Am 30. November 2023 haben sich die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union in der letzten Runde der Trilogverhandlungen auf den finalen Text zum Cyber Resilience Act (CRA) geeinigt. Die Open Source Business Alliance hatte im Vorfeld im Rahmen einer Stellungnahme Bedenken geäußert, dass die Regulierungsinitiative durch textliche Unschärfen Überregulierung und Rechtsunsicherheit und dadurch großen Schaden im deutschen und europäischen Open-Source-Ökosystem anrichten könnte. Der finale Text berücksichtigt jedoch die Besonderheiten der Open-Source-Branche und hat diese Bedenken durch Präzisierungen ausgeräumt.
Klarere Abgrenzung von kommerziellen und nicht-kommerziellen Aktivitäten
In den frühen Textversionen des CRA wurde die Definition von „kommerzieller Aktivität“, die unter die Regulierung fallen soll, noch sehr breit ausgelegt. Dies hatte zu großer Sorge in der Open-Source-Community geführt, dass auch ehrenamtlich enagierte Einzelpersonen oder Projekte, Sitftungen, NGOs, Hochschulen oder öffentliche Verwaltungen unter den Anwendungsbereich des CRA fallen könnten. Im CRA wird jetzt klar gestellt, dass das reine Verfügbarmachen von Open Source Software nicht unter die Regulierung fällt, solange die Hersteller damit keinen Gewinn erzielen wollen. Die Open Source Business Alliance begrüßt daher das Ergebnis der Trilogverhandlungen.
In Recital 10 des CRA finden sich jetzt zahlreiche präzisierende Formulierungen, die klar abgrenzen, welche Aktivitäten im Rahmen der Verbreitung von Open Source Software unter die Sicherheitsanforderungen und Dokumentationspflichten im Sinne des Cyber Resilience Act fallen sollen und welche nicht. So sind jetzt u.a. Softwareprodukte ausgenommen, die von einer öffentlichen Verwaltung ausschließlich für die eigene Verwendung entwickelt werden.
Für die Entscheidung, ob ein Softwareprodukt im Rahmen einer „commercial activity“ unter die Regulierung fällt, wird nun ausschließlich betrachtet, wie das Produkt auf den Markt gebracht wird – die Entwicklungsphase für dieses Softwareprodukt wird hierbei ausgeklammert. Denn ein kommerzielles Open-Source-Softwareprodukt besteht oft aus zahlreichen Komponenten, die auf unterschiedlichste Weise (auch ehrenamtlich) entwickelt wurden. Der Entwicklungsprozess besteht aus einer langen Kette und kann mehrere Jahre und unzählige Akteure und Organisationen umfassen. Möglicherweise war der Anbieter des Endprodukts nur zu einem Teil oder gar nicht in den Entwicklungsprozess involviert. Der Komplexität der unterschiedlichen Open-Source-Entwicklungsmodelle wird im CRA an dieser Stelle also im finalen Text Rechnung getragen.
Desweiteren wird klargestellt, dass die Entwicklung einer Open Source Software nicht automatisch als kommerziell eingeordnet wird, bloß weil sich im Rahmen der Entwicklung professionelle Hersteller finanziell oder inhaltlich an der Entwicklung der Software beteiligen. Einzelpersonen, die Quellcode zu Open-Source-Produkten beitragen, für die sie nicht die Gesamtverantwortung tragen, werden ebenfalls von der Regulierung ausgenommen.
Der Fokus der Regulierung liegt am Ende also immer auf demjenigen, der ein Produkt im Rahmen einer kommerziellen Aktivität und mit Gewinnerzielungsabsicht auf den Markt bringt. Die Open Source Business Alliance hatte genau das gefordert, dass nämlich nicht die (ehrenamtlichen) Ersteller:innen einer Open Source Software in die Pflicht genommen werden, sondern die „In-Verkehr-Bringer“, die auf dem fertigen Produkt ein Geschäftsmodell aufbauen.
Open Source Software Stewards
Im Laufe der Trilogverhandlungen wurde ein neues Konzept im CRA eingeführt: Der Open Source Software Steward. Damit sind Akteure gemeint, die keine Softwarehersteller im klassischen Sinne sind, aber trotzdem regelmäßig Support für die Weiterentwicklung von Open Source Software zur Verfügung stellen und hierbei eine verantwortungsvolle Rolle für die Qualitätssicherung der entsprechenden Software spielen. Der CRA meint hiermit insbesondere Stiftungen und Nonprofit-Organisationen, die zwar über ein oder zwei Ecken am kommerziellen Vertrieb von Open Source Software beteiligt sind, aber selber keine Gewinne damit erzielen.
Der CRA stellt klar, dass diese Open Source Software Stewards einer passgenauen und milderen Regulierung unterliegen sollen als klassische kommerziele Open-Source-Hersteller. So sollen die Stewards beispielsweise ihre Softwareprodukte nicht mit einer CE-Kennzeichnung versehen müssen. Gleichzeitig sollen die Stewards dennoch für die Einrichtung einer Cybersicherheitsstrategie in ihrer Organisation verantwortlich sein, Sicherheitslücken melden und mit den Marktüberwachungseinrichtungen kooperieren. Mit diesem Konstrukt sollte also ein Mittelweg gefunden werden für die Akteure und Organisationen, die sich vorher nicht eindeutig den kommerziellen oder den nicht-kommerziellen Akteuren zuordnen ließen. Dieser Ansatz scheint sehr gelungen und verhindert, dass beispielsweise Stiftungen oder Nonprofit-Organisationen strenge Anforderungen auferlegt bekommen, die sie aufgrund von Ressourcenmangel gar nicht erfüllen können. Gleichzeitig werden sie nicht ganz aus der Verantwortung entlassen.
Im nächsten Schritt müssen die Details der konkreten Umsetzung des CRA ausgearbeitet werden. Mit der Berücksichtigung der Besonderheiten des Open-Source-Ökosystems haben die am Trilog Beteiligten Akteure allerdings bereits einen wichtigen Schritt geschafft, um digitale Souveränität, Innovation und Wettbewerb in Europa zu schützen und gleichzeitig wichtige Standards für mehr Cybersicherheit zu schaffen.
Peter Ganten, Vorstandsvorsitzender der Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.:
„Die Open Source Business Alliance begrüßt das Trilogergebnis. Die in unserem Verband organisierten kommerziellen Open-Source-Unternehmen sehen sich in der Verantwortung, sichere Software anzubieten und der Cyber Resilience Act wird mit den jetzt beschlossenen Sicherheitsanforderungen dazu beitragen, die allgemeine Qualität und Sicherheit von digitalen Produkten zu verbessern. Als Anbieter von Open Source Software haben unsere Mitglieder zudem den Vorteil, die Software-Supply-Chain detailliert prüfen und für die Kunden überprüfbar machen zu können.
Wir freuen uns sehr, dass die Beteiligten am Trilog unsere Bedenken und unser Feedback hinsichtlich einer möglichen Überregulierung oder Rechtsunsicherheit im nicht-kommerziellen Open-Source-Bereich gehört und berücksichtigt haben. Aus dem finalen Text ist das große Bemühen herauszulesen, die Besonderheiten des Open-Source-Ökosystems zu beachten, in dem kommerzielle und nicht-kommerzielle Akteure oft in komplexen Geflechten miteinander kooperieren. Das ehrenamtliche Engagement und das nicht-gewinnorientierte Weiterentwickeln von Open Source Software sowie das freie Teilen von Wissen dürfen nicht unter die Regulierung fallen, das hat man in Brüssel am Ende der monatelangen Verhandlungen zum Glück verstanden.
Natürlich besteht immer die Gefahr, dass es am Ende Spezialfälle oder Grauzonen gibt, die im Text nicht final gelöst wurden oder die erst im Nachgang ins Auge fallen. Insgesamt ist das Trilogergebnis aber ein wichtiger und begrüßenswerter Schritt hin zu mehr Cybersicherheit auf dem europäischen Binnenmarkt.“
