CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
RolleArt. 3(14)

Open-Source-Verwalter

Ein Open-Source-Software-Verwalter ist jede juristische Person, die die Entwicklung eines freien und quelloffenen Softwareprodukts systematisch unterstützt, dessen bestimmungsgemäßer Einsatz vernünftigerweise als kommerziell zu erwarten ist.

Wichtige Fakten

  • Neue Kategorie, die durch den CRA eingeführt wurde, um OSS ohne Bestrafung einzelner Entwickler anzugehen
  • Geringere Pflichten als Hersteller (keine CE-Kennzeichnung, kein DoC)
  • Muss eine Cybersicherheitsrichtlinie einrichten und mit Behörden kooperieren
  • Kommerzielle-Aktivitäts-Test bestimmt, ob ein OSS-Projekt im Anwendungsbereich liegt
  • Verwalter-Status gilt nicht für nachgelagerte Benutzer, die die Software paketieren/verteilen

Wichtige Fristen

1

11. Dezember 2024 — CRA tritt in Kraft

Die Verordnung ist rechtsgültig. Produkte, die ab diesem Datum auf den Markt gebracht werden, müssen ab den Anwendungsdaten dem CRA entsprechen.

11. September 2026 — Meldepflichten für Schwachstellen gelten

Die Meldung von Schwachstellen und Vorfällen an ENISA gemäß Art. 14 wird obligatorisch. Dies ist die erste harte Frist. Hersteller müssen ihre Meldeprozesse vor diesem Datum eingerichtet haben.

3

11. Juni 2027 — Benennung von Konformitätsbewertungsstellen

Die Mitgliedstaaten müssen der Kommission Konformitätsbewertungsstellen notifizieren.

4

11. Dezember 2027 — Vollständige Verordnung gilt

Alle CRA-Anforderungen gelten für alle betroffenen Produkte. Es dürfen keine neuen Produkte auf den EU-Markt gebracht werden, die nicht konform sind.

Pflichten (5)

OBL-ART23-01Binding

Aufzeichnungen zur Lieferkettennachverfolgbarkeit führen und auf Anfrage bereitstellen

Alle Wirtschaftsakteure müssen auf Anfrage der Marktüberwachungsbehörden in der Lage sein, (a) jeden Wirtschaftsakteur zu benennen, der ihnen ein Produkt geliefert hat, und (b) jeden Wirtschaftsakteur, dem sie ein Produkt geliefert haben. Die Aufzeichnungen sind ab jeder Transaktion 10 Jahre lang aufzubewahren.

Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART24-01Binding

Cybersicherheitsrichtlinie für Open-Source-Software einrichten und dokumentieren

Betreiber von Open-Source-Software müssen eine Cybersicherheitsrichtlinie einrichten und dokumentieren, die die Entwicklung eines sicheren Produkts fördert und eine effektive Behandlung von Schwachstellen in den von ihnen betreuten Open-Source-Software-Komponenten ermöglicht.

Art. 24(1)
Open-source steward
OBL-ART24-02Binding

Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden

Betreiber von Open-Source-Software müssen das als Koordinator benannte CSIRT (Computer Security Incident Response Team) unverzüglich über jede aktiv ausgenutzte Schwachstelle in ihren Open-Source-Software-Komponenten sowie über jeden schwerwiegenden Vorfall, der die Sicherheit dieser Komponenten beeinträchtigt, informieren.

Art. 24(2)
Open-source steward
OBL-ART24-03Binding

Mit Marktüberwachungsbehörden kooperieren

Betreiber von Open-Source-Software müssen auf Anfrage mit Marktüberwachungsbehörden kooperieren und alle für die Erfüllung ihrer Regulierungsaufgaben erforderlichen Informationen bereitstellen.

Art. 24(3)
Open-source steward
OBL-ART24-04Binding

Technische Dokumentation auf Anfrage erstellen

Auf Anfrage von Marktüberwachungsbehörden müssen Betreiber von Open-Source- Software technische Dokumentation für die von ihnen verwalteten Open-Source- Software-Komponenten erstellen und aktuell halten, die eine Beurteilung der Cybersicherheits-Konformität ermöglicht.

Art. 24(4)
Open-source steward

Bereit, tiefer einzutauchen?

Erkunden Sie die vollständige Pflichtenbibliothek, verstehen Sie Ihre Rolle oder sehen Sie den regulatorischen Zeitplan.

Pflichtenbibliothek Zeitplan anzeigen
Open-Source-Verwalter obligations — CRA-Compliance-Hub