Artikel 25 Sicherheitsbescheinigung für freie und quelloffene Software

Software und Daten, die offen geteilt werden und die Nutzer frei abrufen, nutzen, verändern und weiter verteilen können, auch in veränderter Form, können zu Forschung und Innovation auf dem Markt beitragen. Zur Förderung der Entwicklung und des Einsatzes von freier und quelloffener Software, insbesondere durch Kleinstunternehmen sowie kleine und mittlere Unternehmen, einschließlich Start-up-Unternehmen, Einzelpersonen, gemeinnützige Organisationen und akademische Forschungseinrichtungen, sollte bei der Anwendung dieser Verordnung auf Produkte mit digitalen Elementen, die als freie und quelloffene Software eingestuft und zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit bereitgestellt werden, die Arten der verschiedenen Entwicklungsmodelle für Software berücksichtigt werden, die im Rahmen von Lizenzen für freie und quelloffene Software vertrieben und entwickelt wird.

Unter freier und quelloffener Software ist eine Software zu verstehen, deren Quellcode offen geteilt wird und in deren Lizenz alle erforderlichen Rechte vorgesehen sind, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen. Freie und quelloffene Software wird offen entwickelt, gepflegt und verteilt, auch über Online-Plattformen. In Bezug auf Wirtschaftsakteure, die in den Anwendungsbereich dieser Verordnung fallen, sollte nur freie und quelloffene Software, die auf dem Markt bereitgestellt und somit zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit verfügbar gemacht wird, in den Anwendungsbereich dieser Verordnung fallen. Die bloßen Umstände, unter denen das Produkt mit digitalen Elementen entwickelt wurde, oder die Art und Weise, wie die Entwicklung finanziert wurde, sollten daher bei der Bestimmung des kommerziellen oder nichtkommerziellen Charakters der entsprechenden Tätigkeit nicht berücksichtigt werden. Insbesondere sollte für die Zwecke dieser Verordnung und in Bezug auf die Wirtschaftsakteure, die in ihren Anwendungsbereich fallen, die Bereitstellung von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft und von ihren Herstellern nicht zu Geld gemacht werden, nicht als Geschäftstätigkeit betrachtet werden, damit sichergestellt ist, dass klar zwischen der Entwicklungs- und der Lieferphase unterschieden wird. Darüber hinaus sollte die Lieferung von Produkten mit digitalen Elementen, die als freie und quelloffene Softwarekomponenten eingestuft werden und zur Integration durch andere Hersteller in ihre eigenen Produkte mit digitalen Elementen bestimmt sind, nur dann als Bereitstellung auf dem Markt betrachtet werden, wenn die Komponente von ihrem ursprünglichen Hersteller zu Geld gemacht wird. Beispielsweise sollte allein der Umstand, dass ein Produkt quelloffener Software mit digitalen Elementen von den Herstellern finanziell unterstützt wird oder dass Hersteller zur Entwicklung eines solchen Produkts beitragen, für sich genommen nicht ausschlaggebend für die Feststellung sein, dass die Tätigkeit kommerzieller Art ist. Fernerhin sollte das bloße Vorhandensein regelmäßiger Veröffentlichungen von Versionen für sich genommen nicht zu der Schlussfolgerung führen, dass ein Produkt mit digitalen Elementen im Rahmen einer Geschäftstätigkeit geliefert wird. Schließlich sollte für die Zwecke dieser Verordnung die Entwicklung von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft werden, durch gemeinnützige Organisationen nicht als kommerzielle Tätigkeit betrachtet werden, sofern die Organisation so angelegt ist, dass sichergestellt ist, dass alle Einnahmen nach Abzug der Kosten zur Verwirklichung gemeinnütziger Ziele verwendet werden. Diese Verordnung gilt nicht für natürliche oder juristische Personen, die mit Quellcode zu Produkten mit digitalen Elementen beitragen, die als freie und quelloffene Software eingestuft sind und nicht ihrer Verantwortung unterliegen.

Angesichts der Bedeutung für die Cybersicherheit, die vielen Produkten mit digitalen Elementen zukommt, die als freie und quelloffene Software eingestuft sind und im Sinne dieser Verordnung veröffentlicht, aber nicht auf dem Markt bereitgestellt werden, sollten juristische Personen, die die Entwicklung solcher für kommerzielle Tätigkeiten bestimmte Produkte dauerhaft unterstützen und eine wichtige Rolle bei der Sicherstellung der Brauchbarkeit dieser Produkte spielen (Verwalter quelloffener Software), einer vereinfachten und maßgeschneiderten Regulierungsregelung unterworfen werden. Zu den Verwaltern quelloffener Software gehören bestimmte Stiftungen sowie Einrichtungen, die freie und quelloffene Software im wirtschaftlichen Kontext entwickeln und veröffentlichen, einschließlich gemeinnütziger Einrichtungen. Bei der Regulierung sollten ihre Besonderheiten und die Vereinbarkeit mit der Art der auferlegten Verpflichtungen berücksichtigt werden. Es sollten nur Produkte mit digitalen Elementen abgedeckt sein, die als freie und quelloffene Software gelten und letztlich für kommerzielle Tätigkeiten wie die Integration in kommerzielle Dienste oder kostenpflichtige Produkte mit digitalen Elementen bestimmt sind. Für die Zwecke dieser Regulierungsregelung umfasst die beabsichtigte Integration in kostenpflichtige Produkte mit digitalen Elementen Fälle, in denen die Hersteller, die eine Komponente in ihre eigenen Produkte mit digitalen Elementen integrieren, entweder regelmäßig zur Entwicklung dieser Komponente beitragen oder regelmäßige finanzielle Unterstützung leisten, um die Kontinuität eines Softwareprodukts sicherzustellen. Die dauerhafte Unterstützung der Entwicklung eines Produkts mit digitalen Elementen umfasst unter anderem das Hosting und die Verwaltung von Plattformen für die Zusammenarbeit bei der Softwareentwicklung, das Hosting von Quellcode oder Software, das Verwalten oder Administrieren von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft sind, sowie die Steuerung der Entwicklung solcher Produkte. Da in der vereinfachten und maßgeschneiderten Regulierungsregelung für Verwalter quelloffener Software nicht dieselben Verpflichtungen wie für Hersteller im Rahmen dieser Verordnung vorgesehen sind, sollte es ihnen nicht gestattet sein, die CE-Kennzeichnung auf Produkten mit digitalen Elementen, deren Entwicklung sie unterstützen, anzubringen.

Zur Unterstützung und Erleichterung der Sorgfaltspflicht von Herstellern, die freie und quelloffene Softwarekomponenten, die nicht den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen unterliegen, in ihre Produkte mit digitalen Elementen integrieren, sollte die Kommission die Möglichkeit haben, freiwillige Sicherheitsbescheinigungsprogramme einzurichten, entweder durch einen delegierten Rechtsakt zur Ergänzung dieser Verordnung oder durch das Anfordern eines europäischen Schemas für die Cybersicherheitszertifizierung gemäß Artikel 48 der Verordnung (EU) 2019/881, das den Besonderheiten der Modelle für die Entwicklung freier und quelloffener Software Rechnung trägt. Die Sicherheitsbescheinigungsprogramme sollten so konzipiert sein, dass nicht nur natürliche oder juristische Personen, die ein Produkt mit digitalen Elementen, die als freie und quelloffene Software eingestuft sind, entwickeln oder dazu beitragen, eine Sicherheitsbescheinigung initiieren oder finanzieren können, sondern auch Dritte, wie Hersteller, die solche Produkte mit digitalen Elementen in ihre eigenen Produkte mit digitalen Elementen integrieren, sowie Nutzer oder öffentliche Verwaltungen der Union und der Mitgliedstaaten.

Die Wirksamkeit der Durchführung dieser Verordnung wird auch davon abhängen, ob angemessene Kompetenzen im Bereich der Cybersicherheit verfügbar sind. Auf Unionsebene wurde in verschiedenen programmatischen und politischen Dokumenten, darunter in der Mitteilung der Kommission vom 18. April 2023 mit dem Titel „Schließung der Fachkräftelücke im Cybersicherheitsbereich zur Förderung der Wettbewerbsfähigkeit, des Wachstums und der Resilienz in der EU“ und in den Schlussfolgerungen des Rates vom 22. Mai 2023 zur Cyberabwehrpolitik der EU, eingeräumt, dass in der Union ein Qualifikationsdefizit im Bereich der Cybersicherheit besteht und die entsprechende Problematik sowohl im öffentlichen als auch im privaten Sektor vorrangig angegangen werden muss.. Um eine wirksame Durchführung dieser Verordnung sicherzustellen, sollten die Mitgliedstaaten dafür Sorge tragen, dass ausreichende Ressourcen für eine adäquate Personalausstattung der Marktüberwachungsbehörden und Konformitätsbewertungsstellen zur Verfügung stehen, damit diese ihre in dieser Verordnung festgelegten Aufgaben erfüllen können. Im Rahmen dieser Maßnahmen sollten die Mobilität der Arbeitskräfte im Bereich der Cybersicherheit und die damit verbundenen Karrierewege verbessert werden. Die Maßnahmen sollten auch dazu beitragen, die Beschäftigten im Bereich der Cybersicherheit resilienter und inklusiver zu machen, auch im Hinblick auf die Gleichstellung der Geschlechter. Die Mitgliedstaaten sollten daher Vorkehrungen treffen, damit die entsprechenden Aufgaben von angemessen ausgebildeten Fachkräften mit den erforderlichen Cybersicherheitskompetenzen wahrgenommen werden. Ebenso sollten die Hersteller sicherstellen, dass ihr Personal über die erforderlichen Fähigkeiten verfügt, um ihren in dieser Verordnung festgelegten Verpflichtungen nachzukommen. Die Mitgliedstaaten und die Kommission sollten im Einklang mit ihren Vorrechten und Zuständigkeiten und den ihnen durch diese Verordnung übertragenen besonderen Aufgaben Maßnahmen ergreifen, um Hersteller, insbesondere Kleinstunternehmen sowie kleine und mittlere Unternehmen, einschließlich Start-up-Unternehmen, auch in Bereichen wie dem Aufbau von Kompetenzen, zu unterstützen, damit sie ihren Verpflichtungen aus dieser Verordnung nachkommen können. Da die Mitgliedstaaten gemäß der Richtlinie (EU) 2022/2555 verpflichtet sind, im Rahmen ihrer nationalen Cybersicherheitsstrategien Maßnahmen zur Förderung und Entwicklung von Schulungen im Bereich der Cybersicherheit und der Cybersicherheitskompetenzen zu ergreifen, können die Mitgliedstaaten bei der Verabschiedung solcher Strategien auch erwägen, den sich aus dieser Verordnung ergebenden Bedarf an Cybersicherheitskompetenzen zu decken, einschließlich des Bedarfs an Umschulung und Weiterqualifizierung.

Wenn die Hersteller in der Entwurfs- und Entwicklungsphase von Dritten bezogene Komponenten in Produkte mit digitalen Elementen integrieren, sollten sie in Bezug auf diese Komponenten, einschließlich freier und quelloffener Softwarekomponenten, die nicht auf dem Markt bereitgestellt wurden, die gebotene Sorgfalt walten lassen, um sicherzustellen, dass die Produkte im Einklang mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt werden. Der angemessene Umfang der Sorgfaltspflicht richtet sich nach der Art und dem Ausmaß des Cybersicherheitsrisikos, das mit einer bestimmten Komponente verbunden ist; dabei sollten zu diesem Zweck eine oder mehrere der folgenden Maßnahmen Berücksichtigung finden: gegebenenfalls Überprüfung, ob der Hersteller einer Komponente die Konformität mit dieser Verordnung nachgewiesen hat, einschließlich einer Kontrolle der Frage, ob die Komponente bereits mit der CE-Kennzeichnung versehen ist; Überprüfung, ob für eine Komponente regelmäßig Sicherheitsaktualisierungen vorgenommen werden, etwa durch Kontrolle der bisherigen Sicherheitsaktualisierungen; Überprüfung, ob eine Komponente frei von den Schwachstellen ist, die in der gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichteten europäischen Schwachstellendatenbank oder anderen öffentlich zugänglichen Schwachstellendatenbanken registriert sind, oder Durchführung zusätzlicher Sicherheitsprüfungen. Die in dieser Verordnung festgelegten Pflichten zum Umgang mit Schwachstellen, die die Hersteller beim Inverkehrbringen eines Produkts mit digitalen Elementen und während des Unterstützungszeitraums erfüllen müssen, gelten für Produkte mit digitalen Elementen in ihrer Gesamtheit, einschließlich aller integrierten Komponenten. Stellt der Hersteller des Produkts mit digitalen Elementen im Rahmen seiner Sorgfaltspflicht eine Schwachstelle in einer Komponente, auch in einer freien und quelloffenen Komponente, fest, sollte er die Person oder die Einrichtung, die die Komponente hergestellt hat bzw. wartet, informieren, die Schwachstelle beheben und der Person oder der Einrichtung gegebenenfalls den eingesetzten Sicherheits-Patch zur Verfügung stellen.

Unmittelbar nach dem Übergangszeitraum für die Anwendung dieser Verordnung ist ein Hersteller eines Produkts mit digitalen Elementen, das eine oder mehrere Komponenten enthält, die von Dritten bezogen werden, die ebenfalls dieser Verordnung unterliegen, möglicherweise nicht in der Lage, im Rahmen seiner Sorgfaltspflicht zu überprüfen, ob die Hersteller dieser Komponenten die Konformität mit dieser Verordnung nachgewiesen haben, indem er beispielsweise kontrolliert, ob die Komponenten bereits die CE-Kennzeichnung tragen. Dies kann der Fall sein, wenn die Komponenten integriert wurden, bevor diese Verordnung auf die Hersteller dieser Komponente anwendbar wird. In einem solchen Fall sollte ein Hersteller, der solche Komponenten integriert, seiner Sorgfaltspflicht auf andere Weise nachkommen.