Dieser Gesetzentwurf dürfte laum unter dem Druck von Lobbyisten enstanden sein. Quasi jeder kommerzielle SW-Anbieter baut in seine Produkte OpenSource-Komponenten ein, oft genug reichlich und an sicherheitsrelevanter Stelle. Von der OS-Ebene ganz zu schweigen.
Analog zu den Python-Repositories wären die Bereitstellung und Pflege all dieser Komponenten durch CRA bzw. das daraus resultierende Haftungsrisiko bedroht. Alternativ würde sich der Preis darauf aufbauender Produkte deutlich verteuern, entweder daurch, daß der kommerzielle Nutzer das Haftungsrisiko im Rahmen seines Produktes übernimmt, oder durch Neuentwicklung in eigener Regie bzw. seinerseits Nutzung kommerzieller (Komponenten-)Angebote.
Das kann kein Unternehmen ernsthaft wollen.
Damit wäre CRA einfach nur ein grottenschlechter Entwurf. Bestürzung sollte hervorrufen, daß niemand in den politischen Gremien der EU, die für diesen Entwurf verantwortlich zeichnen, hinreichende IT-Kompetenz besitzt, um den Mangel zu erkennen (bzw. nicht in der Lage war, diese Einsicht zu vermitteln).
Und jetzt das große ABER:
Der Entwurf, um den es hier geht, sind im Original (https://ec.europa.eu/newsroom/dae/redirection/document/89543) rund 60 Seiten juristischer Text mit reichlich Verweisen auf EU-Regularien und -Drucksachen; dazu kommen noch Anhänge (https://ec.europa.eu/newsroom/dae/redirection/document/89544). Möglicherweise verstecken sich darin Details, die die skizzierte Problematik relativieren.
Als juristischer Laie ist das kaum zu durchdringen. Interessant imho ist Art. 3 (23), die Definition zu 'making available on the market' (o.o.a., S.34; eigene Hervorhebung ):
>>>
‘making available on the market’ means any supply of a product with digital
elements for distribution or use on the Union market ***in the course of a commercial
activity***, whether in return for payment or free of charge;
<<<
Nach meiner Lesart (wie gesagt, juristischer Laie) wären iVm Art.5, erster Satz, nicht-kommerzielle Akteure damit ausgenommen, jedenfalls soweit es nicht um kritische Systeme geht.
Grüße, Carsten