OSBACyber Resilience Act und Open Source

[09.04.2026] Open Source ist Grundlage der meisten Softwareprodukte und daher zentral für die IT-Sicherheit. Dies muss auch in der Umsetzung des Cyber Resilience Act berücksichtigt werden, fordert die OSBA. Open Source braucht eine passende Regulierung mit Unterstützung der Wirtschaft und klaren Verfahren.
Eine Festplatte auf einer Laptoptastatur mit einer Reflexion des Programmcodes, der auf dem Bildschirm zu sehen ist.

Die Umsetzung des CRA entscheidet über die Sicherheit digitaler Infrastrukturen.

(Bildquelle: opikanets/123rf.com)

Der Cyber Resilience Act (CRA) ist die erste europäische Verordnung, die ein Mindestniveau an Cyber-Sicherheit für vernetzte Produkte auf dem EU-Markt festlegt. Seit Dezember 2024 gilt: Alle Produkte, die in der EU verkauft werden und digitale Elemente enthalten, müssen die grundlegenden Anforderungen des Cyber Resilience Act erfüllen. Das betrifft sowohl günstige Verbraucherprodukte als auch Unternehmenssoftware und komplexe industrielle Systeme.

Die Verordnung gilt in allen Mitgliedstaaten der Europäischen Union und wird schrittweise umgesetzt. Ab Dezember 2027 müssen alle Anforderungen des CRA bei neuen Produkten eingehalten werden. In Deutschland läuft derzeit die organisatorische Vorbereitung, also der Aufbau von Aufsichtsstrukturen und die Vorbereitung der Wirtschaft auf die Anforderungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Rolle der marktüberwachenden Behörde für Deutschland und trägt außerdem Verantwortung für die EU-weite einheitliche Umsetzung des CRA. Zudem liegt der Gesetzentwurf zur Durchführung der Cyberresilienz-Verordnung derzeit als Referentenentwurf vor und ist offen zur Kommentierung.

96 Prozent der Softwareprodukte mit Open-Source-Komponenten

Nun hat die Open Source Business Alliance (OSBA) eine Stellungnahme zum deutschen Durchführungsgesetz des Cyber Resilience Act vorgelegt und darin die Rolle des Open-Source-Ansatzes genauer skizziert. Rund 96 Prozent aller Softwareprodukte enthalten nach Angaben der OSBA Open-Source-Komponenten. Open Source ist damit ein unverzichtbarer Treiber der IT-Industrie und der gesamten Wirtschaft. Die Sicherheit von Open-Source-Lösungen für die Funktionsfähigkeit von Unternehmen und der Verwaltung ist also zentral.

Vor diesem Hintergrund fordert die OSBA, dass bei der Unterstützung der betroffenen Wirtschaftsakteure durch das BSI Hersteller von Open-Source-Produkten und Open Source Software Stewards gesondert berücksichtigt werden, da sie besondere Anforderungen zu erfüllen haben. Ziel des CRA-Durchführungsgesetzes muss es sein, die europäischen Cyber-Sicherheitsvorgaben so umzusetzen, dass sie ein hohes Sicherheitsniveau gewährleisten und gleichzeitig Innovation sowie wirtschaftliche Leistungsfähigkeit stärken.

Die Open-Source-Linie des CRA konsequent umsetzen

Der OSBA-Vorstandsvorsitzende Peter Ganten ordnet den aktuellen Referentenentwurf zur CRA-Durchführung hinsichtlich der Berücksichtigung von Open-Source-Software ein: „Open Source bietet durch Transparenz und unabhängige Überprüfbarkeit beste Voraussetzungen für ein hohes Sicherheitsniveau. Die EU erkennt im CRA Open Source daher als sicherheitsrelevanten Bestandteil digitaler Infrastruktur an und berücksichtigt die Besonderheiten offener Entwicklungsmodelle. Diese Differenzierung muss nun auch konsequent in der nationalen Umsetzung fortgeführt werden. Denn das Open-Source-Ökosystem unterscheidet sich strukturell von der Entwicklung proprietärer Software: Es ist geprägt von einem Zusammenspiel aus kommerziellen Anbietern, öffentlichen Institutionen und ehrenamtlichen Entwicklerinnen und Entwicklern. Das CRA-Durchführungsgesetz muss diese Besonderheiten berücksichtigen, um wirksam und zugleich praktikabel zu sein.“

Die Verbandsmitglieder der OSBA befassen sich bereits seit 2024 in einer eigenen Arbeitsgruppe intensiv mit dem CRA, den Anforderungen für unterschiedliche Software-Anbieter und Akteure, mit der Standardisierung in europäischen Standardisierungsgremien sowie mit der entsprechenden Technischen Richtlinie TR-03183 des BSI zur Umsetzung des CRA.


• Gesetzentwurf zur Durchführung der Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung)
• Stellungnahme der Open Source Business Alliance zum Referentenentwurf für ein Durchführungsgesetz zur Cyberresilienz-Verordnung

Stichwörter: Digitale Souveränität, Cyber Resilience Act, IT-Sicherheit, Open Source, OSBA

Weitere Meldungen und Beiträge aus dem Bereich: Digitale Souveränität
Composit: Hände halten ein Tablet, darüber schwebt ein 2D-Objekt mit den Umrissen und Farben von Deutschland, überlagert von einem gezeichneten Netzwerk.

ZenDiS: Konsultation zur digitalen Souveränität

[30.03.2026] Dass die Abhängigkeit der öffentlichen Verwaltung von außereuropäischen Technologieanbietern verringert werden muss, ist unstrittig. Gleichzeitig bleibt der Begriff der digitalen Souveränität oft unscharf. Das ZenDiS will dafür nun messbare Kriterien entwickeln – auf Basis eines möglichst breiten Konsens. mehr...

menschenmenge - die meisten personen Männer in hellblauen Oberhemden - in einem modern eingerichteten Konferenzraum.

Schleswig-Holstein: Call for Concepts beim Landesprogramm Offene Innovation

[29.01.2026] Es ist erklärtes Ziel Schleswig-Holsteins, mit Open Source die digitale Souveränität zu sichern und den Digitalstandort zu stärken. Dazu trägt auch das Landesprogramm Offene Innovation bei, mit dem praxisrelevante Open-Source-Projekte in Verwaltung und Zivilgesellschaft gefördert werden. Nun startet die dritte Runde. mehr...

Detailaufnahme einer Computertastatur. Ein Zeigefinger drückt die Taste "Open Source".

openDesk: Arbeitsfähig im Krisenfall

[27.01.2026] In einem Pilotprojekt erproben die Deutsche Rentenversicherung Bund und weitere Sozialversicherer die souveräne Office- und Kollaborationssuite openDesk des ZenDiS – speziell für die Kommunikation im Krisenfall. mehr...

OSBA: Europäische IT gegen digitale Erpressung

[22.01.2026] Digitale Dienste von US-Anbietern können umstandslos blockiert werden, wie der Fall des Internationalen Strafgerichtshofs zeigt. Weitere Fälle könnten folgen. Open-Source-Lösungen bieten eine sichere, europäische Alternative. Die OSBA berät Organisationen beim Umstieg. mehr...

Printversion der Studie liegt auf einem hellgrauen Tisch.

Next:Public: Studie belegt deutliche Souveränitätslücken

[16.12.2025] Die öffentliche Verwaltung aller Ebenen ist stark von außereuropäischen IT-Anbietern abhängig. Eine neue Studie unterfüttert diesen Befund erstmals mit konkreten Zahlen. Vor allem bei Standardsoftware zeigt sich ein struktureller Lock-in. Die Umstellung von On-Premise-Systemen auf Cloud-Dienste könnte ein möglicher Ausweg sein. mehr...

Berliner Rathaus, daneben der Fernsehturm

Berlin: Weichenstellung für Verwaltungs-IT

[15.12.2025] Der Berliner Senat hat zwei Beschlüsse zur Weiterentwicklung der Verwaltungs-IT gefasst. Eine Open-Source-Strategie soll digitale Souveränität und offene IT-Strukturen stärken. Zudem schafft eine Änderung des E-Government-Gesetzes eine Rechtsgrundlage für den KI-Einsatz. mehr...

Digitalisierungsminister Dirk Schrödter hat die neue Digitalstrategie für Schleswig-Holstein in Kiel vorgestellt.

Schleswig-Holstein: Open Source spart Millionen

[08.12.2025] Digitale Souveränität ist möglich und wirtschaftlich – das zeigt Schleswig-Holstein, indem es zentrale IT-Komponenten auf quelloffene Software umstellt. Schon fast 80 Prozent der Arbeitsplätze in der Landesverwaltung nutzen LibreOffice. Als limitierender Faktor erweisen sich einige Fachanwendungen. mehr...

Eingangstür des ITDZ Berlin

Digitale Souveränität: Berlin plant openDesk-Einsatz

[05.12.2025] Berlin plant nach erfolgreichen Tests im CityLab die Einführung der quelloffenen Officesuite openDesk in der Verwaltung. Das ITDZ stimmt sich dazu eng mit der Senatskanzlei und dem ZenDiS ab und bereitet erste Bereitstellungen einzelner Komponenten vor. mehr...

Junge Frau im Hörsaal lächelt in die Kamera

DAAD: Neue Infrastruktur stärkt digitale Souveränität

[26.11.2025] Um eine zukunftsfähige IT-Basis für den Deutschen Akademischen Austauschdienst (DAAD) zu schaffen, wurde die virtuelle Infrastruktur der Organisation auf eine hochverfügbare, Open-Source-basierte IaaS-Plattform migriert. Unterstützt wurde der DAAD dabei von dem Unternehmen GISA. mehr...

Französische und deutsche Flagge wehen nebeneinander, im Hintergrund leicht bewölkter blauer Himmel.

BSI/ANSSI: Gemeinsame Kriterien zur Cloud-Souveränität

[19.11.2025] BSI und ANSSI wollen EU-weite Kriterien für souveräne Cloud-Dienste entwickeln und eine Methodik zu deren Prüfung vorlegen. Die Vereinbarung soll einheitliche Sicherheitsanforderungen schaffen und öffentlichen wie privaten Stellen klare Orientierung bieten. mehr...

Delos Cloud: Deutsch-französische Cloud-Allianz

[19.11.2025] Um die Verfügbarkeit von Cloud-Diensten in Europa auch in Notlagen zu gewährleisten, haben Delos Cloud, der französische Cloud-Dienstleister Bleu und Microsoft eine Kooperation vereinbart. Diese Absprachen wurden beim deutsch-französischen EU-Gipfel zur digitalen Souveränität in Berlin bekannt gegeben. mehr...

Peter H. Ganten – CEO Univention und Vorstandsvorsitzender der Open Source Business Alliance

OSBA: Stellungnahme zum Deutschland-Stack

[17.11.2025] Mit dem Deutschland-Stack will die Bundesregierung Rahmenbedingungen und eine technologische Basis für Digitalvorhaben festlegen. Die OS Business Alliance warnt vor „Souveränitäts-Washing“ und fordert eine klare Ausrichtung auf offene Standards und Schnittstellen. mehr...

Dataport: Abschluss des Programms Phoenix

[03.11.2025] Nach der Übergabe des Programms Phoenix an das ZenDiS zieht Dataport eine gemischte Bilanz: Das Vorhaben war finanziell wohl schmerzhaft, habe aber die digitale Souveränität insgesamt vorangebracht und das eigene Innovationspotenzial gestärkt. mehr...

Eine Reihe von Flaggenmasten mit EU-Flaggen vor einer modernen Fassade.

Europa: Digitale Stärke zurückgewinnen

[31.10.2025] Frankreich, Deutschland, Italien und die Niederlande wollen Europas digitale Unabhängigkeit stärken und gründen das Digital Commons European Digital Infrastructure Consortium. Ziel ist der gemeinsame Aufbau offener, interoperabler und souveräner digitaler Infrastrukturen. mehr...