Der Ansatz der EU-Politiker gegenüber Open-Source-Software und der Unterstützungszeitraum im kommenden Cyber Resilience Act nehmen Gestalt an.
Der Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung von Sicherheitsanforderungen für vernetzte Geräte. Der Gesetzesentwurf befindet sich im letzten Schritt des Gesetzgebungsprozesses, bei dem das Europäische Parlament, der Rat und die Kommission in „Trilogen“ zusammenkommen, um den endgültigen Text auszuarbeiten.
Den von Euractiv eingesehenen Kompromisstexten zufolge nähern sich die politischen Entscheidungsträger der EU einem Kompromiss in zwei kritischen Teilen des Textes: der Frage, wie Open-Source-Software reguliert werden soll, und der Definition eines Supportzeitraums, während dessen Hersteller Sicherheitsupdates garantieren.
Im Falle einer Bestätigung werden diese Teile des Textes voraussichtlich bei der nächsten Trilogsitzung am 8. November auf politischer Ebene gebilligt.
Quelloffene Software
Einer der Hauptdiskussionspunkte im Gesetzentwurf war der Umgang mit Open-Source-Software, einem entscheidenden Innovationstreiber im digitalen Bereich. Die EU-Verhandlungsführer diskutieren über einen Ansatz, der auf einem Kompromiss basiert, der ursprünglich am 20. Oktober verbreitet wurde.
Während das Charakteristikum von Open-Source-Software darin besteht, dass sie gemeinsam entwickelt wird, gibt es für die Rechteinhaber verschiedene Möglichkeiten, die Kontrolle darüber zu erlangen, was im endgültigen Code akzeptiert wird und wie er kommerzialisiert wird.
Diese beiden Faktoren sind entscheidend dafür, inwieweit die Open-Source-Software den Anforderungen des kommenden Cybersicherheitsgesetzes entsprechen kann. Aus diesem Grund haben die EU-Politiker einen abgestuften Ansatz mit verhältnismäßigen Verpflichtungen konzipiert.
Ein kommerzielles Unternehmen, das im Alleingang Open-Source-Software entwickelt und kontrolliert, die in seine Produkte eingebettet ist, muss alle Verpflichtungen des Cyber Resilience Act einhalten, einschließlich der grundlegenden Anforderungen, der technischen Dokumentation, der Konformitätskennzeichnung und der Marktüberwachung.
Ein komplexeres Szenario bezieht sich auf Situationen, in denen die Software gemeinsam unter der Schirmherrschaft einer unterstützenden Organisation wie Open-Source-Software-Stiftungen oder „Verwaltern“ entwickelt wird. Die Idee dabei ist, eine leichtere Regelung mit spezifischen Verpflichtungen einzuführen.
Zu den vorgesehenen maßgeschneiderten Anforderungen an die Open-Source-Software-Verwalter gehört die Ermöglichung und Förderung eines Prozesses zum Umgang mit Schwachstellen, einschließlich der unverzüglichen Bereitstellung von Sicherheitspatches und der Berichterstattung über aktiv ausgenutzte Schwachstellen.
Gleichzeitig werden gegen Open-Source-Software-Verwalter keine Geldstrafen verhängt, da sich die Zuweisung der Haftung als besonders komplex erweisen könnte, und sie müssen nicht die CE-Kennzeichnung vorweisen, um die Einhaltung der EU-Vorschriften nachzuweisen.
Schließlich ist Software, die gemeinsam entwickelt wird, ohne dass eine einzige Instanz darüber entscheidet, was in den Code des Projekts aufgenommen und außerhalb einer kommerziellen Aktivität auf dem Markt verfügbar gemacht wird, vom Anwendungsbereich der Verordnung ausgenommen.
Darüber hinaus legt der Text fest, dass die individuellen Beiträge der Entwickler zu Open-Source-Projekten nicht als „Herstellungstätigkeit“ gelten, während die Unternehmen, die Open-Source-Software in ihren offenen Repositories hosten, nicht als Vertriebshändler gelten, wenn die Software unter einer kostenlosen Lizenz bereitgestellt wird.
Der Text ermächtigt die Europäische Kommission, sekundäre Rechtsvorschriften zu erlassen, um Sicherheitsbescheinigungsprogramme als freiwillige Möglichkeit für Entwickler und Benutzer von Open-Source-Software einzurichten, die Konformität mit der EU-Gesetzgebung zu bewerten und Herstellern dabei zu helfen, ihre Open-Source-Komponenten in ihre Produkte zu integrieren.
Supportzeitraum
Während des gesamten Supportzeitraums müssen Hersteller sicherstellen, dass Schwachstellen behoben werden, insbesondere Sicherheitspatches ohne unangemessene Verzögerung bereitgestellt werden. Im ursprünglichen Vorschlag war vorgesehen, dass der Supportzeitraum die erwartete Produktlebensdauer oder fünf Jahre betragen sollte, je nachdem, welcher Zeitraum kürzer ist.
Das EU-Parlament und der EU-Rat haben diese Obergrenze von fünf Jahren aufgehoben und den Herstellern damit mehr Ermessensspielraum eingeräumt, damit sie in diesem Aspekt konkurrieren können. Ein von Euractiv eingesehener Kompromisstext vom 24. Oktober führte den Fünfjahreszeitraum wieder ein, jedoch in anderer Form.
In dem Text, der nach Ansicht von Euractiv im Großen und Ganzen stabil ist, heißt es: „Sofern das Produkt mit digitalen Elementen nicht voraussichtlich weniger als fünf Jahre im Einsatz sein wird, darf der Supportzeitraum nicht weniger als fünf Jahre betragen.“
Bei der Festlegung des Supportzeitraums müssen Hersteller die voraussichtliche Nutzungsdauer des Produkts, angemessene Erwartungen der Benutzer, die Art des Produkts, seinen Zweck und den Supportzeitraum für ähnliche auf dem Markt erhältliche Produkte berücksichtigen.
Die Begründung für die Festlegung des Supportzeitraums ist in die technische Dokumentation aufzunehmen. Der Supportzeitraum ist auf der Verpackung des Produkts anzugeben.
Laut Kompromiss soll jedes Sicherheitsupdate mindestens 10 Jahre lang verfügbar bleiben. Ebenso sollte die technische Dokumentation 10 Jahre lang oder für den Produktsupportzeitraum verfügbar bleiben, je nachdem, welcher Zeitraum länger ist.
[Edited by Nathalie Weatherald]