Open-Source-Community aufatmen! EU-Verhandlungen zum Cyber Resilience Act (CRA) bringen Erleichterung. In den ersten Entw\u00fcrfen der geplanten Verordnung zur Cyber-Widerstandsf\u00e4higkeit war die Definition von kommerzieller Aktivit\u00e4t sehr weit gefasst. Das f\u00fchrte zu Bedenken, dass auch ehrenamtlich engagierte Personen oder Projekte, Stiftungen, zivilgesellschaftliche Organisationen, Hochschulen oder \u00f6ffentliche Verwaltungen in den Anwendungsbereich des CRA und damit in die Haftung fallen k\u00f6nnten.<\/p>\n
Doch die Unterh\u00e4ndler des EU-Rats und des Parlaments haben in ihrem Kompromiss klare Verbesserungen vorgenommen. Sie stellten klar, dass das einfache Bereitstellen von Open-Source-Software nicht erfasst wird, solange die Hersteller dabei keine Gewinne erzielen m\u00f6chten. Entscheidend ist allein, auf welche Weise das Produkt auf den Markt gebracht wird. Ob es w\u00e4hrend der Entwicklung finanzielle Unterst\u00fctzung gab oder nicht, spielt keine Rolle. Die Klassifizierung einer freien Software als kommerziell erfolgt nicht automatisch, nur weil professionelle Hersteller daran beteiligt sind. Da k\u00f6nnen die flei\u00dfigen Code-Contributor aufatmen.<\/p>\n
Auch Programme, die von \u00f6ffentlichen Verwaltungen ausschlie\u00dflich f\u00fcr interne Zwecke entwickelt werden, sind vom CRA ausgenommen. Das ist doch mal eine gute Nachricht f\u00fcr die Beh\u00f6rden, die nicht gleich f\u00fcr jede kleine interne Software den ganzen Regulierungskram erf\u00fcllen m\u00fcssen.<\/p>\n
Ein neues Konzept haben die Unterh\u00e4ndler auch eingef\u00fchrt: den Steward f\u00fcr Open Source. Das sind Organisationen wie Stiftungen, die zwar keine klassischen Software-Hersteller sind, aber regelm\u00e4\u00dfig Support leisten und somit eine wichtige Rolle bei der Qualit\u00e4tssicherung spielen. Sie m\u00fcssen zwar nicht so streng reguliert werden wie die kommerziellen Hersteller, aber sie m\u00fcssen trotzdem eine Cybersicherheitsstrategie implementieren, Sicherheitsl\u00fccken melden und mit den zust\u00e4ndigen Markt\u00fcberwachungseinrichtungen zusammenarbeiten. Klingt nach einer fairen Aufteilung der Verantwortung.<\/p>\n
Das Ergebnis der Verhandlungen hat Peter Ganten, den Vorstandsvorsitzenden der Open Source Business Alliance, positiv gestimmt. Endlich wurden die Bedenken bez\u00fcglich einer potenziellen \u00dcberregulierung und Rechtsunsicherheit im nicht-kommerziellen Open-Source-Bereich ber\u00fccksichtigt. Ehrenamtliches Engagement, nicht-gewinnorientierte Weiterentwicklung von freier Software und das Teilen von Wissen sollen nicht durch den CRA eingeschr\u00e4nkt werden. Nat\u00fcrlich gibt es immer noch bestimmte Sonderf\u00e4lle und unklare Bereiche, die noch gekl\u00e4rt werden m\u00fcssen, aber insgesamt ist das schon mal ein guter Schritt in die richtige Richtung.<\/p>\n
Auch die Denkfabrik OpenForum Europe ist froh \u00fcber die Verbesserungen im Anwendungsbereich. Es ist wichtig, dass die Regulierung nicht zu weit greift und das freie Software-\u00d6kosystem nicht erstickt.<\/p>\n
Aber hey, es gibt auch Kritik! Der T\u00dcV-Verband hat bem\u00e4ngelt, dass die EU-Gremien die Liste der kritischen Produkte, die einer unabh\u00e4ngigen Konformit\u00e4tsbewertung unterzogen werden m\u00fcssen, deutlich reduziert haben. In Zukunft k\u00f6nnten Betriebssysteme f\u00fcr Server, Desktops und Mobilger\u00e4te, Router oder Chipkartenleser m\u00f6glicherweise ohne weitere Pr\u00fcfung auf den Markt kommen, indem nur eine Selbsterkl\u00e4rung des Herstellers vorliegt. Das ist nat\u00fcrlich nicht ideal, angesichts der ernsthaften Bedrohungslage. Aber hey, immerhin haben wir in anderen Bereichen Fortschritte gemacht, oder? Man kann nicht alles haben, oder wie war das?<\/p>\n
Schlagw\u00f6rter: OpenSourceGemeinde + Cyber Resilience Act CRA + Kritische Produkte<\/p>\n","protected":false},"excerpt":{"rendered":"
Open-Source-Community aufatmen! EU-Verhandlungen zum Cyber Resilience Act (CRA) bringen Erleichterung. In den ersten Entw\u00fcrfen der geplanten Verordnung zur Cyber-Widerstandsf\u00e4higkeit war die Definition von kommerzieller Aktivit\u00e4t sehr weit gefasst. Das f\u00fchrte zu Bedenken, dass auch ehrenamtlich engagierte Personen oder Projekte, Stiftungen, zivilgesellschaftliche Organisationen, Hochschulen oder \u00f6ffentliche Verwaltungen in den Anwendungsbereich des...<\/p>\n","protected":false},"author":4,"featured_media":2493,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2494","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/2494","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2494"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/2494\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/2493"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2494"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2494"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2494"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}