Worum es geht
Der Vortrag erklärt, was der EU Cyber Resilience Act (CRA) ist und warum Open Source dabei im Zentrum steht. Der CRA – Verordnung (EU) 2024/2847 – ist der erste EU-weite Cybersicherheits-Rahmen für alle „Produkte mit digitalen Elementen" (Apps, Bibliotheken, Plug-ins, IoT). Er gilt als direkt anwendbares Recht in allen Mitgliedstaaten, ähnlich der CE-Kennzeichnung, und deckt den gesamten Produktlebenszyklus ab: Secure by Design, Schwachstellen-Behandlung und Updates.
Warum Open Source betroffen ist
Bis zu 90 % moderner Software-Codebasen bestehen aus Open-Source-Komponenten. Der CRA reguliert genau diese Lieferkette – und unterscheidet dabei streng nach der Rolle, in der man Software nutzt oder pflegt.
Der Zeitplan (Countdown)
Bei einer 36-monatigen Übergangsfrist gelten drei Eckdaten: In Kraft getreten am 10.12.2024, ab 11.09.2026 greifen die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle, und ab 11.12.2027 darf kein betroffenes Produkt mehr ohne CRA-Konformität in der EU in Verkehr gebracht werden. Die Kernbotschaft: jetzt vorbereiten, nicht erst 2027.
Drei Rollen, drei Pflichtenwelten
Der CRA unterscheidet zwischen Herstellern (volle Pflichten: Konformitätsbewertung, CE, SBOM, Update-Pflicht), Open-Source-Stewards (eigene, leichtere Rechtskategorie mit Fokus auf Cybersecurity-Policy und Meldung) und nicht-kommerzieller OSS (fällt nicht unter den CRA). Hersteller müssen u.a. Security by Design umsetzen, die Qualität aller OSS-Bibliotheken bewerten, CVEs überwachen, Komponenten patchen, alles per SBOM dokumentieren und aktiv ausgenutzte Schwachstellen an Behörden melden.
Der „OSS Steward"
Eine juristische Person (z.B. eine Foundation), die kommerziell relevante OSS nachhaltig unterstützt, sie aber nicht selbst in Verkehr bringt. Pflichten: Cybersecurity-Policy dokumentieren und leben, mit Marktaufsichtsbehörden kooperieren und aktiv ausgenutzte Schwachstellen melden.
Die ORC Working Group
Die Open Regulatory Compliance Working Group erarbeitet die praktischen Regeln zur CRA-Umsetzung für Open Source – in Zusammenarbeit mit CEN, CENELEC, ETSI und der CRA Expert Group der EU-Kommission. Ziel: CRA-Attestation als standardisierte, prüfbare Konformitätsnachweise. Gründungsmitglieder sind u.a. Siemens, Nokia, Open Elements, OpenForum Europe und die Open Source Initiative.
Der öffentliche Sektor als Vorbild
ZenDiS, das bundeseigene Kompetenzzentrum, macht die deutsche Verwaltung über Open Source (openCode, openDesk) souveräner. container.gov.de (SGCI) liefert geprüfte, gehärtete und signierte Container-Images, die CRA- und Verwaltungscloud-Anforderungen automatisiert und prüfbar erfüllen.
Was tun am Montagmorgen?
Drei konkrete Schritte: die eigene SBOM kennen (welche OSS-Komponenten stecken im Produkt?), die eigene CRA-Rolle klären (Hersteller, Steward oder nicht-kommerziell?) und das Ökosystem nutzen (ORC WG, Foundations, ZenDiS liefern Regeln, Tools und Bausteine). Für Unternehmen heißt das: SBOM-Management aufbauen, Risikoanalyse aller Abhängigkeiten durchführen und OSS-Projekte aktiv unterstützen.
Fazit: Der Stichtag 11.12.2027 rückt näher – Vorbereitung sollte jetzt beginnen.
hendrikebbers
tammielis
smashingmag
szymonslowik
holman
rocio
rasmusluckow
mraible
irinanazarova
mfonobong
lfama
lynnandtonic
