Cyber Resilience Act: Große Auswirkungen auf Open Source befürchtet

Eigentlich ist der Cyber Resilience Act (CRA) der EU dafür gedacht, die Sicherheit von Produkten der Hard- und Softwareindustrie zu verbessern. Doch prominente Vertreter der Open-Source-Community befürchten als Nebenwirkung schwere Folgen für quelloffene Software und fordern Änderungen an dem Richtlinienvorschlag.

Die erste Ankündigung, dass es einen CRA geben werde, kam im September 2021. Ein Jahr später der erste Entwurf. Zusammgefasst hat die Richtlinie vier Ziele: Hersteller sollen verpflichtet werden, die Sicherheit ihrer Produkte über die gesamte Lebensdauer zu verbessern, es soll einen kohärenten Rahmen geben, an dem sich die Einhaltung messen lässt, die digitale Sicherheit in den Produkten soll transparenter werden und schließlich soll die Richtlinie Kunden in die Lage versetzen, "Produkte mit digitaler Sicherheit zu nutzen".

Ist die Folgenabschätzung unvollständig?

Die gute Nachricht ist, dass es eine Abschätzung der Folgen gibt, die aus der Einführung entstehen. "Für Softwareentwickler und Hardwarehersteller erhöht sich der direkte Erfüllungsaufwand für neue Cybersicherheitsanforderungen, Konformitätsbewertung, Dokumentations- und Meldepflichten", heißt es in dem Entwurf.

Beziffert werden diese Kosten auch. 29 Milliarden Euro soll das die Wirtschaft und Behörden kosten. Der Nutzen wird jedoch um ein Vielfaches höher eingeschätzt: Zwischen 180 und 290 Milliarden sollen durch weniger Sicherheitsvorfälle gespart werden.

Doch was ist mit den Entwicklern von Open-Source-Software? Hier könnten Kosten entstehen, ohne dass etwas eingespart wird, einfach weil bei vielen Lizenzen eine Gewährleistung ausgeschlossen ist: Verwenden auf eigene Gefahr.

Ganz so ist das erst einmal nicht. So steht in Erwägungsgrund zehn (Seite 15) des Vorschlags "Um Innovation und Forschung nicht zu behindern, sollte kostenlose und quelloffene Software, die außerhalb einer gewerblichen Tätigkeit entwickelt oder bereitgestellt wird, nicht unter diese Verordnung fallen. Dies gilt insbesondere für Software, einschließlich ihres Quellcodes und modifizierter Versionen, die offen geteilt und frei zugänglich, nutzbar, modifizierbar und weiterverteilbar ist."

Die Betonung liegt auf kostenlos

Dass vielen in der Open-Source-Community diese Ausnahme nicht gefällt, liegt daran, was unter Erwägungsgrund zehn noch folgt: "Im Zusammenhang mit Software kann eine gewerbliche Tätigkeit nicht nur durch die Erhebung eines Preises für ein Produkt, sondern auch durch die Erhebung eines Preises für technische Supportleistungen, durch die Bereitstellung einer Softwareplattform, über die der Hersteller andere Dienstleistungen monetarisiert, oder durch die Nutzung personenbezogener Daten aus anderen Gründen als ausschließlich zur Verbesserung der Sicherheit, Kompatibilität oder Interoperabilität der Software gekennzeichnet sein."

Und da liegt das Problem. Dass Open-Source-Software kostenlos weitergegeben und verwendet werden darf, in manchen Fällen sogar wirklich frei ist, heißt nicht, dass sich um diese Software herum nicht Geld verdienen lässt. Und in dem Moment, in dem das passiert, greift die Open-Source-Ausnahme nicht mehr.

Mit anderen Worten bedeutet das: Wer Open-Source-Software kommerziell verwendet, indem sie Teil des Angebots ist oder sich das Angebot einfach nur auf die Software bezieht, ist dazu verpflichtet, die Vorgaben des CRA zu erfüllen.