Der Cyber Resilience Act (CRA) der Europäischen Union ist eine Initiative zur Verbesserung der Cybersicherheit von Produkten mit digitalen Elementen. In diesem Beitrag betrachten wir speziell die Auswirkungen auf Open-Source-Software (FOSS) und die Rolle der „Open Source Software Stewards“.
Besondere Behandlung von FOSS im CRA
Der CRA erkennt die besondere Rolle und Bedeutung von Open-Source-Software an. Im Allgemeinen wird FOSS in die Kategorie der Selbstbewertung eingeordnet, was bedeutet, dass für die meisten FOSS-Projekte weniger strenge Anforderungen gelten als für vergleichbare proprietäre Produkte.
Wer ist betroffen?
Um zu verstehen, ob und wie ein Open-Source-Projekt vom CRA betroffen ist, betrachten wir das folgende Diagramm:
Erläuterung der wichtigsten Punkte:
- Bereitstellen vs. Beitragen: Der CRA unterscheidet zwischen dem Anbieten bzw. Bereitstellen von FOSS und dem bloßen Beitragen dazu. Nur Anbieter fallen in den Anwendungsbereich.
- Direkte Monetarisierung: FOSS-Anbieter, die direkt damit Geld verdienen, werden als „Hersteller“ im Sinne des CRA betrachtet.
- Unterstützung für kommerzielle Aktivitäten: Juristische Personen, die auf dauerhafter Basis die Entwicklung von FOSS-Produkten für kommerzielle Aktivitäten unterstützen, ohne sie direkt zu monetarisieren, fallen in die Kategorie Verwalter quelloffener Software.
- Entwicklung im Rahmen kommerzieller Aktivitäten: Wenn die Entwicklung im Rahmen einer kommerziellen Tätigkeit (im weiteren Sinne) erfolgt, gilt man ebenfalls als „Hersteller“.
Die Rolle des „Open Source Software Stewards“
Der CRA führt den Begriff des „Open Source Software Stewards“ ein, auf Deutsch der „Verwalter quelloffener Software“. Dies ist ein leichter regulatorischer Ansatz für juristische Personen, die FOSS-Projekte unterstützen, ohne sie direkt zu monetarisieren. Beispiele hierfür sind:
- Stiftungen, die bestimmte FOSS-Projekte unterstützen
- Unternehmen, die FOSS für den eigenen Gebrauch entwickeln, aber öffentlich zugänglich machen
- Gemeinnützige Organisationen, die FOSS entwickeln
Verpflichtungen für Verwalter quelloffener Software
Die Verpflichtungen für Verwalter quelloffener Software sind weniger umfangreich als für „Hersteller“, umfassen aber dennoch wichtige Punkte:
- Cybersicherheitsrichtlinie: Verwalter müssen eine Cybersicherheitsrichtlinie einführen, die die spezifische Natur ihrer Rolle als Verwalter quelloffener Software berücksichtigt. Diese Richtlinie sollte die besonderen Herausforderungen und Risiken adressieren, die mit der Entwicklung und Bereitstellung von Open-Source-Software verbunden sind.
- Zusammenarbeit mit Behörden: Es wird erwartet, dass Verwalter mit Marktüberwachungsbehörden kooperieren. Dies kann Anfragen zu Sicherheitsaspekten der Software, Bereitstellung von Informationen oder Unterstützung bei Untersuchungen umfassen.
- Meldung von Vorfällen und Schwachstellen: Verwalter sind verpflichtet, Sicherheitsvorfälle und entdeckte Schwachstellen zu melden, soweit sie an der Entwicklung beteiligt sind. Dies fördert die Transparenz und ermöglicht eine schnellere Reaktion auf potenzielle Sicherheitsrisiken.
Risikokategorisierung von Produkten
Der CRA sieht eine Risikokategorisierung für Produkte mit digitalen Elementen vor:
- Standardkategorie (Selbstbewertung): Hierunter fallen die meisten FOSS-Projekte, sowie Produkte wie Speicherchips, mobile Apps, Smart Speaker und Computerspiele.
- Wichtige Produkte: Diese erfordern die Anwendung von Standards oder Bewertungen durch Dritte. Beispiele sind Betriebssysteme, Antivirensoftware, Router und Firewalls.
- Kritische Produkte: In Zukunft könnte für diese Kategorie eine Zertifizierung erforderlich sein. Beispiele sind Smartcards, sichere Elemente und Smart-Meter-Gateways.
Es ist wichtig zu beachten, dass FOSS grundsätzlich in die Kategorie der Selbstbewertung fällt, es sei denn, sie wird als „kritisches Produkt“ eingestuft.
Weitere Informationen zur Konformitätsbewertung gibt es in unserem ausführlichen Aritkel zum Cyber Resilience Act.
Einordnung und Ausblick
Der CRA versucht, einen ausgewogenen Ansatz für Open-Source-Software zu finden. Während kommerzielle FOSS-Anbieter ähnlichen Verpflichtungen wie proprietäre Softwarehersteller unterliegen, gibt es für nicht-kommerzielle FOSS-Projekte und -Unterstützer einen leichteren regulatorischen Ansatz.
Die Einführung der Kategorie des Open Source Software Stewards bzw. des Verwalters quelloffener Software zeigt, dass der Gesetzgeber die besondere Rolle und Bedeutung von FOSS anerkennt und versucht, unnötige Belastungen zu vermeiden. Dennoch werden auch von FOSS-Projekten gewisse Maßnahmen zur Gewährleistung der Cybersicherheit erwartet.
FOSS-Entwickler und -Organisationen sollten sich mit den Anforderungen des CRA vertraut machen und prüfen, in welche Kategorie sie fallen. Insbesondere sollten sie die Entwicklung einer angemessenen Cybersicherheitsrichtlinie in Betracht ziehen und Prozesse für die Zusammenarbeit mit Behörden sowie für die Meldung von Sicherheitsvorfällen etablieren.