CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
RolArt. 3(14)

Open-source beheerder

Een open-sourcesoftwarebeheerder is elke rechtspersoon die systematische ondersteuning biedt voor de ontwikkeling van een vrij en open-sourceproduct waarvan redelijkerwijs kan worden verwacht dat het beoogde gebruik commercieel is.

Belangrijke feiten

  • Nieuwe categorie ingevoerd door de CRA om OSS aan te pakken zonder individuele ontwikkelaars te bestraffen
  • Lichtere verplichtingen dan fabrikanten (geen CE-markering, geen DoC)
  • Moet een cyberbeveiligingsbeleid instellen en samenwerken met autoriteiten
  • Commerciële-activiteitstest bepaalt of een OSS-project binnen het toepassingsgebied valt
  • Beheerdersstatus is niet van toepassing op downstream gebruikers die de software verpakken/distribueren

Belangrijke deadlines

1

11 december 2024 — CRA treedt in werking

De verordening is juridisch van kracht. Producten die vanaf deze datum op de markt worden gebracht, moeten voldoen aan de CRA zodra de toepassingsdata zijn bereikt.

11 september 2026 — Meldingsverplichtingen voor kwetsbaarheden zijn van toepassing

Het melden van kwetsbaarheden en incidenten aan ENISA op grond van art. 14 wordt verplicht. Dit is de eerste harde deadline. Fabrikanten moeten hun meldingsprocessen vóór deze datum op orde hebben.

3

11 juni 2027 — Kennisgeving conformiteitsbeoordelingsinstanties

Lidstaten moeten conformiteitsbeoordelingsinstanties bij de Commissie aanmelden.

4

11 december 2027 — Volledige verordening is van toepassing

Alle CRA-vereisten zijn van toepassing op alle betrokken producten. Er mogen geen nieuwe niet-conforme producten op de EU-markt worden gebracht.

Verplichtingen (5)

OBL-ART23-01Binding

Traceerbaarheidsgegevens van de toeleveringsketen bijhouden en op verzoek verstrekken

Alle marktdeelnemers moeten op verzoek van markttoezichtautoriteiten in staat zijn (a) elke marktdeelnemer te identificeren die hen een product heeft geleverd en (b) elke marktdeelnemer aan wie zij een product hebben geleverd. Gegevens moeten 10 jaar worden bewaard vanaf elke transactie.

Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART24-01Binding

Een cyberbeveiligingsbeleid voor open-sourcesoftware opstellen en documenteren

Beheerders van open-sourcesoftware moeten een cyberbeveiligingsbeleid opstellen en documenteren dat de ontwikkeling van een veilig product bevordert en een effectieve afhandeling van kwetsbaarheden in de open-sourcesoftware-componenten die zij ondersteunen mogelijk maakt.

Art. 24(1)
Open-source steward
OBL-ART24-02Binding

Actief uitgebuite kwetsbaarheden en ernstige incidenten melden

Beheerders van open-sourcesoftware moeten de relevante CSIRT (computer security incident response team) die als coördinator is aangewezen onverwijld informeren over elke actief uitgebuite kwetsbaarheid in hun open-sourcesoftware-componenten, alsook over elk ernstig incident dat de beveiliging van die componenten treft.

Art. 24(2)
Open-source steward
OBL-ART24-03Binding

Samenwerken met markttoezichtautoriteiten

Beheerders van open-sourcesoftware moeten op verzoek samenwerken met markttoezichtautoriteiten en alle informatie verstrekken die nodig is voor de uitvoering van hun regelgevingstaken.

Art. 24(3)
Open-source steward
OBL-ART24-04Binding

Op verzoek technische documentatie opstellen

Op verzoek van markttoezichtautoriteiten moeten beheerders van open-source- software technische documentatie opstellen en actueel houden voor de open- sourcesoftware-componenten die zij beheren, voldoende om beoordeling van cyberbeveiligingsnaleving mogelijk te maken.

Art. 24(4)
Open-source steward

Klaar om dieper te gaan?

Verken de volledige verplichtingenbibliotheek, begrijp uw rol of bekijk de tijdlijn.

Verplichtingenbibliotheek Tijdlijn bekijken
Open-source beheerder obligations — CRA-compliancehub