25.03.2026 –, HS1 (ZHG 011)
Der Vortrag beleuchtet den aktuellen Stand des EU-Cyber Resilience Act (CRA) und dessen Auswirkungen auf Open-Source-Projekte. Vorgestellt werden die aktuellen Arbeitsstände der beiden thematisch eng verbundenen Arbeitsgruppen – der FOSSGIS-AG CRA und der OSBA-AG CRA – sowie die Bedeutung der ab September 2026 geltenden Meldepflichten. Zudem werden notwendige Maßnahmen und Folgen je nach Rolle innerhalb von Open-Source-Projekten aufgezeigt – vom Entwickelnden bis zur anwendenden Stelle.
Bis März 2026 kann sich im Umfeld des EU-Cyber Resilience Act (CRA) noch vieles verändern. Einige rechtliche Details und technische Standards werden bis dahin aber voraussichtlich konkreter vorliegen. Der Vortrag beleuchtet den aktuellen Stand des CRA und seine absehbaren Auswirkungen auf Open-Source-Projekte. Dabei werden auch Themen und Ergebnisse vorgestellt, die in den beiden CRA-Arbeitsgruppen von FOSSGIS und OSBA diskutiert werden. Im Mittelpunkt steht, welche Anforderungen und Änderungen sich abzeichnen, welche Bedeutung die ab September 2026 geltenden Meldepflichten haben und welche Maßnahmen sich daraus für Open-Source-Projekte ableiten lassen. Anhand von Beispielen – etwa aus dem QGIS-Projekt – wird gezeigt, was Projekte bereits heute beachten können. Der Beitrag gibt praxisnahe Hinweise, worauf verschiedene Rollen – von Entwickelnden bis zu Anwendenden – im Hinblick auf den CRA achten sollten, und verweist auf hilfreiche Ansätze wie die OpenSSF Baseline.
Seit mehr als vier Jahren bin ich als Softwareentwickler im Bundesamt für Kartographie und Geodäsie (BKG) im Referat GD4 – Entwicklung und Forschung tätig. Noch länger bin ich aktives Mitglied im FOSSGIS e.V. und engagiere mich dort unter anderem in den Arbeitsgruppen Öffentliche Ausschreibung sowie Cyber Resilience Act. Außerdem bin ich über den FOSSGIS e.V. in der OSBA (Open Source Business Alliance) vernetzt, insbesondere in der Taskforce Cyber Resilience Act.
Inhaltlich beschäftigen mich vor allem Secure Software Development Lifecycle (SSDLC), Supply-Chain-Security und digitale Souveränität. Meine Mitgliedschaften bei OWASP und der Linux Foundation stehen für den kontinuierlichen Austausch und das Lernen in der Community – mit dem Ziel, gemeinsam tragfähige und sichere Entwicklungsprozesse zu stärken. Leitgedanke ist: Security ist ein Prozess – und ein wichtiger Teil davon ist, verbreitete Mythen über Open Source durch Praxis, Transparenz und Zusammenarbeit einzuordnen.