<!DOCTYPE html>
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Hallo Mitglieder der AG CRA im FOSSGIS,</p>
<p>in Vorbereitung auf unser Online-Treffen morgen, 2. Jun. um 15:00
Uhr (<a class="moz-txt-link-freetext" href="https://meet.fossgis.de/cra">https://meet.fossgis.de/cra</a>) habe ich mich mal durch die
Inhalte der Links gearbeitet.</p>
<p>Soweit ich das gegenwärtig einschätze, sehe ich insgesamt mehr
Chancen als Risiken im CRA für unsere Branche und den FOSSGIS e.V.</p>
<p>Der CRA soll langfristig gewährleisten, dass Produkte mit
digitalen Elementen (z.B. auch Waschmaschinen und Autos) auch
wirklich sicher sind.</p>
<p>In voller Härte des CRA sind nur Akteure betroffen, die Software
(auch FOSS) im kommerziellen Sinne mit Gewinnerzielungsabsicht
vertreiben (sog. <b>Manufacturer</b>), verwenden bzw. in
irgendeiner Form in Verkehr bringen. Hier meine Frage, ob das dann
auch für Dienstleister zutrifft, die zu frei zugänglicher Software
(z.B. QGIS) beratend tätig sind?</p>
<p>Die <b>Stewards</b> sind nur zum Teil von den Regelungen des CRA
betroffen. Meine Frage: ist der FOSSGIS e.V. (jetzt bereits) ein
solcher Steward? Wenn nein, will er diese Rolle einnehmen und was
bedeutet das?<br>
</p>
<p>Die <b>Entwickler</b> von FOSS sind offenbar nicht vom CRA
betroffen, auch wenn sie von professionellen Herstellern bezahlt
wurden oder diese sogar mit entwickelt haben.<br>
</p>
<p>Als wichtigstes Instrument für den Nachweis der Cybersicherheit
eines Produkts mit digitalen Elementen scheint mir die SBoM zu
sein, wo wir aus dem FOSS-Bereich ja wohl den Vorteil haben, den
Kunden schnell und einfach eine detaillierte Software-Supply-Chain
zusammenstellen zu können.</p>
<p>Leider kann ich morgen mit großer Wahrscheinlichkeit nicht an
unserem zweiten Treffen teilnehmen, würde mich aber freuen, wenn
meine oben gestellten Fragen von Euch diskutiert werden könnten.</p>
<p>Danke sagt<br>
Lars Roskoden<br>
</p>
</body>
</html>