Fit für den Cyber Resilience Act: Ein EU-gefördertes Open-Source-Toolkit für sichere Software-Lieferketten und Compliance

Mit dem Cyber Resilience Act (CRA) hat die Europäische Union einen regulatorischen Rahmen geschaffen, der die Cybersicherheit von Produkten mit digitalen Elementen grundlegend stärken soll. Gleichzeitig entstehen dadurch neue Anforderungen an Hersteller, insbesondere im Umgang mit Software-Lieferketten und Drittanbieterkomponenten. Für viele Unternehmen – und insbesondere für kleine und mittlere Unternehmen (KMU) – stellt die praktische Umsetzung dieser Anforderungen eine erhebliche Herausforderung dar.

Moderne Softwareprodukte bestehen heute zu einem überwältigenden Anteil aus Abhängigkeiten von Drittanbietern. Schätzungen zufolge können bis zu 99,9 % eines Software-Stacks aus externen Komponenten bestehen, von denen der Großteil Free and Open Source Software (FOSS) ist. Diese Entwicklung beschleunigt Innovation und reduziert Entwicklungskosten, erhöht jedoch gleichzeitig die Komplexität bei Transparenz, Schwachstellenmanagement und regulatorischer Compliance.

Der CRA adressiert diese Problematik explizit. Artikel 10(4) verpflichtet Hersteller sicherzustellen, dass integrierte Drittanbieterkomponenten – einschließlich Open Source – die Cybersicherheit des Produkts nicht beeinträchtigen. Gerade für KMU wird diese Sorgfaltspflicht angesichts komplexer und dynamischer Software-Lieferketten schnell zu einer organisatorischen und technischen Herausforderung.

Vor diesem Hintergrund arbeitet ein von der Europäischen Union gefördertes Konsortium – bestehend aus Double Open, Eclipse Foundation, AboutCode, Expertware, Red Alert Labs, Bitsea und der European Digital SME Alliance – an der Entwicklung des FOSS Compliance Toolkit. Ziel ist eine frei verfügbare Open-Source-Toolsuite, die KMU dabei unterstützt, ihre Software-Abhängigkeiten transparent zu verwalten, Schwachstellen systematisch zu adressieren und die Anforderungen des Cyber Resilience Act effizient umzusetzen. Das Toolkit verfolgt einen offenen, interoperablen und praxisorientierten Ansatz, der bestehende Open-Source-Werkzeuge, Standards und Best Practices kombiniert, um Unternehmen konkrete Unterstützung entlang des gesamten Software-Lebenszyklus zu bieten.

In unserem Beitrag beleuchten wir:

• die rechtlichen und technischen Auswirkungen des Cyber Resilience Act auf moderne Software-Lieferketten,
• die besonderen Herausforderungen für KMU bei der Verwaltung von FOSS-Abhängigkeiten und Schwachstellen,
• den konzeptionellen Ansatz und die Architektur des FOSS Compliance Toolkit,
• sowie erste Ergebnisse, zentrale Toolkit-Komponenten und praxisnahe Anwendungsfälle.

Der Beitrag zeigt, wie offene Technologien und kollaborative Open-Source-Ansätze dazu beitragen können, regulatorische Anforderungen wie den CRA praktikabel umzusetzen – ohne Innovation zu behindern. Die Session richtet sich an Unternehmen und Organisationen, die sich an der Schnittstelle von Cybersicherheit, Regulierung und Open-Source-Software bewegen, und bietet konkrete Einblicke in Ansätze zur CRA-konformen Gestaltung moderner Software-Lieferketten.

Wir freuen uns darauf, unsere Erfahrungen zu teilen und gemeinsam mit der Community der Digitalwirtschaft über praktikable Wege zur Umsetzung des Cyber Resilience Act zu diskutieren.