Mehr als ein Dutzend Gremien der Open-Source-Industrie haben dies getan einen offenen Brief veröffentlicht Aufforderung an die Europäische Kommission (EK), Aspekte ihres Vorschlags zu überdenken Cyber-Resilienz-Gesetz (CRA) und sagte, dass es einen „abschreckenden Effekt“ auf die Entwicklung von Open-Source-Software haben wird, wenn es in seiner derzeitigen Form implementiert wird.
Dreizehn Organisationen, darunter die Eclipse Foundation, die Linux Foundation Europe und die Open Source Initiative (OSI), stellen außerdem fest, dass der Cyber Resilience Act, wie er geschrieben wurde, „ein unnötiges wirtschaftliches und technologisches Risiko für die EU darstellt“.
Der Zweck des Schreibens scheint darin zu bestehen, dass die Open-Source-Community ein größeres Mitspracherecht bei der Entwicklung der CRA erhält, während sie das Europäische Parlament durchläuft.
Der Brief lautet:
Wir schreiben, um unsere Besorgnis darüber zum Ausdruck zu bringen, dass die größere Open-Source-Community bei der Entwicklung des Cyber Resilience Act bisher unterrepräsentiert war, und möchten sicherstellen, dass dies während des gesamten Mitgesetzgebungsverfahrens behoben wird, indem wir unsere Unterstützung leisten. Open-Source-Software macht mehr als 70 % der Software aus, die in Produkten mit digitalen Elementen in Europa vorhanden ist. Unsere Gemeinschaft hat jedoch nicht den Vorteil einer etablierten Beziehung zu den Mitgesetzgebern.
Die von uns produzierte Software und andere technische Artefakte sind in ihrem Beitrag zur Technologiebranche zusammen mit unserer digitalen Souveränität und den damit verbundenen wirtschaftlichen Vorteilen auf vielen Ebenen beispiellos. Mit der CRA stehen mehr als 70 % der Software in Europa kurz vor der Regulierung ohne eingehende Beratung.
Frühe Stufen
Der Cyber Resilience Act, der erstmals im September als Entwurf vorgestellt wurde, strebt danach, die besten Cybersicherheitspraktiken für vernetzte Produkte, die in der Europäischen Union verkauft werden, gesetzlich zu kodifizieren. Die Gesetzgebung soll Hersteller von mit dem Internet verbundener Hardware und Software, beispielsweise Hersteller von internetfähigem Spielzeug oder „intelligenten“ Kühlschränken, dazu bringen, sicherzustellen, dass ihre Produkte robust sind und mit den neuesten Sicherheitsupdates auf dem neuesten Stand gehalten werden.
Strafen für die Nichteinhaltung können Bußgelder von bis zu 15 Mio. € oder 2,5 % des weltweiten Umsatzes umfassen.
Während sich das Cyber Resilience Act noch in den Anfängen befindet und in naher Zukunft nichts in tatsächliches Recht übergehen soll, ist die Gesetzgebung hat schon einige Alarmglocken schrillen lassen in der Open-Source-Welt. Es ist geschätzt dass Open-Source-Komponenten zwischen 70 und 90 % der meisten modernen Softwareprodukte ausmachen, von Webbrowsern bis hin zu Servern, und dennoch werden viele Open-Source-Projekte von Einzelpersonen oder kleinen Teams in ihrer Freizeit entwickelt. Daher sind die Absichten der CRA, die CE Kennzeichnung Selbstzertifizierungssystem für Software, bei dem alle Softwareentwickler bezeugen müssen, dass ihre Software in einwandfreiem Zustand ist, könnte die Open-Source-Entwicklung aus Angst vor einem Verstoß gegen die neue Gesetzgebung ersticken.
Der Gesetzesentwurf So wie es aussieht, trägt es in der Tat dazu bei, einige dieser Bedenken auszuräumen. Es heißt (Hervorhebung von uns):
Um Innovation oder Forschung nicht zu behindern, Kostenlose und Open-Source-Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt wird, sollte nicht sein unter diese Verordnung fallen. Dies gilt insbesondere für Software, einschließlich ihres Quellcodes und modifizierter Versionen, die offen geteilt und frei zugänglich, nutzbar, modifizierbar und weiterverteilbar ist. Im Zusammenhang mit Software kann eine gewerbliche Tätigkeit nicht nur durch die Erhebung eines Preises für ein Produkt, sondern auch durch die Erhebung eines Preises für technische Supportleistungen, durch die Bereitstellung einer Softwareplattform, über die der Hersteller andere Dienstleistungen monetarisiert, oder durch die Nutzung gekennzeichnet sein personenbezogener Daten aus anderen Gründen als ausschließlich zur Verbesserung der Sicherheit, Kompatibilität oder Interoperabilität der Software.
Die Sprache in ihrer jetzigen Form hat jedoch Bedenken aus der Open-Source-Welt geweckt. Während der Text nicht-kommerzielle Open-Source-Software von seinem Geltungsbereich auszunehmen scheint, ist der Versuch, zu definieren, was mit „nicht-kommerziell“ gemeint ist, kein einfaches Unterfangen. Als GitHub Policy Director Mike Linksvayer notiert In einem Blogbeitrag im letzten Monat „erstellen und pflegen Entwickler Open Source in einer Vielzahl von bezahlten und unbezahlten Kontexten“, zu denen Unternehmen, Regierungen, gemeinnützige Organisationen, Hochschulen und mehr gehören können.
„Gemeinnützige Organisationen bieten bezahlte Beratungsdienste als technischen Support für ihre Open-Source-Software an“, schrieb Linksvayer. „Und Entwickler erhalten zunehmend Sponsorings, Zuschüsse und andere Formen der finanziellen Unterstützung für ihre Bemühungen. Diese Nuancen erfordern eine andere Ausnahmeregelung für Open Source.“
Es kommt also wirklich auf die Sprache an – die Klarstellung, dass Open-Source-Softwareentwickler nicht für Sicherheitsfehler eines nachgelagerten Produkts verantwortlich gemacht werden, das eine bestimmte Komponente verwendet.
„Der Cyber Resilience Act kann verbessert werden, indem man sich auf fertige Produkte konzentriert“, fügte Linksvayer hinzu. „Wenn Open-Source-Software nicht als kostenpflichtiges oder monetarisiertes Produkt angeboten wird, sollte sie ausgenommen werden.“
„Abschreckende Wirkung“
Eine wachsende Zahl vorgeschlagener Vorschriften in Europa gibt Anlass zur Besorgnis in der gesamten technologischen Landschaft, wobei Open-Source-Software ein wiederkehrendes Thema ist. Tatsächlich erinnern die Probleme rund um die CRA ein wenig an die des bevorstehenden EU-KI-Gesetzes, das darauf abzielt, KI-Anwendungen auf der Grundlage ihrer wahrgenommenen Risiken zu regeln. GitHub-CEO Thomas Dohmke meinte kürzlich, dass Open-Source-Softwareentwickler vom Geltungsbereich dieser Gesetzgebung ausgenommen werden sollten, wenn sie in Kraft tritt, da dies zu einer belastenden rechtlichen Haftung für Allzweck-KI-Systeme (GPAI) führen und gut finanzierten großen Unternehmen mehr Macht verleihen könnte Tech-Unternehmen.
Was den Cyber Resilience Act betrifft, so ist die Botschaft der Open-Source-Software-Community ziemlich klar – sie haben das Gefühl, dass ihre Stimmen nicht gehört werden, und wenn keine Änderungen an den vorgeschlagenen Rechtsvorschriften vorgenommen werden, könnte dies große langfristige Auswirkungen haben.
„Unsere Stimmen und unser Fachwissen sollten gehört werden und die Möglichkeit haben, die Entscheidungen der Behörden zu beeinflussen“, heißt es in dem Brief. „Wenn die CRA tatsächlich wie geschrieben umgesetzt wird, wird sie einen abschreckenden Effekt auf die Entwicklung von Open-Source-Software als globales Unterfangen haben, mit dem Nettoeffekt, die eigenen erklärten Ziele der EU für Innovation, digitale Souveränität und zukünftigen Wohlstand zu untergraben. ”
Die vollständige Liste der Unterzeichner umfasst: The Eclipse Foundation; Linux Foundation Europe; Open-Source-Initiative (OSI); OpenForum Europe (OFE); Associaçāo de Empresas de Software Open Source Portuguesas (ESOP); CNLL; The Document Foundation (TDF); European Open Source Software Business Associations (APELL); COSS – Finnisches Zentrum für offene Systeme und Lösungen; Open Source Business Alliance (OSBA); Offene Systeme und Lösungen (COSS); OW2 und Software Heritage Foundation.