Bisher wurde der Entwurf der EU-Kommission für einen Cyber Resilience Act (CRA) überwiegend positiv aufgenommen. Inzwischen mehren sich jedoch Stimmen aus der Open Source Community, die in der geplanten Verordnung eine Gefahr für die Entwicklung und den Einsatz von Open Source Software (OSS) sehen. Sind die Befürchtungen berechtigt? Können die Open-Source-Projekte die geplanten Anforderungen überhaupt erfüllen? Dieser Artikel gibt Antworten.
Pflichten nach dem Cyber Resilience Act
Um die Cybersicherheit von Produkten mit digitalen Elementen zu erhöhen, sieht der CRA neben einer Bewertung der Cybersicherheitsrisiken insbesondere eine längerfristige Überwachung der Produkte vor. Hersteller sollen nicht nur zur aktiven Beobachtung und Meldung von Sicherheitslücken, sondern auch zur Bereitstellung von Sicherheitsupdates verpflichtet werden. Was für die Nutzer ein großer Vorteil ist, bedeutet für Hersteller, Importeure und Händler einen hohen organisatorischen Aufwand und zusätzliche Kosten. Insbesondere für nichtkommerzielle Open-Source-Projekte scheinen die Verpflichtungen kaum umsetzbar.
Keine Anwendung des Cyber Resilience Act auf Open Source?
Die EU-Kommission hat erkannt, dass die Anforderungen des geplanten CRA insbesondere für nichtkommerzielle Open-Source-Projekte kaum zu bewältigen sind. Um Innovation und Forschung nicht zu behindern, hat sie daher in Erwägungsgrund 10 der geplanten Verordnung eine Ausnahme für OSS vorgesehen. Der CRA soll nicht auf freie und quelloffene Software anwendbar sein, wenn diese außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt wird. Dies soll insbesondere gelten für „[…] Software, einschließlich ihres Quellcodes und modifizierter Versionen, die offen geteilt und frei zugänglich, nutzbar, modifizierbar und weiterverteilbar ist […]“. Die EU-Kommission stellt also explizit klar: Der CRA soll keine Auswirkungen auf nichtkommerzielle Open-Source-Projekte haben. Da den Erwägungsgründen einer Verordnung aber keine rechtliche Bindungswirkung zukommt und erhebliche Unsicherheit in der Open Source Community besteht, wäre eine explizite Ausnahmeregelung unmittelbar im CRA wünschenswert.
Volle Anwendbarkeit bei kommerzieller Nutzung
Nur die nichtkommerzielle Entwicklung und Bereitstellung von OSS ist vom Anwendungsbereich des CRA ausgenommen. Wird OSS im Rahmen einer Geschäftstätigkeit entwickelt oder bereitgestellt, so gelten für den Hersteller alle Pflichten des CRA. Dabei legt die EU-Kommission den Begriff der Geschäftstätigkeit weit aus. Eine kommerzielle Nutzung soll nicht nur vorliegen, wenn für die Software ein Preis verlangt wird, sondern insbesondere auch in folgenden Fällen:
- Anbieten von technischen Unterstützungsleistungen gegen Entgelt
- Bereitstellen einer Softwareplattform, über die andere Dienste monetisiert werden
- Verarbeiten von personenbezogenen Daten zu anderen Zwecken als der alleinigen Verbesserung der Sicherheit, Kompatibilität oder Interoperabilität der Software
Der geplante CRA soll also nicht nur für Konstellationen gelten, in denen OSS Bestandteil eines kommerziell vertriebenen digitalen Produkts wird, sondern auch für Fälle, in denen OSS in irgendeiner Weise in ein Geschäftsmodell integriert wird. Für Unternehmen, die OSS kommerziell entwickeln oder bereitstellen, folgt daraus, dass sie die Open-Source-Projekte hinter der eingesetzten Software so unterstützen müssen, dass die Anforderungen des CRA erfüllt werden. Unternehmen müssen Open-Source-Projekten in ihrer Software Supply Chain daher zukünftig noch stärker unter die Arme greifen.
Fazit
Die aktuellen Diskussionen über die Auswirkungen des CRA auf Open-Source-Projekte sind aufgrund der unzureichenden Verankerung in der Verordnung verständlich. Bei kommerzieller Nutzung von OSS kann der CRA als Chance für die Entwicklung und Förderung von Cybersicherheit in Open-Source-Projekten gesehen werden. Es bleibt mit Spannung abzuwarten, ob die EU-Kommission, der Ministerrat und das EU-Parlament im Rahmen der Trilogverhandlungen die Regelungen des CRA zu Open Source weiter präzisieren werden. Schon jetzt ist jedoch absehbar, dass Open Source Compliance und Cybersecurity by Design wichtiger denn je werden.
zurück