommerzielle Aktivitäten gewertet werden.
Die Bedeutung dieser Entwicklung
Diese Anpassungen sind ein bedeutender Erfolg für die Open-Source-Gemeinschaft und unterstreichen das Engagement der EU für ein freies und offenes Internet. Sie zeigen, dass es möglich ist, die Ziele der Cybersicherheit und Datenhoheit zu erreichen, ohne die Grundlagen der digitalen Freiheit zu untergraben. Die Zukunft sieht dank dieser Entwicklungen für Open-Source-Software in der EU vielversprechend aus.
weitere Informationen
Cyber Resilience Act (CRA)
eine detailierte Erläuterung zum Cyber Resilience Act findet sich unter: Cyber Resiliences ACT (CRA)