Open-Source-Hersteller sollen laut OSBA beim deutschen Durchführungsgesetz zur Regelung der Sicherheitsstandards gesondert berücksichtigt werden.
Die Ende 2024 beschlossene Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die Regeln zur Cybersicherheit in Produkten mit digitalen Elementen innerhalb der EU vereinheitlichen soll. Hersteller, Vertreiber und Importeure von Produkten mit einer digitalen Komponente, darunter Software und Hardware mit Netzwerkfähigkeit wie auch Cloud-Lösungen verpflichten sich an dem 11. Dezember 2027 zu höheren und einheitlichen Sicherheitsstandards. Dazu gehören unter anderem die Beseitigung bekannter Sicherheitslücken, bevor die Produkte auf den Markt kommen, Authentifizierungssysteme, die unberechtigten Zugriff vermeiden sowie der Schutz personenbezogener Daten. Dadurch soll auch der freie Verkehr von Digitalprodukten im europäischen Markt gewährleistet werden.
Die europaweite Umsetzung der CRA bedingt eine Regelung im nationalen Recht der jeweiligen Mitgliedsstaaten. Das Bundesministerium des Innern arbeitet nun am deutschen Durchführungsgesetz, zu dem es im März einen Referentenentwurf veröffentlichte. Nun hat der bundesweite Verband Open Source Business Alliance (OSBA) eine Stellungnahme zum Entwurf eingereicht, indem sie die besondere Rolle von Open-Source-Software betont.
96 Prozent aller Softwareprodukte enthalten Open-Source-Komponenten, schreibt die OSBA, und ist somit die Grundlage der meisten Softwareprodukte zentral für IT-Sicherheit. Entsprechend muss Open Source auch in der CRA gesondert berücksichtigt werden.
“Die EU erkennt im CRA Open Source daher als sicherheitsrelevanten Bestandteil digitaler Infrastruktur an und berücksichtigt die Besonderheiten offener Entwicklungsmodelle. Diese Differenzierung muss nun auch konsequent in der nationalen Umsetzung fortgeführt werden”, sagt dazu Peter Ganten, Vorstandsvorsitzender der OSBA. “Denn das Open-Source-Ökosystem unterscheidet sich strukturell von der Entwicklung proprietärer Software: Es ist geprägt von einem Zusammenspiel aus kommerziellen Anbietern, öffentlichen Institutionen und ehrenamtlichen Entwicklerinnen und Entwicklern. Das CRA-Durchführungsgesetz muss diese Besonderheiten berücksichtigen, um wirksam und zugleich praktikabel zu sein.”
Lesen Sie hier die volle Stellungnahme.



