Der Cyber Resilience Act (CRA) bringt die FOSS-Compliance durch die Hintertür in alle Unternehmen.
Wer die regulatorischen Anforderungen erfüllt, insbesondere im Zusammenhang mit der Erstellung einer Software Bill of Materials (SBOM), erlangt zwangsläufig detaillierte Kenntnis über den Einsatz von Open-Source-Komponenten und die damit verbundenen Lizenzpflichten.

Diese Transparenz hat rechtliche Konsequenzen: Während die Pflicht zur Einhaltung von Open-Source-Lizenzen bereits im deutschen Urheberrecht angelegt ist, fehlte es in der Praxis bislang häufig an strukturierten Compliance-Prozessen. Mit dem CRA entfällt dieses "Nichtwissen". Unternehmen wissen künftig nicht nur, ob, sondern auch wie und wie viel FOSS sie einsetzen.

Damit verschiebt sich die Risikolage erheblich: Verstöße gegen Lizenzbedingungen erfolgen nicht mehr fahrlässig, sondern können als vorsätzlich eingeordnet werden – mit entsprechend verschärften zivil- und strafrechtlichen Folgen.

Der Vortrag beleuchtet die Schnittstelle zwischen CRA und FOSS-Compliance und zeigt, warum sich Open-Source-Compliance durch regulatorische Anforderungen faktisch in allen Unternehmen etablieren wird – unabhängig davon, ob dies aktiv adressiert wird oder nicht.