Cyber ​​Resilience Act CRA

[Juhu]

Wie ich kürzlich gelesen habe, gibt es einen (neuen) Gesetzentwurf der EU-Kommission.
Der Inhalt besagt, dass es für Hard- und Software-Anbietern verpflichtend ist diese auch zu warten und Fehler zu beheben. Außerdem müssen alle Funktionen nach bestimmten Richtlinien dokumentiert und lückenlos nachvollziehbar sein.
Ebenso die Tests, Fehlerbehebungen etc. Ebenso müssen Sicherheitslöcher geschlossen und aufgezeigt werden.

Das klingt ja eigentlich gut. Google müsste also seine Android-Versionen bis zum Ende des Life-Cycle mit Patches versorgen.
Naja nicht Google sondern die Hardware-Hersteller bzw doch Google oder beide?
Aber was macht die open-Source? Debian muss Ubuntu also bis Ende des Ubuntu-Release-Zyklus Patches anbieten und Ubuntu dann dem Enduser. Aber Debian ist ja nicht der Ersteller aller Software. Da gibt es noch jede menge Entwickler, die etwas abliefern.
Wenn ich jetzt eine Zeile im Unix-kern ändere dann kommt u.U. diese Zeile in ein Ubuntu und bleibt in diesem Release ca. 10 -15 Jahre aktiv. Ich müsste mir dann alle Dokumentation, Testergebnisse dieses und allen nachfolgenden Releases jeweils 10-15 Jahre aufheben. Das gilt übrigens auch für Dienstleistungen.

Nicht das mich das stört, denn mit ~80 habe ich sicher (sofern ich es erlebe) andere Probleme

Lange Rede, aber da könnte eine Lawine ins rollen kommen.
Wie seht ihr das?

Wer Nachlesen möchte :

https://linuxnews.de/debian-bezieht-ste ... ience-act/
https://www.europarl.europa.eu/legislat ... lience-act
https://eur-lex.europa.eu/legal-content ... 2022PC0454

[haidi]

Noch ist nicht aller Tage Abend. Das ist einmal der Entwurf und jetzt werden nicht nur Google, Windows und Konsorten dagegen sein und dann wird man sehen, was bleibt.

[Juhu]

aja das glaube ich nicht so ganz,,,,,,

1 December 2023 - Political agreement on the Cyber Resilience Act.

The European Commission welcomes the political agreement reached between the European Parliament and the Council on the Cyber Resilience Act, proposed by the Commission in September 2022.

The agreement reached is now subject to formal approval by both the European Parliament and the Council. Once adopted, the Cyber Resilience Act will enter into force on the 20th day following its publication in the Official Journal.

Upon entry into force, manufacturers, importers and distributors of hardware and software products will have 36 months to adapt to the new requirements, with the exception of a more limited 21-month grace period in relation to the reporting obligation of manufacturers for incidents and vulnerabilities.

Wenn ich das richtig interpretiere, sind noch 35 Monate Zeit
Aber was bedeutet das genau für mich?
Wenn ich einen Open-Source-Server betreibe ,bin ich dann der "Hersteller."?
Wenn ich jemanden einen solchen installiere, bin ich dann haftbar?

Es wird auf jeden Fall interessant.

[mwildam]

Leider beobachte ich (branchenunabhängig) auch Veränderungen in der Gesetzgebung, die potentiell für kleinere Unternehmen schwerer zu stemmen sind, während größere Konzerne das leichter umsetzen können (sei es, weil sie eh schon riesige Rechtsabteilungen, Administration und Rechenzentren haben).

Auch hier ist irgendwie meine erste Assoziation eine Forderung, daß die Firmen Verantwortung übernehmen müssen und meine zweite Assoziation gleich hinterdrein, daß große Konzerne das leichter umsetzen können oder die Strafen aus der Portokassa zahlen, während kleinere Firmen schon im Rechts- und Bürokratie-Kram untergehen und private Freeware- und Opensource-Programmierer damit sowieso ganz weg vom Fenster sind. Also was das Angebot an Software betrifft, heißt das sicher nichts Gutes und wird wohl eine Innovationsbremse werden.

Meine dritte Assoziation ist: Der ganzen zusätzliche Extraaufwand,wer wird den bezahlen? - Was wird das für OpenSource-Vereinigungen bedeuten?

Und ich frage mich, ob das grundsätzlich die Situation wirklich verbessern wird. Denn eigentlich sollte es alleine wegen dem Ruf und der Qualität der angebotenen Software und Dienste ja schon irgendwie selbstverständlich sein, daß man um Sicherheit bemüht ist. Tja, aber vielleicht findet sich gar nicht genügend Personal oder die Probleme sind in der steigenden Komplexität auch begründet. Aber ich glaube, das sind für die Politiker wohl eher nebensächliche Fakten.