Die Open Source Business Alliance und der Cyber Resilience Act (CRA): Chancen und Herausforderungen für das Open-Source-Ökosystem
Der Cyber Resilience Act (CRA)
In einer zunehmend digitalisierten Welt, in der Produkte und Dienstleistungen mit digitalen Komponenten allgegenwärtig sind, steht die Sicherheit dieser Technologien im Fokus. Die Europäische Union hat mit dem Cyber Resilience Act (CRA) eine Regulierungsinitiative vorgestellt, die die Sicherheitsstandards von Produkten und Dienstleistungen mit digitalen Komponenten erhöhen soll. Hersteller, Vertreiber und Importeure werden dazu verpflichtet, höhere Sicherheitsstandards bereits bei der Entwicklung und über den gesamten Produktlebenszyklus hinweg zu gewährleisten. Die Open Source Business Alliance (OSBA), in der die NMMN Mitglied ist, hat als Verband der Open Source Unternehmen in Deutschland zu diesem Vorhaben eine Stellungnahme veröffentlicht, die auf die Chancen und Herausforderungen für das Open-Source-Ökosystem hinweist.
Die OSBA begrüßt die Ziele des CRA grundsätzlich. Die Mitgliedsunternehmen der OSBA haben ein starkes Interesse daran, sichere Software anzubieten und zu vertreiben. Sie sehen jedoch kommerzielle Software-Anbieter in der Pflicht, die erforderlichen Sicherheitsstandards zu gewährleisten. Die OSBA beteiligt sich aktiv an Initiativen und Projekten, die die IT-Sicherheit von Open Source Software verbessern sollen. Dieses Engagement wird durch wissenschaftliche Studien und Positionspapiere untermauert, die die OSBA veröffentlicht hat.
Trotz dieser positiven Aspekte warnt die OSBA jedoch vor den potenziellen negativen Auswirkungen des CRA auf das Open-Source-Ökosystem in Europa. Die OSBA betont, dass Open Source Software eine entscheidende Rolle in der IT-Industrie und der Gesamtwirtschaft spielt. Zahlreiche Studien haben gezeigt, dass ein Großteil der Softwareprodukte heutzutage Open-Source-Komponenten enthält. Diese Komponenten tragen maßgeblich zur Wettbewerbsfähigkeit europäischer Unternehmen, zum Wirtschaftswachstum und zur technologischen Unabhängigkeit Europas bei.
Ziel: Digitale Souveränität Europas
Ein zentrales Anliegen der OSBA ist die digitale Souveränität Europas. Open Source Software ermöglicht unabhängige Überprüfung, Gestaltung und Austauschbarkeit von Systemen, was von zentraler Bedeutung für die Stärkung der digitalen Souveränität in der öffentlichen Verwaltung sowie in Wirtschaft und Industrie ist. Die Bundesregierung hat verschiedene Vorhaben zur Stärkung der digitalen Souveränität gestartet, die auf Open Source Software setzen. Diese Vorhaben würden durch eine übermäßige Regulierung des Open-Source-Ökosystems gefährdet.
Die OSBA sieht eine besondere Herausforderung in der Abgrenzung von kommerzieller und nicht-kommerzieller Open Source Software im Rahmen des CRA. Die Definition von “kommerziell” ist unklar und führt zu Rechtsunsicherheit. Open Source Software zeichnet sich durch offene und kooperative Entwicklungs- und Vertriebsmodelle aus, die sich von denen proprietärer Software unterscheiden. Die OSBA betont, dass Hersteller von Open Source Software nicht für Software von Dritten haften sollten, die Teile ihres ursprünglichen Softwarecodes verwenden.
Überregulierung
Ein weiteres Problem ist die potenzielle Überregulierung. Der CRA berücksichtigt die vielfältigen Entwicklungs- und Vertriebsmodelle von Open Source Software nur unzureichend. Dies könnte zu einer unnötigen Belastung für zahlreiche Open-Source-Projekte führen, insbesondere für kleinere und nicht-kommerzielle Initiativen, die nicht über ausreichende Ressourcen verfügen, um die Anforderungen des Gesetzes zu erfüllen.
Die OSBA fordert daher die Bundesregierung auf, sich in den Trilogverhandlungen für eine ausgewogene Berücksichtigung des Open-Source-Ökosystems im CRA einzusetzen. Es wird betont, dass der CRA das Ziel erreichen sollte, mehr sichere Open Source Software zu fördern, anstatt das Open-Source-Ökosystem zu schädigen. Die OSBA schlägt konkrete Änderungen vor, um die Ausnahme für nicht-kommerzielle Open-Source-Software-Hersteller zu verbessern und die negativen Auswirkungen auf das Open-Source-Ökosystem zu verhindern.
Ausgang ungewiss
In einer Zeit, in der die Bedeutung von Software in nahezu allen Lebensbereichen kontinuierlich zunimmt, ist es von entscheidender Bedeutung, das Open-Source-Ökosystem zu schützen und zu fördern. Die OSBA setzt sich dafür ein, dass der Cyber Resilience Act die Sicherheit erhöht, ohne dabei das Open-Source-Ökosystem zu gefährden. Es bleibt abzuwarten, wie die Trilogverhandlungen und die finale Form des CRA die Zukunft von Open Source Software in Europa beeinflussen werden.
Weiterführende Links
- Die vollständige Pressemeldung der OSBA dazu: https://osb-alliance.de/pressemitteilungen/stellungnahme-zum-cyber-resilience-act
- Die Stellungnahme der OSBA: https://osb-alliance.de/wp-content/uploads/2023/01/OSB-Alliance-Stellungnahme-zum-CRA.pdf
- Der CRA der Europäischen Kommision in deutscher Übersetzung: https://eur-lex.europa.eu/legal-content/EN-DE/TXT/?from=EN&uri=CELEX%3A52022PC0454