Open-Source-Community aufatmen! EU-Verhandlungen zum Cyber Resilience Act (CRA) bringen Erleichterung. In den ersten Entwürfen der geplanten Verordnung zur Cyber-Widerstandsfähigkeit war die Definition von kommerzieller Aktivität sehr weit gefasst. Das führte zu Bedenken, dass auch ehrenamtlich engagierte Personen oder Projekte, Stiftungen, zivilgesellschaftliche Organisationen, Hochschulen oder öffentliche Verwaltungen in den Anwendungsbereich des CRA und damit in die Haftung fallen könnten.
Doch die Unterhändler des EU-Rats und des Parlaments haben in ihrem Kompromiss klare Verbesserungen vorgenommen. Sie stellten klar, dass das einfache Bereitstellen von Open-Source-Software nicht erfasst wird, solange die Hersteller dabei keine Gewinne erzielen möchten. Entscheidend ist allein, auf welche Weise das Produkt auf den Markt gebracht wird. Ob es während der Entwicklung finanzielle Unterstützung gab oder nicht, spielt keine Rolle. Die Klassifizierung einer freien Software als kommerziell erfolgt nicht automatisch, nur weil professionelle Hersteller daran beteiligt sind. Da können die fleißigen Code-Contributor aufatmen.
Auch Programme, die von öffentlichen Verwaltungen ausschließlich für interne Zwecke entwickelt werden, sind vom CRA ausgenommen. Das ist doch mal eine gute Nachricht für die Behörden, die nicht gleich für jede kleine interne Software den ganzen Regulierungskram erfüllen müssen.
Ein neues Konzept haben die Unterhändler auch eingeführt: den Steward für Open Source. Das sind Organisationen wie Stiftungen, die zwar keine klassischen Software-Hersteller sind, aber regelmäßig Support leisten und somit eine wichtige Rolle bei der Qualitätssicherung spielen. Sie müssen zwar nicht so streng reguliert werden wie die kommerziellen Hersteller, aber sie müssen trotzdem eine Cybersicherheitsstrategie implementieren, Sicherheitslücken melden und mit den zuständigen Marktüberwachungseinrichtungen zusammenarbeiten. Klingt nach einer fairen Aufteilung der Verantwortung.
Das Ergebnis der Verhandlungen hat Peter Ganten, den Vorstandsvorsitzenden der Open Source Business Alliance, positiv gestimmt. Endlich wurden die Bedenken bezüglich einer potenziellen Überregulierung und Rechtsunsicherheit im nicht-kommerziellen Open-Source-Bereich berücksichtigt. Ehrenamtliches Engagement, nicht-gewinnorientierte Weiterentwicklung von freier Software und das Teilen von Wissen sollen nicht durch den CRA eingeschränkt werden. Natürlich gibt es immer noch bestimmte Sonderfälle und unklare Bereiche, die noch geklärt werden müssen, aber insgesamt ist das schon mal ein guter Schritt in die richtige Richtung.
Auch die Denkfabrik OpenForum Europe ist froh über die Verbesserungen im Anwendungsbereich. Es ist wichtig, dass die Regulierung nicht zu weit greift und das freie Software-Ökosystem nicht erstickt.
Aber hey, es gibt auch Kritik! Der TÜV-Verband hat bemängelt, dass die EU-Gremien die Liste der kritischen Produkte, die einer unabhängigen Konformitätsbewertung unterzogen werden müssen, deutlich reduziert haben. In Zukunft könnten Betriebssysteme für Server, Desktops und Mobilgeräte, Router oder Chipkartenleser möglicherweise ohne weitere Prüfung auf den Markt kommen, indem nur eine Selbsterklärung des Herstellers vorliegt. Das ist natürlich nicht ideal, angesichts der ernsthaften Bedrohungslage. Aber hey, immerhin haben wir in anderen Bereichen Fortschritte gemacht, oder? Man kann nicht alles haben, oder wie war das?
Schlagwörter: OpenSourceGemeinde + Cyber Resilience Act CRA + Kritische Produkte
Wie bewerten Sie den Schreibstil des Artikels?