Contents
- CRA Open Source
- Was bedeutet der Cyber Resilience Act für Open-Source-Software?
- Grundprinzip: Open Source ist nicht automatisch reguliert
- Wann fällt Open-Source-Software unter den CRA?
- Entwickler, Maintainer, Hersteller – klare Abgrenzung
- Neue Kategorie: Open-Source-Software-Stewards
- Pflichten von Open-Source-Software-Stewards (Art. 24 CRA)
- Wann gelten die vollen Herstellerpflichten?
- Einordnung aus Compliance- und Audit-Sicht
- CRA und Open Source – klar, differenziert, verhältnismäßig
CRA Open Source
Was bedeutet der Cyber Resilience Act für Open-Source-Software?
Der Cyber Resilience Act (CRA) – Verordnung (EU) 2024/2847 – schafft erstmals einen einheitlichen Rechtsrahmen für die Cybersicherheit von Produkten mit digitalen Elementen in der EU. Ein zentrales Anliegen des Gesetzgebers war dabei, freie und quelloffene Software (Open Source Software, OSS) angemessen zu berücksichtigen, ohne Innovation und freiwillige Entwicklung zu behindern.
Der CRA verfolgt ausdrücklich keinen lizenzbasierten Ansatz, sondern knüpft an Marktbereitstellung und kommerzielle Tätigkeit an.
Grundprinzip: Open Source ist nicht automatisch reguliert
Open-Source-Software unterliegt nicht per se dem Cyber Resilience Act.
Entscheidend ist allein die Frage:
Wird die Software im Rahmen einer kommerziellen Tätigkeit auf dem Markt bereitgestellt?
Nur wenn diese Frage mit Ja beantwortet wird, greift der CRA.
Wann fällt Open-Source-Software unter den CRA?
Open Source im Anwendungsbereich des CRA
Open-Source-Software fällt unter den CRA, wenn sie:
- ein Produkt mit digitalen Elementen ist und
- in Verkehr gebracht oder bereitgestellt wird und
- dies im Rahmen einer kommerziellen Tätigkeit erfolgt
Typische Beispiele:
- Open-Source-Software, die verkauft wird
- OSS als Bestandteil kommerzieller Hardware oder Software
- OSS in kostenpflichtigen Abos, Services oder Enterprise-Produkten
In diesen Fällen gelten die vollen Herstellerpflichten nach dem CRA – unabhängig von der Open-Source-Lizenz.
Open Source außerhalb des CRA
Explizit nicht erfasst sind:
- Nicht-monetarisierte Open-Source-Software
- Rein freiwillige oder gemeinschaftliche Entwicklungsprojekte
- Veröffentlichung von Quellcode ohne kommerzielle Nutzung
- Einzelne Entwickler oder Contributor ohne Verantwortung für Marktbereitstellung
Wichtig:
Das bloße Veröffentlichen von Open-Source-Software ist keine kommerzielle Tätigkeit.
Entwickler, Maintainer, Hersteller – klare Abgrenzung
Der CRA zieht eine klare rechtliche Grenze:
| Rolle | CRA-Pflichten |
|---|---|
| Einzelne OSS-Entwickler | keine |
| Ehrenamtliche Contributor | keine |
| Maintainer ohne Marktbereitstellung | keine |
| Unternehmen mit kommerziellem Vertrieb | volle Herstellerpflichten |
Code-Beitrag allein begründet keine regulatorische Verantwortung.
Neue Kategorie: Open-Source-Software-Stewards
Warum gibt es Open-Source-Software-Stewards?
Viele wirtschaftlich kritische Produkte basieren auf Open-Source-Software, die:
- nicht selbst verkauft wird
- aber für kommerzielle Nutzung bestimmt ist
- von Stiftungen oder Organisationen nachhaltig gepflegt wird
Der CRA führt daher die neue Rechtsfigur der Open-Source-Software-Stewards ein.
Was ist ein Open-Source-Software-Steward?
Ein Open-Source-Software-Steward ist eine juristische Person, die:
- OSS nicht selbst in Verkehr bringt, aber
- deren Entwicklung systematisch und dauerhaft unterstützt
- und die Lebensfähigkeit und Sicherheit dieser Software sicherstellt
- wobei die Software für kommerzielle Nutzung bestimmt ist
Typische Beispiele:
- Open-Source-Stiftungen
- OSS-Trägervereine
- institutionalisierte Maintainer-Organisationen
Pflichten von Open-Source-Software-Stewards (Art. 24 CRA)
Für OSS-Stewards gilt ein leichtes, maßgeschneidertes Regime, kein Herstellerstandard.
Zentrale Pflichten:
- Einführung einer Cybersicherheitspolitik
- Förderung sicherer Entwicklungspraktiken
- Etablierung eines Vulnerability-Managements
- Meldung aktiv ausgenutzter Schwachstellen
- Meldung schwerwiegender Sicherheitsvorfälle
- Zusammenarbeit mit Marktüberwachungsbehörden
Keine Geldbußen
Nach Art. 64 Abs. 10 CRA gilt ausdrücklich:
Open-Source-Software-Stewards unterliegen keinen Geldbußen bei Verstößen.
Der Fokus liegt auf Kooperation, nicht auf Sanktionierung.
Wann gelten die vollen Herstellerpflichten?
Sobald eine Organisation:
- Open-Source-Software kommerziell vertreibt oder
- als Teil eines Produkts auf den Markt bringt,
gilt sie als Hersteller im Sinne des CRA – mit allen Pflichten, u. a.:
- Risikobewertung vor Inverkehrbringen
- Secure-by-Design und Secure-by-Default
- Schwachstellen- und Incident-Management
- Sicherheits-Updates über den Lebenszyklus
Open Source ist kein Haftungs- oder Pflichtenausschluss.
Einordnung aus Compliance- und Audit-Sicht
| Fragestellung | Antwort |
|---|---|
| Ist Open Source generell reguliert? | Nein |
| Ist Kommerzialisierung entscheidend? | Ja |
| Sind freiwillige Entwickler betroffen? | Nein |
| Gibt es Sonderregeln für OSS-Organisationen? | Ja |
| Drohen OSS-Stewards Bußgelder? | Nein |
| Gilt der CRA bei kommerziellem OSS vollumfänglich? | Ja |
CRA und Open Source – klar, differenziert, verhältnismäßig
Der Cyber Resilience Act behandelt Open-Source-Software nicht als Ausnahme, sondern als eigenständige Realität:
- Keine kommerzielle Tätigkeit → keine CRA-Pflichten
- Kommerzielle Nutzung → volle Herstellerverantwortung
- Nachhaltige OSS-Pflege → Steward-Modell
Damit schafft der CRA Rechtssicherheit für Unternehmen, Entwickler und Open-Source-Ökosysteme – ohne Innovation zu bremsen.
Quelle: https://digital-strategy.ec.europa.eu/de/policies/cra-open-source