Cyber Resilience Act: Open-Source-Szene atmet auf bei neuen Haftungsregeln
In frühen Textversionen der Verordnung fiel die Definition der erfassten "kommerzieller Aktivität" sehr breit aus. Die EU-Gesetzgeber haben dies korrigiert.
(Bild: Imilian/Shutterstock.com)
Vertreter der Open-Source-Gemeinde haben erleichtert auf das Ergebnis der EU-Verhandlungen über einen Cyber Resilience Act (CRA) reagiert. In frühen Entwürfen für die geplante Verordnung zur Cyber-Widerstandsfähigkeit war die Definition von "kommerzieller Aktivität", die unter die Vorgaben für eine größere IT-Sicherheit vernetzter Produkte fallen soll, noch sehr breit ausgerichtet. Dies führte zu Sorgen in der Community, dass auch ehrenamtlich engagierte Einzelpersonen oder Projekte, Stiftungen, zivilgesellschaftliche Organisationen, Hochschulen oder öffentliche Verwaltungen in den CRA-Anwendungs- und Haftungsbereich fallen könnten. Unterhändler des EU-Rats und des Parlaments haben hier aber in ihrem Kompromiss nachgebessert.
Die Co-Gesetzgebungsgremien haben etwa klargestellt, dass das reine Verfügbarmachen von Open-Source-Software nicht erfasst wird, solange die Hersteller damit keinen Gewinn erzielen wollen. Es kommt also nur darauf an, wie das Produkt auf den Markt gebracht wird. Die Entwicklungsphase, die unzählige Akteure und Organisationen umfassen kann, spielt keine Rolle. Die Entwicklung einer freien Software wird ferner nicht automatisch als kommerziell eingeordnet, bloß weil sich daran professionelle Hersteller finanziell oder inhaltlich beteiligen. Individuen, die zum Code beitragen, bleiben außen vor. Zudem haben die Verhandlungsführer Programme ausgenommen, die von einer öffentlichen Verwaltung ausschließlich für die eigene Verwendung entwickelt werden.
Welche Funktion der "Steward" hat
Neu eingeführt haben die Unterhändler das Konzept eines "Steward" bei Open Source. Sie meinen damit Akteure wie Stiftungen, die keine Software-Hersteller im klassischen Sinne sind, aber trotzdem regelmäßig Support zur Verfügung stellen und so eine wichtige Rolle für die Qualitätssicherung spielen. Sie unterliegen laut der Übereinkunft einer milderen Regulierung. So müssen sie etwa Softwareprodukte nicht mit einer CE-Kennzeichnung versehen. Gleichzeitig sollen sie aber für die Einrichtung einer Strategie zur Cybersicherheit in ihrer Organisation verantwortlich sein, Sicherheitslücken melden und mit den Marktüberwachungseinrichtungen kooperieren.
Peter Ganten, Vorstandsvorsitzender der Open Source Business Alliance, begrüßte das Ergebnis. Die Gesetzgeber hätten die vorgebrachten Bedenken rund um eine mögliche Überregulierung und Rechtsunsicherheit im nicht-kommerziellen Open-Source-Bereich berücksichtigt. Ehrenamtliches Engagement und das nicht-gewinnorientierte Weiterentwickeln von freier Software sowie das Teilen von Wissen dürften nicht unter den CRA fallen. Es bestehe aber die Gefahr, "dass es am Ende Spezialfälle oder Grauzonen gibt, die im Text nicht final gelöst wurden".
Die Denkfabrik OpenForum Europe lobt ebenfalls "wesentliche Verbesserungen im Hinblick auf den Anwendungsbereich". Der CRA stelle aber immer noch eine Herausforderung für Unternehmen dar, "die an der Monetarisierung von Software beteiligt sind". Für die Vitalität des Ökosystems rund um freie Software und die Robustheit der europäischen IT-Infrastruktur, die stark auf dieses angewiesen sei, müssten einschlägige Unternehmen nachhaltig weiterarbeiten können. In den kommenden Monaten seien gemeinsame Anstrengungen erforderlich, um die Pflichten weiter zu klären und effiziente, kooperative Umsetzungsprozesse zu etablieren. Der TÜV-Verband monierte, dass die EU-Gremien die Liste der kritischen Produkte, für die eine unabhängige Konformitätsbewertung erforderlich ist, massiv auf nur noch vier Kategorien gekürzt haben. So könnten Betriebssysteme für Server, Desktops und Mobilgeräte, Router oder Chipkartenleser künftig mit einer reinen Herstellerselbsterklärung auf den Markt kommen. Das sei angesichts der hohen Gefährdungslage nicht nachvollziehbar.
(mki)
