Vier neue EU-Gesetze verändern grundlegend, wie Unternehmen mit Open-Source-Software umgehen müssen. Jedes dieser Gesetze verpflichtet Sie, Ihre Software-Lieferkette aktiv zu managen - einschließlich der Open-Source-Komponenten, die Sie nicht selbst entwickelt haben.
Finden Sie heraus, welches Gesetz für Ihr Unternehmen gilt.
Betroffen: Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen, Fondsverwalter, Krypto-Dienstleister und deren IKT-Zulieferer.
Was droht: Persönliche Geschäftsführerhaftung (Art. 5 DORA), tägliche Zwangsgelder von bis zu 1 % des weltweiten Tagesumsatzes, öffentliche Bekanntmachung aller Sanktionsentscheidungen. D&O-Versicherungen decken Gesetzesverstöße typischerweise nicht ab.
Was DORA fordert: Open-Source-Analysen als explizite Testmethode (Art. 25 Abs. 1), lückenlose Dokumentation aller IKT-Drittparteienrisiken, Ausstiegsstrategien für jede Abhängigkeit.
Betroffen: 18 Sektoren, von Energie über Gesundheit bis digitale Infrastruktur. In Deutschland: Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in den relevanten Sektoren.
Was droht: Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, Tätigkeitsverbot für Geschäftsführer, öffentliche Bekanntmachung von Verstößen durch das BSI.
Was NIS2 fordert: Sicherheit der Lieferkette als Pflichtmaßnahme (Art. 21 Abs. 2 lit. d), Schwachstellenmanagement und -offenlegung, Maßnahmen nach dem Stand der Technik.
Betroffen: Alle Hersteller von Software und vernetzten Produkten, die in der EU auf den Markt gebracht werden - von der Desktop-Anwendung bis zum IoT-Gerät.
Was droht: Bußgelder bis 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes, Verbandsklagen, EU-weiter Rückruf, Marktverlust durch fehlende CE-Kennzeichnung.
Was der CRA fordert: Fünf Jahre Security-Support, SBOM-Pflicht in maschinenlesbarem Format, Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden, Freiheit von bekannten ausnutzbaren Schwachstellen.
Betroffen: Alle Unternehmen, die Software als Produkt oder als Bestandteil eines Produkts bereitstellen.
Was droht: Unbegrenzte Haftung - die bisherige Haftungsobergrenze entfällt. Datenverlust wird erstmals als eigenständiger Haftungsgrund anerkannt. Beweislasterleichterung für Geschädigte.
Was die neue Richtlinie fordert: Nachweisbare Sorgfalt bei der Auswahl und Pflege aller Softwarekomponenten, dokumentierte Governance über den gesamten Lebenszyklus.
OTTRIA konzentriert sich ausschließlich auf die Open-Source-Komponenten Ihrer Software-Lieferkette. Wir ersetzen nicht Ihre IT-Sicherheitsabteilung, Ihre Compliance-Berater oder Ihre Systemintegratoren. Um den Rest kümmern sich andere. Was niemand anderes abdeckt, ist die systematische Pflege, Überwachung und Dokumentation der hunderten Open-Source-Projekte, von denen Ihre Software abhängt.
800 Projekte in der SBOM. Das ist keine Übertreibung, sondern Alltag in regulierten Unternehmen. 800 Projekte bedeuten 15 und mehr Programmiersprachen, hunderte Maintainer in verschiedenen Zeitzonen, keinerlei SLAs, keine Verträge, keine Einwirkungsmöglichkeit. Und für jede einzelne dieser Komponenten tragen Sie die volle Verantwortung.
Intern lösbar? Rechnen Sie nach: Selbst mit einem spezialisierten Team von fünf bis sieben Fachkräften - das Sie erst aufbauen und halten müssten - decken Sie bestenfalls die gängigsten Sprachen und Projekte ab. Die weniger bekannten Abhängigkeiten - und das sind die Mehrheit - bleiben unbeachtet.