Cyber Resi­li­ence Act: Open Source in Gefahr?

Bis­her wur­de der Ent­wurf der EU-Kommission für einen Cyber Resi­li­ence Act (CRA) über­wie­gend posi­tiv auf­ge­nom­men. Inzwi­schen meh­ren sich jedoch Stim­men aus der Open Source Com­mu­ni­ty, die in der geplan­ten Ver­ord­nung eine Gefahr für die Ent­wick­lung und den Ein­satz von Open Source Soft­ware (OSS) sehen. Sind die Befürch­tun­gen berech­tigt? Kön­nen die Open-Source-Projekte die geplan­ten Anfor­de­run­gen über­haupt erfül­len? Die­ser Arti­kel gibt Antworten.

Pflich­ten nach dem Cyber Resi­li­ence Act

Um die Cyber­si­cher­heit von Pro­duk­ten mit digi­ta­len Ele­men­ten zu erhö­hen, sieht der CRA neben einer Bewer­tung der Cyber­si­cher­heits­ri­si­ken ins­be­son­de­re eine län­ger­fris­ti­ge Über­wa­chung der Pro­duk­te vor. Her­stel­ler sol­len nicht nur zur akti­ven Beob­ach­tung und Mel­dung von Sicher­heits­lü­cken, son­dern auch zur Bereit­stel­lung von Sicher­heits­up­dates ver­pflich­tet wer­den. Was für die Nut­zer ein gro­ßer Vor­teil ist, bedeu­tet für Her­stel­ler, Impor­teu­re und Händ­ler einen hohen orga­ni­sa­to­ri­schen Auf­wand und zusätz­li­che Kos­ten. Ins­be­son­de­re für nicht­kom­mer­zi­el­le Open-Source-Projekte schei­nen die Ver­pflich­tun­gen kaum umsetzbar.

Kei­ne Anwen­dung des Cyber Resi­li­ence Act auf Open Source?

Die EU-Kommission hat erkannt, dass die Anfor­de­run­gen des geplan­ten CRA ins­be­son­de­re für nicht­kom­mer­zi­el­le Open-Source-Projekte kaum zu bewäl­ti­gen sind. Um Inno­va­ti­on und For­schung nicht zu behin­dern, hat sie daher in Erwä­gungs­grund 10 der geplan­ten Ver­ord­nung eine Aus­nah­me für OSS vor­ge­se­hen. Der CRA soll nicht auf freie und quell­of­fe­ne Soft­ware anwend­bar sein, wenn die­se außer­halb einer Geschäfts­tä­tig­keit ent­wi­ckelt oder bereit­ge­stellt wird. Dies soll ins­be­son­de­re gel­ten für „[…] Soft­ware, ein­schließ­lich ihres Quell­codes und modi­fi­zier­ter Ver­sio­nen, die offen geteilt und frei zugäng­lich, nutz­bar, modi­fi­zier­bar und wei­ter­ver­teil­bar ist […]“. Die EU-Kommission stellt also expli­zit klar: Der CRA soll kei­ne Aus­wir­kun­gen auf nicht­kom­mer­zi­el­le Open-Source-Projekte haben. Da den Erwä­gungs­grün­den einer Ver­ord­nung aber kei­ne recht­li­che Bin­dungs­wir­kung zukommt und erheb­li­che Unsi­cher­heit in der Open Source Com­mu­ni­ty besteht, wäre eine expli­zi­te Aus­nah­me­re­ge­lung unmit­tel­bar im CRA wünschenswert.

Vol­le Anwend­bar­keit bei kom­mer­zi­el­ler Nutzung

Nur die nicht­kom­mer­zi­el­le Ent­wick­lung und Bereit­stel­lung von OSS ist vom Anwen­dungs­be­reich des CRA aus­ge­nom­men. Wird OSS im Rah­men einer Geschäfts­tä­tig­keit ent­wi­ckelt oder bereit­ge­stellt, so gel­ten für den Her­stel­ler alle Pflich­ten des CRA. Dabei legt die EU-Kommission den Begriff der Geschäfts­tä­tig­keit weit aus. Eine kom­mer­zi­el­le Nut­zung soll nicht nur vor­lie­gen, wenn für die Soft­ware ein Preis ver­langt wird, son­dern ins­be­son­de­re auch in fol­gen­den Fällen:

  • Anbie­ten von tech­ni­schen Unter­stüt­zungs­leis­tun­gen gegen Entgelt
  • Bereit­stel­len einer Soft­ware­platt­form, über die ande­re Diens­te mone­ti­siert werden
  • Ver­ar­bei­ten von per­so­nen­be­zo­ge­nen Daten zu ande­ren Zwe­cken als der allei­ni­gen Ver­bes­se­rung der Sicher­heit, Kom­pa­ti­bi­li­tät oder Inter­ope­ra­bi­li­tät der Software

Der geplan­te CRA soll also nicht nur für Kon­stel­la­tio­nen gel­ten, in denen OSS Bestand­teil eines kom­mer­zi­ell ver­trie­be­nen digi­ta­len Pro­dukts wird, son­dern auch für Fäl­le, in denen OSS in irgend­ei­ner Wei­se in ein Geschäfts­mo­dell inte­griert wird. Für Unter­neh­men, die OSS kom­mer­zi­ell ent­wi­ckeln oder bereit­stel­len, folgt dar­aus, dass sie die Open-Source-Projekte hin­ter der ein­ge­setz­ten Soft­ware so unter­stüt­zen müs­sen, dass die Anfor­de­run­gen des CRA erfüllt wer­den. Unter­neh­men müs­sen Open-Source-Projekten in ihrer Soft­ware Sup­p­ly Chain daher zukünf­tig noch stär­ker unter die Arme greifen.

Fazit

Die aktu­el­len Dis­kus­sio­nen über die Aus­wir­kun­gen des CRA auf Open-Source-Projekte sind auf­grund der unzu­rei­chen­den Ver­an­ke­rung in der Ver­ord­nung ver­ständ­lich. Bei kom­mer­zi­el­ler Nut­zung von OSS kann der CRA als Chan­ce für die Ent­wick­lung und För­de­rung von Cyber­si­cher­heit in Open-Source-Projekten gese­hen wer­den. Es bleibt mit Span­nung abzu­war­ten, ob die EU-Kommission, der Minis­ter­rat und das EU-Parlament im Rah­men der Tri­log­ver­hand­lun­gen die Rege­lun­gen des CRA zu Open Source wei­ter prä­zi­sie­ren wer­den. Schon jetzt ist jedoch abseh­bar, dass Open Source Com­pli­ance und Cyber­se­cu­ri­ty by Design wich­ti­ger denn je werden.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.