Der Open Source Steward - eine neue CRA-Kategorie

Der Cyber Resilience Act (CRA) schafft eine völlig neue Rolle im Open-Source-Ökosystem: den Verwalter quelloffener Software, im Englischen "Open Source Steward". Diese Rolle existierte vor dem CRA nicht. Sie ist die Antwort des Gesetzgebers auf eine zentrale Frage: Wer übernimmt Verantwortung für Open-Source-Software, die in kommerziellen Produkten steckt - aber von niemandem verkauft wird?

Was ist ein Steward? #

Die Definition steht in Art. 3 Nr. 14 CRA: Ein Steward ist eine juristische Person, die:

• Kein Hersteller ist
• Den Zweck hat, die Entwicklung spezifischer Open-Source-Produkte systematisch und nachhaltig zu unterstützen
• Die Brauchbarkeit dieser Produkte sicherstellt
• die Produkte für kommerzielle Tätigkeiten bestimmt sind

Ein Steward verkauft keine Software. Er sorgt dafür, dass Open-Source-Projekte sicher, gepflegt und nutzbar bleiben.

Welche Pflichten hat ein Steward? #

Die Pflichten sind in Art. 24 CRA geregelt und bewusst schlanker als die Herstellerpflichten:

• Cybersicherheitsstrategie entwickeln und dokumentieren (Art. 24 Abs. 1)
• Freiwillige Meldung von Schwachstellen fördern (Art. 24 Abs. 1, Art. 15)
• Schwachstellen dokumentieren, beheben und beseitigen (Art. 24 Abs. 1)
• Informationsaustausch über Schwachstellen in der Community fördern (Art. 24 Abs. 1)
• Zusammenarbeit mit Marktaufsichtsbehörden auf Verlangen (Art. 24 Abs. 2)
• Meldung aktiv ausgenutzter Schwachstellen, soweit der Steward an der Entwicklung beteiligt ist (Art. 24 Abs. 3)

Steward vs. Hersteller #

Der entscheidende Unterschied:

• Hersteller tragen die vollen CRA-Pflichten: CE-Kennzeichnung, Konformitätserklärung, volle Bußgelder bis 15 Mio. Euro oder 2,5 % des Jahresumsatzes (Art. 64 Abs. 2)
• Stewards unterliegen reduzierten Pflichten und sind ausdrücklich von Bußgeldern ausgenommen (Art. 64 Abs. 10b). Auch andere finanzielle Sanktionen sind ausgeschlossen (EWG 120). Bei Pflichtverletzung können Marktüberwachungsbehörden lediglich "geeignete Korrekturmaßnahmen" verlangen (Art. 52 Abs. 3).

Ein Steward darf ausdrücklich keine CE-Kennzeichnung anbringen (EWG 19).

Was bringt die Steward-Rolle? #

Für Open-Source-Projekte:

• Professionelles Schwachstellenmanagement, ohne dass das Projekt selbst die Ressourcen dafür aufbringen muss
• Zugang zu strukturierten Sicherheitsprozessen
• Schutz vor den Konsequenzen, die entstehen, wenn ein Projekt ohne Steward kommerziell genutzt wird

Für Unternehmen, die Open Source nutzen:

• Der Steward erhält Meldungen über Schwachstellen gemäß Art. 24 Abs. 3 - das kann einen Zeitvorsprung von Wochen bis Monaten gegenüber der öffentlichen CVE-Veröffentlichung bedeuten
• Hersteller, die Schwachstellen in betreuten Projekten finden, müssen den Steward informieren und Patches teilen (Art. 13 Abs. 6)
• Die Sorgfaltspflicht bei FOSS-Integration (Art. 13 Abs. 5) lässt sich durch die Zusammenarbeit mit einem Steward nachweisbar erfüllen

Was bedeutet das für Sie? #

Wenn Sie Open-Source-Komponenten in Ihren Produkten verwenden, profitieren Sie davon, dass diese Projekte von einem Steward betreut werden. Wenn Ihr Unternehmen Open-Source-Projekte betreibt oder unterstützt, kann die Steward-Rolle Sie vor den vollen Herstellerpflichten des CRA schützen. OTTRIA registriert sich freiwillig als Steward und übernimmt damit die operativen Pflichten für betreute Projekte.

Weiterlesen #

• OTTRIA als Open Source Steward
• Was ist der Cyber Resilience Act?
• Open Source hat keinen Vertragspartner

Sie möchten wissen, wie die Steward-Rolle Ihre CRA-Compliance vereinfacht? Vereinbaren Sie ein Gespräch.