Was der CRA bringt
Der Cyber Resilience Act (CRA), der am 10. Dezember 2024 in Kraft getreten ist, bringt weitreichende Änderungen für Unternehmen in der EU mit sich. Ziel ist es, die Cybersicherheit von Hardware- und Softwareprodukten zu verbessern. Mit einer Übergangsfrist von 36 Monaten wird die Verordnung ab dem 11. Dezember 2027 vollständig gelten.
Der CRA verpflichtet Hersteller, Importeure und Händler, während des gesamten Produktlebenszyklus Cybersicherheit zu gewährleisten. Dies umfasst strenge Anforderungen für Produkte, die auf dem EU-Markt angeboten werden, und soll Risiken sowie Schwachstellen reduzieren. Für Unternehmen bedeutet dies, Beschaffungsprozesse und Sicherheitsstandards anzupassen, insbesondere bei der Nutzung von Open-Source-Lösungen.
Open Source spielt eine zentrale Rolle in der IT-Infrastruktur, ist aber durch die neuen Vorschriften stark gefordert. Viele Open-Source-Projekte werden von ehrenamtlichen Communities getragen, die nicht über die Mittel verfügen, um CRA-Anforderungen zu erfüllen. Dies könnte zu einer Fragmentierung der Communities oder gar zur Aufgabe wichtiger Projekte führen.
Organisationen wie die Linux Foundation und die Apache Software Foundation setzen sich dafür ein, die Open-Source-Gemeinschaft zu schützen. Unternehmen können unterstützen, indem sie sich an Communities beteiligen, Projekte fördern oder CRA-konforme Softwarelösungen entwickeln.
Die Zusammenarbeit zwischen Unternehmen und Open-Source-Communities ist entscheidend, um Innovation und Sicherheit zu verbinden. In einer Zeit, in der Cyber-Resilienz unerlässlich ist, bietet der CRA Chancen für Unternehmen, sich auf sichere und innovative Technologien zu stützen.
Weiterführend:
Autor: Markus Vatter, Head of Compliance, 01.04.2025
