Für Foundations und Großprojekte

Der Cyber Resilience Act betrifft auch Sie - ob Sie wollen oder nicht.

Mit dem Cyber Resilience Act (CRA) hat die EU eine neue Rolle eingeführt: den "Verwalter quelloffener Software" (Open Source Steward). Diese Rolle betrifft juristische Personen, die die Entwicklung freier Software systematisch und nachhaltig unterstützen - also genau das, was Foundations tun.

Das Problem: Viele Foundations können oder wollen die damit verbundenen Pflichten nicht übernehmen. Sie arbeiten international, oft unter US-Recht, mit begrenzten Ressourcen und ohne europäische Rechtsabteilung. Trotzdem können sie nach dem CRA als Steward gelten, sobald die betreuten Projekte in der EU für kommerzielle Zwecke eingesetzt werden.

Was der CRA von Stewards verlangt

Der CRA verpflichtet Verwalter quelloffener Software zu einer Reihe von Maßnahmen (Art. 24 CRA):

• Eine dokumentierte Cybersicherheitsstrategie entwickeln und öffentlich machen
• Die Dokumentation, Behebung und Beseitigung von Schwachstellen fördern
• Den Informationsaustausch über Schwachstellen innerhalb der Community unterstützen
• Die freiwillige Meldung von Schwachstellen fördern
• Mit Marktaufsichtsbehörden zusammenarbeiten und auf Verlangen Unterlagen übermitteln
• Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden
• Unterlagen auf Verlangen der Marktaufsichtsbehörde in einer für diese Behörde leicht verständlichen Sprache übermitteln - das bedeutet in der Praxis: in der Landessprache der jeweiligen Behörde
• Frühwarnungen innerhalb von 24 Stunden an Behörden melden und betroffene Nutzer frühzeitig über Schwachstellen und Sicherheitsvorfälle informieren

Diese Pflichten gelten, sobald ein Projekt für kommerzielle Tätigkeiten bestimmt ist - und das trifft auf die meisten Foundation-Projekte zu.

Das Problem der Zeitzonen verschärft die Situation zusätzlich: Viele Foundations arbeiten über zahlreiche Zeitzonen hinweg verteilt, mit Maintainern in den USA, Europa und Asien. Eine 24-Stunden-Meldefrist einzuhalten, wenn der zuständige Maintainer gerade schläft und die Behörde in einer anderen Zeitzone arbeitet, ist eine organisatorische Herausforderung, die professionelle Prozesse erfordert.

Wie OTTRIA entlastet

Mehr als ein Steward ist möglich

Ein wichtiger Punkt: Die Steward-Rolle ist keine exklusive Position. Es kann mehr als einen Steward für ein Projekt geben. Wenn eine Foundation selbst Steward sein will oder aufgrund ihrer Rolle als Steward gilt, schließt das nicht aus, dass OTTRIA ebenfalls als Steward für dasselbe Projekt agiert. Im Gegenteil: OTTRIA kann die Foundation gezielt bei den europäischen Pflichten entlasten, während die Foundation ihre globale Rolle beibehält.

Vertrag mit OTTRIA entbindet von Steward-Pflichten

Wenn OTTRIA die Steward-Rolle für ein Projekt übernimmt, gehen die Pflichten nach Art. 24 CRA auf OTTRIA über. Die Foundation muss sich nicht selbst als Steward registrieren und nicht die damit verbundenen Prozesse aufbauen.

Das bedeutet:

• OTTRIA entwickelt und dokumentiert die Cybersicherheitsstrategie für das Projekt
• OTTRIA übernimmt das Schwachstellenmanagement und die Meldepflichten
• OTTRIA arbeitet mit den europäischen Marktaufsichtsbehörden zusammen
• OTTRIA stellt die erforderliche Dokumentation bereit

Kein fremdes Recht, keine fremde Sprache

Der CRA ist eine EU-Verordnung. Die Behörden kommunizieren auf Deutsch, Französisch oder in anderen EU-Amtssprachen. Die rechtlichen Anforderungen basieren auf europäischem Recht.

Für eine Foundation mit Sitz in den USA oder einer anderen nicht-EU-Jurisdiktion bedeutet das: Sie müssten sich mit einem Rechtssystem auseinandersetzen, das nicht Ihres ist, in einer Sprache, die nicht Ihre ist. OTTRIA übernimmt das. Wir sind ein europäisches Unternehmen mit Sitz in Deutschland und arbeiten direkt mit den zuständigen Behörden.

CRA-Kompatibilität ohne Forks

OTTRIA arbeitet im bestehenden Projekt - nicht in einem Fork. Alle Beiträge, Patches und Reviews fließen zurück ins Original-Repository. Die Governance des Projekts bleibt bei der Foundation. OTTRIA agiert als Dienstleister, nicht als Konkurrent.

Der Druck kommt nicht nur vom CRA

Die Steward-Pflichten aus dem CRA sind nur ein Teil der Gleichung. Der eigentliche Druck entsteht bei den Nutzern Ihrer Projekte:

• DORA-regulierte Finanzunternehmen müssen Open-Source-Analysen durchführen (Art. 25 Abs. 1 DORA) und alle IKT-Drittparteienrisiken managen (Art. 28 Abs. 1-3 DORA). Sie werden Ihre Foundation als Ansprechpartner behandeln — mit Compliance-Anforderungen, die auf Unternehmens-SLAs ausgelegt sind.
• NIS2-Betreiber müssen die Sicherheitsprozesse aller Zulieferer bewerten (Art. 21 Abs. 2 lit. d NIS2), einschließlich der Maßnahmen nach dem Stand der Technik (Art. 21 Abs. 3 NIS2). Auch Foundations werden als Zulieferer betrachtet.
• Hersteller unter CRA müssen bei der Integration von Open-Source-Komponenten Sorgfalt nachweisen (Art. 13 Abs. 5 CRA) und entdeckte Schwachstellen dem Steward melden (Art. 13 Abs. 6 CRA). Ohne klaren Ansprechpartner landet diese Last bei der Foundation.
• Produkthaftung verschärft die Lage zusätzlich: Wenn eine Open-Source-Komponente Schaden verursacht, suchen Geschädigte nach Verantwortlichen — und Foundations sind sichtbarer als einzelne Maintainer.

Dieser regulatorische Druck fließt upstream. OTTRIA absorbiert ihn: als europäischer Ansprechpartner, der die Unternehmensanfragen bearbeitet, die Behördenkommunikation übernimmt und die Nachweise liefert, die Ihre Nutzer brauchen.

Zusätzliche Unterstützung

Neben der Steward-Rolle bietet OTTRIA Foundations und Großprojekten weitere operative Unterstützung:

• Security-Audits und Code-Reviews der betreuten Projekte
• Qualitätssicherung durch erweiterte Test-Suites und Regressionstests
• Release-Management-Unterstützung bei sicherheitsrelevanten Releases
• Vulnerability Disclosure Coordination - wir koordinieren die verantwortungsvolle Offenlegung von Schwachstellen
• Dokumentation für Hersteller, die Ihre Software in ihren Produkten einsetzen

Was das für Hersteller bedeutet

Unternehmen, die Software einer Foundation einsetzen, profitieren ebenfalls. Wenn OTTRIA als Steward für ein Foundation-Projekt agiert, erhalten Hersteller:

• Schnellere Information über Schwachstellen
• Professionelles Schwachstellenmanagement
• Dokumentation, die ihre eigene Sorgfaltspflicht nach Art. 13 Abs. 5 CRA unterstützt
• Einen konkreten Ansprechpartner in der EU

Die freiwillige Sicherheitsbescheinigung nach Art. 25 CRA kann Herstellern die Integration von Open-Source-Komponenten erleichtern - ein weiterer Vorteil der professionellen Steward-Betreuung.

Was die Steward-Rolle erfordert

Die Steward-Pflichten nach Art. 24 CRA sind substanziell: dokumentierte Cybersicherheitsstrategie, aktives Schwachstellenmanagement, Meldepflichten innerhalb von 24 Stunden, Zusammenarbeit mit Marktaufsichtsbehörden in der jeweiligen Landessprache. Marktaufsichtsbehörden können Korrekturmaßnahmen verlangen (Art. 52 Abs. 3 CRA). OTTRIA übernimmt diese Pflichten mit den professionellen Prozessen, die sie erfordern.

Sie vertreten eine Foundation oder ein Großprojekt und möchten über Stewardship sprechen? Kontaktieren Sie uns für ein unverbindliches Gespräch.