Moderne Produkte bestehen zu einem erheblichen Anteil aus Open Source Software (OSS). Was Entwicklungsgeschwindigkeit und Innovation fördert, schafft zugleich komplexe Abhängigkeiten: Eine einzige Schwachstelle in einer Open-Source-Bibliothek kann ganze Produktportfolios gefährden – doch vielen Herstellern fehlt die Transparenz, um Betroffenheit überhaupt festzustellen. Ohne klare Strukturen und definierte Abläufe wird aus einer technischen Sicherheitslücke schnell ein unkontrollierbares Geschäftsrisiko.
Der Cyber Resilience Act (CRA) setzt genau hier an. Ab 2026/2027 werden strukturierte Sicherheitsprozesse und ein professionelles OSS-Management zur Voraussetzung für den Marktzugang in der EU. Open Source bleibt ein zentrales Element moderner Technologien – wird aber gleichzeitig zu einem wesentlichen Compliance-Faktor. Unternehmen benötigen klare Richtlinien, Rollen, Lieferkettentransparenz und ein Software Bill of Materials (SBOM), um die Anforderungen zuverlässig zu erfüllen. Wer jetzt nicht handelt, gefährdet seinen Marktzugang in der EU.
Anforderungen des CRA und die Rolle von Open Source Software-Management
Der CRA schafft erstmals einheitliche, verpflichtende Sicherheitsanforderungen für Produkte mit digitalen Elementen – inklusive der verwendeten Open-Source-Komponenten. Unternehmen müssen sicherstellen, dass Produkte ohne bekannte, ausnutzbare Schwachstellen in Verkehr gebracht werden. Cyber Security wird somit für Unternehmen zu Pflichtaufgabe. Dafür sind kontinuierliche Schwachstellenprüfungen, zeitnahe Behebung und gegebenenfalls die Rückmeldung von Security-Fixes an die Community erforderlich. Zusätzlich verlangt der CRA definierte Supportzeiträume und klare Meldepflichten bei schwerwiegenden Sicherheitsvorfällen.
Für Unternehmen ergeben sich daraus konkrete Veränderungen:
- Produktverantwortliche benötigen Transparenz über eingesetzte Open Source Software-Komponenten und deren Risikoauswirkungen.
- Entwicklung und Betrieb müssen Prozesse für regelmäßige Vulnerability-Scans, Patch-Management und sichere Upstream-Interaktion etablieren.
- Governance und Einkauf brauchen klare, CRA-konforme Compliance‑Richtlinien für den OSS-Einsatz, Zulassungsprozesse sowie Anforderungen an Lieferanten.
Die Software Bill of Materials (SBOM) als notwendiges Transparenzinstrument
Die Software Bill of Materials ist ein Kernelement des CRA. Sie dokumentiert alle Softwarebestandteile und Abhängigkeiten in einem standardisierten Format wie SPDX oder CycloneDX. Neben dem regulatorischen Pflichtcharakter bietet sie einen praktischen Mehrwert: SBOMs ermöglichen eine schnelle Einschätzung, ob neue Schwachstellen ein Produkt betreffen, erleichtern Audits und können eine gemeinsame Informationsbasis für Kunden und Behörden schaffen. In der Praxis hat sich der vollständig toolgestützte Aufbau von SBOMS als effiziente Vorgehensweise etabliert.
Sonderstellung von Open Source Software Stewards im CRA
Besondere Bedeutung kommt den Verwaltern quelloffener Software zu. Hierzu zählen beispielsweise Stiftungen wie die Eclipse Foundation oder die Apache Software Foundation, die große OSS-Projekte koordinieren. Sie selbst bringen keine CE-Kennzeichnung an, müssen jedoch eine Cybersicherheitsstrategie vorhalten, relevante Dokumente bereitstellen und mit Behörden zusammenarbeiten. Dadurch wird die Sicherheit zentraler OSS-Ökosysteme gestärkt und zugleich die Innovationsfähigkeit der Community gewahrt. PwC unterstützt Unternehmen dabei, CRA-Readiness gezielt aufzubauen und das OSS-Management nachhaltig zu verankern.
„Der Cyber Resilience Act markiert den Übergang von Best Practices zur Erfüllung regulatorischen Anforderungen. Für Unternehmen bedeutet das: Open Source Software muss künftig vor allem sicher, steuerbar und transparent gemanagt werden.“
Der Autor
Follow us
