Die folgenden EU-Gesetze und nationalen Umsetzungen betreffen die Sicherheit von Open-Source-Komponenten in Ihrer Software-Lieferkette. Wir haben die für die Open-Source-Governance relevanten Artikel und Paragraphen im Wortlaut zusammengestellt.
EU-Verordnungen und deutsche Bundesgesetze sind amtlich und gemeinfrei. Die hier wiedergegebenen Texte entsprechen dem offiziellen Wortlaut.
Verordnung (EU) 2022/2554. Gilt direkt in allen EU-Mitgliedstaaten. Betrifft Finanzunternehmen und ihre IKT-Dienstleister. DORA nennt "Open-Source-Analysen" ausdrücklich als Testmethode (Art. 25 Abs. 1). Je nach Lesart und regulatorischer Entwicklung können Open-Source-Analysen auch bei anderen Gesetzen zum Stand der Technik werden.
Richtlinie (EU) 2022/2555, in Deutschland umgesetzt als NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Betrifft 18 Sektoren kritischer und wichtiger Infrastruktur. Art. 21 definiert die Pflichten zur Lieferkettensicherheit.
Verordnung (EU) 2024/2847. Gilt direkt in allen EU-Mitgliedstaaten. Enthält die Definition des "Verwalters quelloffener Software" (Open Source Steward) in Art. 3 Nr. 14 und dessen Pflichten in Art. 24-25. Für OTTRIA das zentrale Gesetz.
Richtlinie (EU) 2024/2853. Muss national umgesetzt werden. Definiert erstmals Software als Produkt und Datenverlust als Haftungsgrund. Keine Obergrenze für die Gesamthaftung mehr.
Internationaler Standard für Open-Source-Security-Assurance. Definiert den "Stand der Technik" für die Absicherung von Open-Source-Komponenten. ISO-Normen sind urheberrechtlich geschützt und können nicht im Wortlaut wiedergegeben werden. Die zugrunde liegende OpenChain Security Assurance Specification ist frei verfügbar.
Erläuterung und OTTRIA-Mapping
Die hier wiedergegebenen Gesetzestexte sind Auszüge. Sie ersetzen nicht die Lektüre des vollständigen Gesetzestextes. Für verbindliche Auskünfte wenden Sie sich an Ihre Rechtsabteilung.
Sie möchten wissen, welche Gesetze Ihr Unternehmen betreffen? Sprechen Sie mit uns