Der Ansatz der EU-Politiker in Bezug auf Open-Source-Software und den Unterstützungszeitraum für Updates im kommenden Cyber Resilience Act nimmt Gestalt an.
Der Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung von Sicherheitsanforderungen für vernetzte Geräte. Der Entwurf befindet sich in der letzten Phase des Gesetzgebungsverfahrens, in der das Europäische Parlament, der Rat und die Kommission in sogenannten ‚Trilogen‘ zusammenkommen, um den endgültigen Text auszuarbeiten.
Laut den von Euractiv eingesehenen Kompromisstexten nähern sich die EU-Politiker einem Kompromiss zu zwei kritischen Teilen des Textes: wie Open-Source-Software zu regeln ist und die Definition eines Unterstützungszeitraums, in dem die Hersteller Sicherheitsupdates garantieren werden.
Wenn diese Teile des Textes bestätigt werden, werden sie wahrscheinlich auf der nächsten Trilogsitzung am 8. November auf politischer Ebene gebilligt werden.
Open-Source-Software
Einer der Hauptdiskussionspunkte des Gesetzesentwurfs war der Umgang mit Open-Source-Software, einem entscheidenden Motor für Innovationen im digitalen Bereich. Die EU-Verhandlungsführer diskutieren einen Ansatz, der auf einem Kompromiss basiert, welcher ursprünglich am 20. Oktober in Umlauf gebracht wurde.
Open-Source-Software zeichnet sich zwar dadurch aus, dass sie gemeinsam entwickelt wird, aber die Rechteinhaber können auf unterschiedliche Weise kontrollieren, was in den endgültigen Code aufgenommen wird und wie er vermarktet wird.
Diese beiden Faktoren sind ausschlaggebend dafür, inwieweit die Open-Source-Software die Anforderungen des kommenden Cybersicherheitsgesetzes erfüllen kann. Aus diesem Grund haben die EU-Politiker einen abgestuften Ansatz mit verhältnismäßigen Verpflichtungen konzipiert.
Ein kommerzielles Unternehmen, das Open-Source-Software, die in seine Produkte eingebettet ist, selbst entwickelt und kontrolliert, muss alle Verpflichtungen des Cyber Resilience Act erfüllen, einschließlich der grundlegenden Anforderungen, der technischen Dokumentation, der Konformitätskennzeichnung und der Marktüberwachung.
Ein komplexeres Szenario betrifft Situationen, in denen die Software gemeinsam unter dem Schirm einer unterstützenden Organisation wie Open-Source-Software-Stiftungen oder sogenannter ‚Stewards‘ (Verwalter) entwickelt wird. Hier geht es darum, eine einfachere Regelung mit spezifischen Verpflichtungen einzuführen.
Zu den maßgeschneiderten Anforderungen an die Verwalter von Open-Source-Software gehört es, ein Verfahren für den Umgang mit Sicherheitslücken zu ermöglichen und zu fördern, einschließlich der unverzüglichen Bereitstellung von Sicherheits-Patches und der Berichterstattung über aktiv ausgenutzte Sicherheitslücken.
Gleichzeitig werden die Verwalter von Open-Source-Software nicht mit Geldstrafen belegt, da sich die Zuweisung der Haftung als besonders komplex erweisen könnte, und sie müssen nicht die CE-Kennzeichnung vorweisen, um die Einhaltung der EU-Vorschriften zu belegen.
Zudem ist Software, die in Zusammenarbeit entwickelt wird, ohne dass eine einzige Stelle darüber entscheidet, was in den Projektcode aufgenommen und außerhalb einer kommerziellen Tätigkeit auf dem Markt bereitgestellt wird, vom Anwendungsbereich der Verordnung ausgeschlossen.
Darüber hinaus legt der Text fest, dass die individuellen Beiträge der Entwickler zu Open-Source-Projekten nicht als ‚Herstellungstätigkeit‘ betrachtet werden. Die Einrichtungen, die Open-Source-Software in ihren offenen Repositories hosten, gelten wiederum nicht als Vertreiber, wenn die Software unter einer freien Lizenz bereitgestellt wird.
Der Text ermächtigt die Europäische Kommission, sekundäre Rechtsvorschriften zu erlassen, um Sicherheitsbescheinigungsprogramme einzurichten. Diese sollen Entwicklern und Nutzern von Open-Source-Software eine freiwillige Möglichkeit bieten, die Konformität mit den EU-Rechtsvorschriften zu bewerten, und Herstellern helfen, ihre Open-Source-Komponenten in ihre Produkte zu integrieren.
Unterstützungszeitraum
Während des gesamten Unterstützungszeitraums müssen die Hersteller die Behebung von Schwachstellen gewährleisten, insbesondere die unverzügliche Bereitstellung von Sicherheits-Patches. Der ursprüngliche Vorschlag sah vor, dass der Unterstützungszeitraum die erwartete Produktlebensdauer oder fünf Jahre betragen sollte, je nachdem, was kürzer ist.
Das EU-Parlament und der Rat haben diese Fünf-Jahres-Grenze gestrichen, um den Herstellern mehr Spielraum zu geben, damit sie in diesem Punkt konkurrieren können. Ein Kompromisstext vom 24. Oktober, den Euractiv einsehen konnte, führte den Fünfjahreszeitraum wieder ein, allerdings in einer anderen Form.
Der Text, der Euractivs Verständnis nach weitgehend unverändert ist, besagt, dass „der Unterstützungszeitraum nicht weniger als fünf Jahre betragen soll, es sei denn, es wird erwartet, dass das Produkt mit digitalen Elementen weniger als fünf Jahre in Gebrauch ist.“
Bei der Festlegung des Unterstützungszeitraums müssen die Hersteller die voraussichtliche Nutzungsdauer des Produkts, die angemessenen Erwartungen der Benutzer, die Art des Produkts, seinen Zweck und den Unterstützungszeitraum für ähnliche Produkte auf dem Markt berücksichtigen.
Die Begründung für die Festlegung des Unterstützungszeitraums ist in die technischen Unterlagen aufzunehmen. Der Unterstützungszeitraum muss auf der Produktverpackung angegeben werden.
Gemäß dem Kompromiss sollte jede Sicherheitsaktualisierung mindestens zehn Jahre lang verfügbar bleiben. Ebenso sollte die technische Dokumentation zehn Jahre lang oder für den Zeitraum der Produktunterstützung verfügbar sein, je nachdem, welcher Zeitraum länger ist.
[Bearbeitet von Nathalie Weatherald]