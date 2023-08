Der europäische Cyber Resilience Act (CRA) soll Hersteller und Anbieter von Produkten mit digitalen Komponenten zu höheren Sicherheitsstandards für ihre Produkte verpflichten. Die Open Source Business Alliance (OSBA) befürwortet zwar die Ziele des CRA, warnt aber davor, dass der Entwurf vor allem auf proprietäre Software zielt. Die besonderen Entwicklungs- und Vertriebsmodelle von Open Source würden derzeit nur unzureichend beachtet. So hätten etwa Hersteller von Open-Source-Software keinen Einfluss darauf, in welcher Form Dritte ihre Software herunterladen und verbreiten.

Zwar sieht der CRA Ausnahmen für Open Source vor. Diese Ausnahmen seien allerdings auf nicht-kommerzielle Aktivitäten eingeschränkt, kritisiert die OSBA. Hier ergebe sich jedoch eine Grauzone: Open Source entstünde häufig in Kooperation von Unternehmen mit kommerziellem Interesse und Freiwilligen ohne kommerzielles Interesse. Eine klare Unterscheidung zwischen kommerziell und nicht-kommerziell sei daher nicht einfach. Nach dem aktuellen Entwurf würden auch viele nicht-kommerzielle Open-Source-Projekte unter den CRA fallen, die gar nicht die Ressourcen hätten, dessen Anforderungen zu erfüllen.

Zerstört der CRA das Open-Source-Ökosystem?

Die OSBA befürchtet, dass deswegen Open-Source-Maintainer und ganze Projekte aufgeben oder sich aus Europa zurückziehen könnten. So gefährde der aktuelle Entwurf des Cyber Resilience Act letztlich das für die Softwareentwicklung und die digitale Souveränität so wichtige Open-Source-Ökosystem in Europa. Die OSB Alliance – Bundesverband für digitale Souveränität e.V. hat daher eine Stellungnahme veröffentlicht, in der der Verband Vorschläge für Formulierungen macht, die die derzeitigen Unsicherheiten beseitigen sollen.

Die OSBA fordert die Bundesregierung auf, in den voraussichtlich ab September startenden Trilog-Verhandlungen zwischen EU-Kommission, Rat und Parlament dafür einzusetzen, dass im CRA das Open-Source-Ökosystem und und die digitale Souveränität Deutschlands ausreichend geschützt werden. Dazu sollte der CRA nicht den Ersteller einer Open-Source-Software in die Pflicht nehmen, sondern den "In-Verkehr-Bringer" oder Diensteanbieter, wenn dafür Geld verlangt.

