Der Cyber Resilience Act (CRA) ist eine europäische Regulierungsinitiative, mit der Hersteller, Vertreiber und Importeure von Produkten mit digitalen Komponenten zu höheren Sicherheitsstandards für ihre Produkte oder Dienstleistungen verpflichtet werden sollen. Die Open Source Business Alliance befürwortet ausdrücklich die Ziele des Cyber Resilience Act, die Qualität und Sicherheitsstandards von IT-Produkten zu erhöhen. Die Mitgliedsunternehmen des Verbands haben ein starkes Interesse daran, sichere Software anzubieten und zu vertreiben und sehen kommerzielle Software-Anbieter hierbei in der Verantwortung. Allerdings stellen einige derzeit noch unscharfe Formulierungen in den aktuellen Entwürfen eine erhebliche Gefahr für das europäische Open-Source-Ökosystem und somit für die Innovations- und Wertschöpfungsfähigkeit des gesamten europäischen IT-Sektors dar. Die Bundesregierung muss sich daher bei den anstehenden Trilogverhandlungen dafür einsetzen, dass das Open-Source-Ökosystem ausreichend geschützt wird.
Die schwierige Abgrenzung von „kommerzieller Open Source Software“ im CRA
Der CRA scheint in erster Linie mit Blick auf proprietäre Software geschrieben zu sein. Daher sind auch die zu erfüllenden Anforderungen in Hinblick auf die Entwicklungs- und Vertriebsmodelle proprietärer Software formuliert. Die Entwicklungs- und Vertriebsmodelle von Open Source Software unterscheiden sich jedoch durch den offenen und kooperativen Ansatz sowie durch die Freiheiten, welche die betreffenden Softwarelizenzen gewähren, zum Teil erheblich von den Entwicklungs- und Vertriebsmodellen proprietärer Software.
Der CRA strebt eine Ausnahme für Open Source Software an, sofern diese nicht für kommerzielle Aktivitäten eingesetzt wird. Das Problem liegt allerdings in der konkreten Definition von „kommerziell“. Hier ist eine klare Abgrenzung schwierig und es ergibt sich ein zu großer Graubereich mit Interpretationsspielraum und dadurch eine Rechtsunsicherheit. Open-Source-Lösungen werden teilweise im Rahmen einer rein kommerziellen Aktivität (durch bezahlte Angestellte einer Firma mit kommerziellem Interesse), im Rahmen von Wissenschaft und Lehre, durch die öffentliche Verwaltung und teilweise auch durch Freiwillige in ihrer Freizeit, ohne eigenes kommerzielles Interesse gemeinsam entwickelt und gepflegt. Diese Verflechtung von ehrenamtlichen und kommerziellen Akteuren und Organisationen macht das Open-Source-Ökosystem aus. Während kommerzielle Open-Source-Softwareanbieter aus Sicht der OSB Alliance ganz klar in den Anwendungsbereich des CRA fallen sollen, muss die Ausnahme für nicht-kommerzielle Open-Source-Hersteller noch verbessert werden.
Gefahr der Überregulierung
Der CRA berücksichtigt die besonderen Entwicklungs- und Vertriebsmodelle von Open Source derzeit nur unzureichend, was dazu führt, dass Regelungen des CRA bei Open Source Software in vielen Fällen nur schwer Anwendung finden können, bzw. eine unbeabsichtigte Überregulierung zur Folge haben. Beim derzeitigen Stand des CRA besteht die Gefahr, dass zu viele ehrenamtliche Open-Source-Initiativen, Projekte aus Forschung und Lehre oder Einzelpersonen mit in die Haftung genommen werden, die eigentlich nicht zur beabsichtigten Zielgruppe des CRA gehören. In der Stellungnahme werden daher konkrete Vorschläge gemacht, wie die Open-Source-Ausnahme besser gefasst werden kann.
Gefahr der Rechtsunsicherheit
Der Interpretationsspielraum und die rechtliche Unsicherheit durch die unklar formulierte Open-Source-Ausnahme führen dazu, dass kleinere Open-Source-Projekte, die meist keinen professionellen Rechtsbeistand zur Verfügung haben, nicht sicher sein können, ob die Open-Source-Ausnahme für sie greift oder nicht. Aus Vorsicht würden sich möglicherweise Unternehmen und Initiativen vom europäischen Markt zurückziehen, Es droht durch den CRA ein Chilling-Effekt zu entstehen und damit ein großer Schaden im gesamten Open-Source-Ökosystem. Da zahllose digitale Produkte und Lösungen auf Open-Source-Komponenten aufbauen, ist von einem negativen Dominoeffekt für die gesamte Softwarebranche auszugehen.
Drohender Schaden für Wirtschaft und digitale Souveränität
Dies würde insbesondere auch KMUs und Start-Ups ausbremsen und hätte erhebliche negative Auswirkungen für Wettbewerb und Innovationsgeschwindigkeit. Da Open Source Software auch in der Wissenschaft eine zentrale Rolle spielt, hätte die durch den CRA verursachte Rechtsunsicherheit bzw. Überregulierung auch negative Folgen auf die Forschung und Lehre sowie den Innovationstransfer von der Wissenschaft in die Wirtschaft. Auch Open-Source-Stiftungen, die zentrale (nicht-gewinnorientierte) Arbeit für viele Open-Source-Projekte leisten, wären durch den CRA bedroht. Die Bundesregierung setzt mit zahlreichen Maßnahmen zur Stärkung der digitalen Souveränität maßgeblich auf Open Source Software. Auch diese strategischen politischen Ziele sind in Gefahr, wenn es zu dem skizzierten Dominoeffekt im Open-Source-Ökosystem kommen sollte. Der CRA würde mit Blick auf Open Source Software somit sein Ziel verfehlen und das Gegenteil dessen erreichen, wofür er erdacht wurde. Statt mehr sicherer Open Source Software hätten wir weniger und vor allem weniger sichere Open Source Software.
Forderung an die Bundesregierung
Nachdem der federführende Ausschuss im Europäischen Parlament (ITRE) sowie der Rat der Europäischen Union ihre Positionen Mitte Juli 2023 final abgestimmt haben, werden voraussichtlich ab September 2023 die abschließenden Trilogverhandlungen zum CRA beginnen. Die Bundesregierung muss sich bei den anstehenden Trilogverhandlungen dafür einsetzen, dass im CRA das Open-Source-Ökosystem und damit wichtige Teile der deutschen und europäischen IT-Wirtschaft sowie die digitale Souveränität Deutschlands ausreichend geschützt werden. Hierfür ist ein Austausch mit Vertretern der Open-Source-Industrie unerlässlich. Die Open Source Business Alliance bietet im Vorfeld der Trilogverhandlungen ihre Expertise an und steht jederzeit für einen Austausch sowie Beratungen zur Verfügung.
Peter Ganten, Vorstandsvorsitzender der OSB Alliance:
„Die Sicherheit von IT-Produkten muss in vielen Bereichen dringend erhöht werden. Das zu erreichen ist das zentrale Ziel des Cyber Resilience Act, welches die OSB Alliance ausdrücklich unterstützt. Die jetzt zur Verhandlung stehenden Entwürfe bergen aber die Gefahr, dass das Kind mit dem Bade ausgegossen wird. Denn das Open-Source-Ökosystem würde dadurch erheblichen Schaden erleiden, wodurch Innovations- und Wettbewerbsfähigkeit der gesamten europäischen IT-Industrie die Grundlage entzogen wird.“
Die vollständige Stellungnahme finden Sie hier
To our statement on the CRA in English
To the Press Release in English
