OSBACyber Resilience Act und Open Source

[09.04.2026] Open Source ist Grundlage der meisten Softwareprodukte und daher zentral für die IT-Sicherheit. Dies muss auch in der Umsetzung des Cyber Resilience Act berücksichtigt werden, fordert die OSBA. Open Source braucht eine passende Regulierung mit Unterstützung der Wirtschaft und klaren Verfahren.
Eine Festplatte auf einer Laptoptastatur mit einer Reflexion des Programmcodes, der auf dem Bildschirm zu sehen ist.

Die Umsetzung des CRA entscheidet über die Sicherheit digitaler Infrastrukturen.

(Bildquelle: opikanets/123rf.com)

Der Cyber Resilience Act (CRA) ist die erste europäische Verordnung, die ein Mindestniveau an Cyber-Sicherheit für vernetzte Produkte auf dem EU-Markt festlegt. Seit Dezember 2024 gilt: Alle Produkte, die in der EU verkauft werden und digitale Elemente enthalten, müssen die grundlegenden Anforderungen des Cyber Resilience Act erfüllen. Das betrifft sowohl günstige Verbraucherprodukte als auch Unternehmenssoftware und komplexe industrielle Systeme.

Die Verordnung gilt in allen Mitgliedstaaten der Europäischen Union und wird schrittweise umgesetzt. Ab Dezember 2027 müssen alle Anforderungen des CRA bei neuen Produkten eingehalten werden. In Deutschland läuft derzeit die organisatorische Vorbereitung, also der Aufbau von Aufsichtsstrukturen und die Vorbereitung der Wirtschaft auf die Anforderungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Rolle der marktüberwachenden Behörde für Deutschland und trägt außerdem Verantwortung für die EU-weite einheitliche Umsetzung des CRA. Zudem liegt der Gesetzentwurf zur Durchführung der Cyberresilienz-Verordnung derzeit als Referentenentwurf vor und ist offen zur Kommentierung.

96 Prozent der Softwareprodukte mit Open-Source-Komponenten

Nun hat die Open Source Business Alliance (OSBA) eine Stellungnahme zum deutschen Durchführungsgesetz des Cyber Resilience Act vorgelegt und darin die Rolle des Open-Source-Ansatzes genauer skizziert. Rund 96 Prozent aller Softwareprodukte enthalten nach Angaben der OSBA Open-Source-Komponenten. Open Source ist damit ein unverzichtbarer Treiber der IT-Industrie und der gesamten Wirtschaft. Die Sicherheit von Open-Source-Lösungen für die Funktionsfähigkeit von Unternehmen und der Verwaltung ist also zentral.

Vor diesem Hintergrund fordert die OSBA, dass bei der Unterstützung der betroffenen Wirtschaftsakteure durch das BSI Hersteller von Open-Source-Produkten und Open Source Software Stewards gesondert berücksichtigt werden, da sie besondere Anforderungen zu erfüllen haben. Ziel des CRA-Durchführungsgesetzes muss es sein, die europäischen Cyber-Sicherheitsvorgaben so umzusetzen, dass sie ein hohes Sicherheitsniveau gewährleisten und gleichzeitig Innovation sowie wirtschaftliche Leistungsfähigkeit stärken.

Die Open-Source-Linie des CRA konsequent umsetzen

Der OSBA-Vorstandsvorsitzende Peter Ganten ordnet den aktuellen Referentenentwurf zur CRA-Durchführung hinsichtlich der Berücksichtigung von Open-Source-Software ein: „Open Source bietet durch Transparenz und unabhängige Überprüfbarkeit beste Voraussetzungen für ein hohes Sicherheitsniveau. Die EU erkennt im CRA Open Source daher als sicherheitsrelevanten Bestandteil digitaler Infrastruktur an und berücksichtigt die Besonderheiten offener Entwicklungsmodelle. Diese Differenzierung muss nun auch konsequent in der nationalen Umsetzung fortgeführt werden. Denn das Open-Source-Ökosystem unterscheidet sich strukturell von der Entwicklung proprietärer Software: Es ist geprägt von einem Zusammenspiel aus kommerziellen Anbietern, öffentlichen Institutionen und ehrenamtlichen Entwicklerinnen und Entwicklern. Das CRA-Durchführungsgesetz muss diese Besonderheiten berücksichtigen, um wirksam und zugleich praktikabel zu sein.“

Die Verbandsmitglieder der OSBA befassen sich bereits seit 2024 in einer eigenen Arbeitsgruppe intensiv mit dem CRA, den Anforderungen für unterschiedliche Software-Anbieter und Akteure, mit der Standardisierung in europäischen Standardisierungsgremien sowie mit der entsprechenden Technischen Richtlinie TR-03183 des BSI zur Umsetzung des CRA.





Weitere Meldungen und Beiträge aus dem Bereich: Digitale Souveränität
Aus Angst vor Datendiebstahl meidet die Mehrheit der Bürger den Online-Behördengang.
bericht

EU/USA: Wackeliger Datenschutzrahmen

[08.07.2026] Eine Entscheidung des US Supreme Court bringt die rechtliche Grundlage transatlantischer Datentransfers ins Wanken: Die Handelsbehörde FTC, die unter anderem kontrollieren soll, ob US-Hyperscaler wichtige Datenschutzgrundsätze einhalten, ist nicht länger neutral. Bayerns Digitalminister Mehring fordert daraus Konsequenzen für Europas digitale Souveränität. mehr...

Ein heller Raum, von hinten aufgenommen über Köpfe und Schultern des Publikums hinweg, vorne Rednerpult, Projektionswand und Dirk Schrödter als Redner

Schleswig-Holstein: Europa braucht Open Source

[07.07.2026] Schleswig-Holstein hat mit „OSPOs for Europe“ ein europäisches Austauschformat zu Open Source angestoßen. Beim zweiten Treffen in Brüssel betonte Digitalisierungsminister Dirk Schrödter, dass digitale Souveränität nicht im Alleingang entsteht, sondern durch gemeinsame Standards und Technologien sowie geteilte Expertise. mehr...

Mecklenburg-Vorpommerns Digitalisierungsminister Heiko Geue (l.) und Landes-CIO Marco Anschütz

Mecklenburg-Vorpommern: Tschüs, Sharepoint – Hallo, Nextcloud

[07.07.2026] Das Land Mecklenburg-Vorpommern hat für die Kollaborationssoftware seiner Verwaltung den Umstieg auf die quelloffene Lösung Nextcloud begonnen. Die ersten 5.000 Verwaltungsbeschäftigten nutzen die Lösung zum Filesharing. Perspektivisch sollen bis zu 50.000 ÖD-Beschäftigte mit Nextcloud arbeiten. mehr...

Deutsch-französische Kooperation: Vive la souveraineté !

[19.06.2026] Deutschland und Frankreich haben erstmals eine gemeinsame Definition für digitale Souveränität vorgestellt. Das Papier soll Europas technologische Abhängigkeiten verringern und künftige EU-Regeln zu KI, Cloud und Kritischen Infrastrukturen prägen. mehr...

Delos Cloud: Sopra Steria wird Partner

[08.06.2026] Sopra Steria unterstützt Behörden und öffentliche IT-Dienstleister bei der Migration in eine souveräne Cloud-Umgebung. Dazu wurde nun eine strategische Partnerschaft mit Delos Cloud vereinbart. mehr...

Das Bild zeigt Bayerns Digitalminister Fabian Mehring.

Bayern: Souveräner Verwaltungsarbeitsplatz – und zwar schnell

[05.06.2026] Bayerns Digitalministerium macht Tempo beim digital souveränen Arbeitsplatz. Beschäftigte sollen in den kommenden Monaten verschiedene Lösungen im laufenden Betrieb testen. 2027 soll dann bereits ein Fünftel des Hauses mit der dabei gefundenen Arbeitsplatzlösung arbeiten. mehr...

Peter H. Ganten – CEO Univention und Vorstandsvorsitzender der Open Source Business Alliance

OSBA: „Souveränitätswashing“ vermeiden

[03.06.2026] Die Open Source Business Alliance unterstützt den ZenDiS-Vorstoß für einen Souveränitätscheck, sieht aber Nachbesserungsbedarf. Digitale Souveränität dürfe nicht auf Standortfragen oder Exit-Strategien verengt werden, sondern müsse den Abbau bestehender Abhängigkeiten messen. mehr...

BSI: Klare Souveränitätskriterien für Cloud-Dienste

[29.04.2026] Das BSI hat einen Kriterienkatalog zur Bewertung der Souveränität von Cloud-Diensten vorgelegt. Das C3A-Framework soll Cloud-Kunden wie auch -Anbietern Orientierung geben und eine selbstbestimmte Nutzung erleichtern. Auch Audits für Cloud-Anbieter sind geplant. mehr...

Plastikbausteine mit Noppen in den Deutschland-Farben, vor blauem Hintergrund

OSBA/Deutschland-Stack: Transparente Standards für Cloud-Dienste

[13.04.2026] Die Open Source Business Alliance bewertet die Integration des Sovereign Cloud Stack in den Deutschland-Stack als wichtigen Schritt für offene Cloud-Standards. Der IT-Planungsrat verankert damit erstmals Open-Source-basierte Referenzarchitekturen für Cloud- und Managed Services in der Verwaltung. mehr...

Beine und Torso eines Mannes mmit hellblauem Business-Hemd, der liegend auf einem Laptop tippt.

Bitkom: Wunsch nach digitaler Unabhängigkeit ist da

[13.04.2026] Menschen in Deutschland wünschen sich, dass Europa bei digitalen Technologien unabhängiger wird. Gleichzeitig werden europäische Anwendungen und Technologien nur in wenigen Bereichen genutzt. Der Bitkom fordert daher bessere Rahmenbedingungen für Innovation. mehr...

Composit: Hände halten ein Tablet, darüber schwebt ein 2D-Objekt mit den Umrissen und Farben von Deutschland, überlagert von einem gezeichneten Netzwerk.

ZenDiS: Konsultation zur digitalen Souveränität

[30.03.2026] Dass die Abhängigkeit der öffentlichen Verwaltung von außereuropäischen Technologieanbietern verringert werden muss, ist unstrittig. Gleichzeitig bleibt der Begriff der digitalen Souveränität oft unscharf. Das ZenDiS will dafür nun messbare Kriterien entwickeln – auf Basis eines möglichst breiten Konsens. mehr...

menschenmenge - die meisten personen Männer in hellblauen Oberhemden - in einem modern eingerichteten Konferenzraum.

Schleswig-Holstein: Call for Concepts beim Landesprogramm Offene Innovation

[29.01.2026] Es ist erklärtes Ziel Schleswig-Holsteins, mit Open Source die digitale Souveränität zu sichern und den Digitalstandort zu stärken. Dazu trägt auch das Landesprogramm Offene Innovation bei, mit dem praxisrelevante Open-Source-Projekte in Verwaltung und Zivilgesellschaft gefördert werden. Nun startet die dritte Runde. mehr...

Detailaufnahme einer Computertastatur. Ein Zeigefinger drückt die Taste "Open Source".

openDesk: Arbeitsfähig im Krisenfall

[27.01.2026] In einem Pilotprojekt erproben die Deutsche Rentenversicherung Bund und weitere Sozialversicherer die souveräne Office- und Kollaborationssuite openDesk des ZenDiS – speziell für die Kommunikation im Krisenfall. mehr...

OSBA: Europäische IT gegen digitale Erpressung

[22.01.2026] Digitale Dienste von US-Anbietern können umstandslos blockiert werden, wie der Fall des Internationalen Strafgerichtshofs zeigt. Weitere Fälle könnten folgen. Open-Source-Lösungen bieten eine sichere, europäische Alternative. Die OSBA berät Organisationen beim Umstieg. mehr...