Cyber Resilience Act OSBA fordert Nachbesserungen bei CRA-Durchführungsgesetz

Anbieter zum Thema

OSB Alliance Open Source Business Alliance e.V.

The Quality Group GmbH

SysEleven GmbH

mgm technology partners GmbH

Die Open Source Business Alliance hat eine Stellungnahme zum Referentenentwurf des CRA-Durchführungsgesetzes eingereicht. Darin formuliert der Verband drei zentrale Forderungen – von der BSI-Unterstützung für Open-Source-Akteure bis hin zu digital souveränen Meldeplattformen.

Das Bundesministerium des Innern (BMI) arbeitet derzeit am deutschen Durchführungsgesetz zum europäischen Cyber Resilience Act (CRA). Der im März 2026 veröffentlichte Referentenentwurf regelt unter anderem die Marktüberwachung und weist dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dabei eine zentrale Rolle zu.

Nun hat die Open Source Business Alliance (OSBA), ein Verband mit über 260 Mitgliedsunternehmen, eine Stellungnahme eingereicht, die auf drei „Schwachstellen“ des Entwurfs hinweist. Aus Sicht des Verbands berücksichtigt der Referentenentwurf die Besonderheiten des Open-Source-Ökosystems nicht ausreichend – obwohl der CRA auf europäischer Ebene genau diese Differenzierung geschaffen habe.

Rund 96 Prozent aller Softwareprodukte enthielten heute Open-Source-Komponenten, argumentiert die OSBA. Damit sei die Sicherheit von Open-Source-Lösungen unmittelbar relevant für die Funktionsfähigkeit von Wirtschaft und Verwaltung. „Open Source bietet durch Transparenz und unabhängige Überprüfbarkeit beste Voraussetzungen für ein hohes Sicherheitsniveau“, sagte OSBA-Vorstandsvorsitzender Peter Ganten. Das Open-Source-Ökosystem unterscheide sich strukturell von der Entwicklung proprietärer Software. Es sei geprägt von einem Zusammenspiel aus kommerziellen Anbietern, öffentlichen Institutionen und ehrenamtlichen Entwicklerinnen und Entwicklern, so Ganten weiter. „Das CRA-Durchführungsgesetz muss diese Besonderheiten berücksichtigen, um wirksam und zugleich praktikabel zu sein.“

Open-Source-Akteure wollen explizite Unterstützungszusage

Der Referentenentwurf sieht vor, dass das BSI über einen neuen § 67 des BSI-Gesetzes betroffene Wirtschaftsakteure bei der Erfüllung der CRA-Anforderungen unterstützt. Die OSBA fordert, dass dabei neben kleinen und mittleren Unternehmen auch Open-Source-Hersteller und sogenannte Open Source Software Stewards ausdrücklich genannt werden.

Stewards sind eine neue, durch den CRA geschaffene Rolle: Es handelt sich um gemeinnützige Organisationen wie Stiftungen oder Vereine, die ohne Gewinnerzielungsabsicht zentrale Open-Source-Komponenten pflegen und weiterentwickeln. Sie bildeten der OSBA zufolge „gewissermaßen das „Bindeglied zwischen den nicht-kommerziellen und den kommerziellen Akteuren im Open-Source-Ökosystem“. Obwohl die Anforderungen an Stewards weniger streng sind als an kommerzielle Hersteller, müssen sie nach Artikel 24 des CRA unter anderem eine Cybersicherheitsstrategie entwickeln und dokumentieren sowie Prozesse für den Umgang mit Schwachstellen und Sicherheitsvorfällen einrichten. Angesichts ihrer oft begrenzten personellen und finanziellen Mittel sei eine Unterstützung durch offizielle Stellen wie das BSI „unbedingt erforderlich“, so die OSBA.

Auch Open-Source-Hersteller stünden vor spezifischen Herausforderungen. Sie müssten zwar im Wesentlichen dieselben Anforderungen erfüllen wie Hersteller proprietärer Software, setzten diese aber zum Teil anders um. So könnten etwa wichtige Open-Source-Produkte wie ein Passwort-Manager laut Artikel 32 Abs. 5 CRA ihre Konformität durch eine eigene Konformitätsbewertung auch ohne externe Zertifizierung erklären – vorausgesetzt, die technische Dokumentation wird bei Inverkehrbringen veröffentlicht. Das BSI müsse daher gerade bei der Erstellung solcher Dokumentationen Hilfestellung leisten.

OSBA positioniert sich zum Deutschland-Stack

Open Source: Strategie statt Bruchstücke

Krisenmanagement

Cyber­sicher­heit ist eine Gemein­schafts­auf­gabe

(ID:50807897)