Cyber Resilience Act: Open-Source-Organisationen fordern Mitspracherecht
Zwölf Organisationen sprechen auf der Eclipse-Website die Europäische Kommission an. Der CRA müsse die Open-Source-Gemeinschaft stärker einbeziehen.
(Bild: Shutterstock/lapandr)
- Maika Möbus
Die Europäische Kommission hat den Cyber Resilience Act (CRA) im September 2022 als Entwurf vorgelegt. Das geplante Gesetz soll die Cybersicherheit von Softwareprodukten erhöhen, stelle jedoch in seiner aktuellen Fassung eine Gefahr für Open-Source-Software dar, wie bereits unter anderem die Python Software Foundation (PSF) bemängelt hat. Nun haben sich zwölf Organisationen auf der Website der Eclipse Foundation direkt an die Gesetzgeber gewandt. Sie äußern Bedenken und bieten an, ihre Expertise einzubringen.
Zusammenarbeit soll die Gefahr für Open Source abwenden
In einem offenen Brief richten sich die Unternehmensführer von zwölf Open-Source-Organisationen an die Mitglieder des Europäischen Parlaments sowie die Repräsentanten des Rats der Europäischen Union. Zu diesen nach eigenen Angaben führenden Institutionen der europäischen und globalen Open-Source-Software-Community zählen neben der Eclipse Foundation auch die Linux Foundation Europe, die Open Source Initiative (OSI) und die Open Source Business Alliance (OSBA).
Die Organisationen drücken in dem Brief ihre Bedenken darüber aus, dass die Open-Source-Community bei der Entwicklung des Cyber Resilience Act bislang unterrepräsentiert sei. Um Abhilfe zu schaffen, bieten die Open-Source-Institutionen ihre aktive Unterstützung an: Eine repräsentative Delegation sei unmittelbar bereit, sich mit den Entscheidungsträgern zu treffen.
Globale Beeinträchtigung durch den CRA
Nach Angaben der Unterzeichnenden ist Open-Source-Software (OSS) in über 70 Prozent der Produkte mit digitalen Elementen in Europa vertreten, sodass der CRA eine Regulierung des Großteils der verwendeten Software bedeuten würde. Dennoch bestehe derzeit keine etablierte Beziehung zwischen der Open-Source-Community und den Mitgesetzgebern. Der Zusammenschluss von Organisationen ist sich einig, ebenfalls eine höhere Cybersicherheit digitaler Produkte anzustreben. Durch den CRA in seiner jetzigen Form würde jedoch "die Entwicklung und globale Bedeutung neuer Open-Source-Software stark eingeschränkt".
Bereits vergangene Woche stellte die Python Software Foundation in Aussicht, dass sie womöglich die Programmiersprache Python und den Python Package Index (PyPI) künftig für Unternehmen sowie Nutzerinnen und Nutzer in Europa nicht mehr zur Verfügung stellen könnte, wenn sie aufgrund des CRA – trotz eines fehlenden Umsatzes oder gar Gewinns – dafür haftbar würde.
Der offene Brief ist auf der Website der Eclipse Foundation erschienen. Auf einer dedizierten Webseite, die den CRA als "unnötige ökonomische und technologische Gefahr für die Europäische Union" bezeichnet, lässt sich der Brief in verschiedenen Sprachen lesen, darunter auch auf Deutsch.
(mai)