Welche Pflichten bzw. Änderungen könnten konkret auf die Unternehmen bzw. Entwickler zukommen?
Die zwei wichtigsten Themen sind die Einführung einer Stückliste für Software, eine sogenannte Software Bill of Materials (SBOM), in der sämtliche Komponenten der Software aufgeführt sind, sowie Sicherheitsmaßnahmen in der Software-Lieferkette. Werden Sicherheitslücken bekannt, bin ich verpflichtet, diese selbst zu bewerten und entsprechende Maßnahmen zu treffen. Im Falle der SBOM gibt es aktuell Entwicklungen, mit denen sich diese automatisch erstellen lässt – das ist tatsächlich unproblematisch. Beim zweiten Aspekt muss ich mich um Sicherheitslücken, die bekannt geworden sind oder die ich selber finde, aktiv kümmern, diese bewerten, Risikomaßnahmen treffen, entsprechend beheben und dann regelmäßig Updates und Sicherheits-Patches liefern. Zwar muss man dies als Unternehmen ohnehin schon tun. Es muss jedoch eine Formulierung gefunden werden, damit nicht die breite Masse getroffen wird, die zwar mitentwickelt, aber keine Gewinnerzielungsabsichten hat.
Welche Auswirkungen hätte der CRA auf den Open Source-Einsatz in der Industrie?
Allgemein lässt sich sagen, dass kaum ein Produkt mehr ohne Open Source-Software vorstellbar ist. Und sei es nur eine kleine Open Source-Bibliothek, die irgendwo für die Verschlüsselung sorgt oder dafür, dass der Webserver richtig läuft. So ist in vielen Industrieanlagen Open Source-Software im Hintergrund verbaut. Beispielsweise wird auf vielen Embedded Systemen Linux eingesetzt.
Wie könnte eine geeignete Fassung aussehen?
Es gilt, diejenigen zu betrachten, die tatsächlich Open Source-Software in einem Distributionsmodell in Verkehr bringen. Und nicht diejenigen, die an irgendeiner Stelle in der Lieferkette eingebunden sind und dies vielleicht aus privaten Stücken tun. Daher wäre es aus unserer Sicht wichtig, dass eine klarere Abgrenzung formuliert wird, die das Inverkehrbringen mit Gewinnerzielungsabsicht in den Vordergrund stellt. Das betrifft dann die Unternehmen, die die Subscription- und Maintenance-Verträge für diese Software anbieten und damit Geld verdienen.