Cyber Resilience Act introduceert Open Source Software Steward

Met de Cyber Resilience Act (CRA) introduceert de EU naast nieuwe beveiligingseisen ook de rol van de Open Source Software Steward. In een eerste whitepaper schetst de Open Regulatory Compliance Working Group (ORC WG) van de Eclipse Foundation wat die nieuwe categorie in de praktijk betekent.

De door de Eclipse Foundation geïnitieerde Open Regulatory Compliance Working Group (ORC WG) heeft haar eerste whitepaper gepubliceerd. In de werkgroep zijn onder meer Microsoft, Siemens, Red Hat en Bosch vertegenwoordigd. Directe aanleiding voor de oprichting is de Cyber Resilience Act (CRA), de Europese verordening die aanvullende en bindende beveiligingseisen introduceert voor producten met digitale elementen.

De CRA moet het beveiligingsniveau van producten met digitale elementen binnen de EU structureel verhogen. De verordening legt daarbij nieuwe verplichtingen op aan fabrikanten en andere schakels in de toeleveringsketen, en kan onder bepaalde voorwaarden ook gevolgen hebben voor partijen uit het opensource-ecosysteem.

Het whitepaper gaat in op openstaande interpretatievragen rond de in de CRA geïntroduceerde rol van de Open Source Software Steward. Volgens een blogpost markeert de verordening een duidelijke verschuiving in verantwoordelijkheden binnen het cybersecuritylandschap van softwareontwikkeling. Stewards worden voor het eerst expliciet als juridische actoren in Europese wetgeving benoemd en vormen daarbij een aparte categorie, los van fabrikanten.

In tegenstelling tot fabrikanten zijn stewards niet onderworpen aan administratieve boetes bij niet-naleving van de CRA. Tegelijkertijd roept de nieuwe status fundamentele vragen op: wat betekent deze rol in de praktijk, welke concrete verplichtingen zijn eraan verbonden en hoe verhouden die zich tot andere partijen in de digitale toeleveringsketen? Het whitepaper probeert die vragen te structureren, zonder daarbij juridisch advies te geven; het document weerspiegelt volgens de werkgroep het gezamenlijke begrip binnen de opensourcegemeenschap.

Het whitepaper beperkt zich tot opensourceprojecten met een formele steward. Volgens het ORC is dat slechts op een minderheid van de projecten van toepassing. Een steward moet kwalificeren als ‘juridische persoon’, bijvoorbeeld een onderneming, terwijl het merendeel van de opensourceprojecten juist niet door bedrijven of stichtingen wordt gedragen.

Het document beoogt evenmin te bepalen of een onderneming als steward van een project moet worden aangemerkt – of mogelijk zelfs als fabrikant in de zin van de CRA. Voor dergelijke kwalificatievragen verwijst de werkgroep naar de afzonderlijke FAQ van de ORC Working Group.

Met het whitepaper positioneert de ORC WG zich nadrukkelijk als interpretatiekader voor het opensource-ecosysteem rond de Cyber Resilience Act. Het document beoogt helderheid te scheppen over definities, verantwoordelijkheden en afbakeningen, maar claimt geen normatieve autoriteit. De uiteindelijke uitleg van de verordening ligt bij de Europese wetgever, nationale markttoezichthouders en – waar nodig – de rechtspraak.

Kern van de analyse is de Open Source Software Steward. Die wordt in de CRA voor het eerst expliciet als juridische actor benoemd en daarmee formeel onderdeel van het regulatoire speelveld. Dat markeert een structurele wijziging: opensource-governance krijgt een plaats in productwetgeving die primair was ontworpen voor fabrikanten van digitale producten.

Het whitepaper omvat 25 pagina’s en is beschikbaar via deze link