Kapitel II - PFLICHTEN DER WIRTSCHAFTSAKTEURE UND BESTIMMUNGEN IN BEZUG AUF FREIE UND QUELLOFFENE SOFTWARE
24

Artikel 24

Pflichten der Verwalter quelloffener Software

Verordnung (EU) 2024/2847 — veröffentlicht 10. Dezember 2024 · Letzte Prüfung durch Kunnus: März 2026

Schnellantwort für Hersteller

Artikel 24 führt eine neue Akteurkategorie ein: den „Open-Source-Software-Steward“. Stewards sind juristische Personen, die Open-Source-Software systematisch unterstützen und kommerziell verwerten — sie haben reduzierte, aber explizite Pflichten.

Diese Schnellantwort + FAQ ergänzen den Original-Rechtstext mit praxisorientierter Auslegung. Rechtsverbindlich ist allein der Originaltext.

(1)

Verwalter quelloffener Software entwickeln und dokumentieren auf überprüfbare Weise eine Cybersicherheitsstrategie, um die Entwicklung eines sicheren Produkts mit digitalen Elementen sowie einen wirksamen Umgang mit Schwachstellen durch die Entwickler dieses Produkts zu fördern. Diese Strategie fördert auch die freiwillige Meldung von Schwachstellen gemäß Artikel 15 durch die Entwickler dieses Produkts und trägt den Besonderheiten des Verwalters quelloffener Software und den rechtlichen und organisatorischen Vorkehrungen, denen er unterliegt, Rechnung. Diese Strategie umfasst insbesondere Aspekte im Zusammenhang mit der Dokumentation, Behebung und Beseitigung von Schwachstellen und fördert den Austausch von Informationen über aufgedeckte Schwachstellen innerhalb der Open-Source-Gemeinschaft.

(2)

Verwalter quelloffener Software arbeiten auf deren Verlangen mit den Marktüberwachungsbehörden zusammen, um die Cybersicherheitsrisiken zu mindern, die von einem Produkt mit digitalen Elementen ausgehen, das als freie und quelloffene Software gilt. Auf begründetes Verlangen einer Marktüberwachungsbehörde übermitteln Verwalter quelloffener Software dieser Behörde in einer für diese Behörde leicht verständlichen Sprache die in Absatz 1 genannten Unterlagen in Papierform oder in elektronischer Form.

(3)

Die in Artikel 14 Absatz 1 festgelegten Verpflichtungen gelten für Verwalter quelloffener Software, soweit sie an der Entwicklung der Produkte mit digitalen Elementen beteiligt sind. Die in Artikel 14 Absätze 3 und 8 festgelegten Verpflichtungen gelten für Verwalter quelloffener Software, soweit schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit von Produkten mit digitalen Elementen auswirken, Netz- und Informationssysteme beeinträchtigen, die von den Verwaltern quelloffener Software für die Entwicklung solcher Produkte bereitgestellt werden.

Häufige Hersteller-Fragen

Wer gilt als Open-Source-Steward nach Artikel 24?

Juristische Personen, deren Zweck die systematische Unterstützung der Entwicklung kommerziell genutzter Open-Source-Software ist — beispielsweise Apache Software Foundation, Eclipse Foundation, Linux Foundation oder Eigentümerbasen großer kommerzieller OSS-Projekte.

Welche Pflichten haben Stewards?

Reduzierter Umfang gegenüber Herstellern: Cybersicherheits-Policy etablieren, freiwillige Schwachstellen-Offenlegung erleichtern, mit Marktüberwachungsbehörden kooperieren. Aber: keine vollumfänglichen Anhang-I-Anforderungen wie für Hersteller.

Was ist mit nicht-kommerzieller Open-Source-Software?

Bleibt vom CRA grundsätzlich ausgenommen. Erst wenn ein kommerzieller Akteur die OSS in ein Produkt mit digitalen Elementen integriert oder kommerziell vertreibt, greifen die CRA-Pflichten — dann beim integrierenden Hersteller, nicht beim OSS-Projekt.

Verwandte Erwägungsgründe

(4)

CRA-Updates per E-Mail

Fristen, Guidance und Mythos-Faktenchecks rund um den Cyber Resilience Act — kompakt im Newsletter.

Newsletter ansehen

Dieser Text wurde aus der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 übernommen. Die Darstellung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Maßgeblich ist allein der im Amtsblatt der Europäischen Union veröffentlichte Wortlaut. Originaltext auf EUR-Lex