From lars at roskoden.de Sun Jun 1 15:14:59 2025 From: lars at roskoden.de (Lars Roskoden) Date: Sun, 1 Jun 2025 15:14:59 +0200 Subject: [AG-CRA] =?utf-8?q?AFAIS=3A_CRA_kann_gut_f=C3=BCr_FOSS_sein?= Message-ID: <6cc7c334-d824-46fd-8aec-b27b5ad62522@roskoden.de> Hallo Mitglieder der AG CRA im FOSSGIS, in Vorbereitung auf unser Online-Treffen morgen, 2. Jun. um 15:00 Uhr (https://meet.fossgis.de/cra) habe ich mich mal durch die Inhalte der Links gearbeitet. Soweit ich das gegenw?rtig einsch?tze, sehe ich insgesamt mehr Chancen als Risiken im CRA f?r unsere Branche und den FOSSGIS e.V. Der CRA soll langfristig gew?hrleisten, dass Produkte mit digitalen Elementen (z.B. auch Waschmaschinen und Autos) auch wirklich sicher sind. In voller H?rte des CRA sind nur Akteure betroffen, die Software (auch FOSS) im kommerziellen Sinne mit Gewinnerzielungsabsicht vertreiben (sog. *Manufacturer*), verwenden bzw. in irgendeiner Form in Verkehr bringen. Hier meine Frage, ob das dann auch f?r Dienstleister zutrifft, die zu frei zug?nglicher Software (z.B. QGIS) beratend t?tig sind? Die *Stewards* sind nur zum Teil von den Regelungen des CRA betroffen. Meine Frage: ist der FOSSGIS e.V. (jetzt bereits) ein solcher Steward? Wenn nein, will er diese Rolle einnehmen und was bedeutet das? Die *Entwickler* von FOSS sind offenbar nicht vom CRA betroffen, auch wenn sie von professionellen Herstellern bezahlt wurden oder diese sogar mit entwickelt haben. Als wichtigstes Instrument f?r den Nachweis der Cybersicherheit eines Produkts mit digitalen Elementen scheint mir die SBoM zu sein, wo wir aus dem FOSS-Bereich ja wohl den Vorteil haben, den Kunden schnell und einfach eine detaillierte Software-Supply-Chain zusammenstellen zu k?nnen. Leider kann ich morgen mit gro?er Wahrscheinlichkeit nicht an unserem zweiten Treffen teilnehmen, w?rde mich aber freuen, wenn meine oben gestellten Fragen von Euch diskutiert werden k?nnten. Danke sagt Lars Roskoden -------------- next part -------------- An HTML attachment was scrubbed... URL: From jochen.topf at fossgis.de Mon Jun 2 17:05:22 2025 From: jochen.topf at fossgis.de (Jochen Topf) Date: Mon, 2 Jun 2025 17:05:22 +0200 Subject: [AG-CRA] Protokoll 1. Treffen der AG CRA am 2.6.2025 Message-ID: <20250602150522.t62bsteslef4xk3h@arcadia.topf.org> = 1. Treffen der AG CRA = 2. Juni 2025 15:00 bis 16:15 Uhr == Teilnehmer == * Jochen Topf * Torsten Friebe * Martin Kiesow == Abwesend mit Entschuldigung == * Lars Roskoden * Benedikt Gr?ler == Protokoll == === Ziele === Diskussion ?ber das "Mission Statement" mit folgendem Ergebnis: Die "Arbeitsgruppe CRA" besch?ftigt sich mit dem Cyber Resiliency Act der EU. Wir wollen * gemeinsam verstehen, was der CRA f?r den FOSSGIS und seine Mitglieder bedeutet und wer betroffen ist, * diese Information aufbereiten und den Mitgliedern des FOSSGIS bzw. der Allgemeinheit zur Verf?gung stellen, * helfen, den FOSSGIS, seine Mitglieder und andere Open-Source-Akteure gut aufzustellen f?r eine Zukunft mit dem CRA, * und uns ggf. in den gr??eren Kontext zur Interpretation und Anwendung des CRA einbringen und uns dazu mit anderen Organisationen vernetzen, die ?hnliche Ziele verfolgen. Steht jetzt auch so in Wiki. === Regeln f?r Teilnahme === Diskussion der Regeln f?r die Teilnahme und Entscheidungsfindung mit folgendem Ergebnis: * Mitglied in der AG kann jeder werden, eine Mitgliedschaft im FOSSGIS e.V. ist nicht erforderlich, aber gern gesehen * Mitglieder tragen sich bitte hier im Wiki ein * Mitglieder melden sich ab, falls Teilnahme an einem Termin nicht m?glich ist * Entscheidungen werden im Konsenz getroffen Steht jetzt auch so in Wiki. === Organisation === Wir haben bisher das Wiki und die Mailingliste. Wir diskutieren, ob wir auch GitLab und/oder NextCloud benutzen wollen. Beides betreibt der FOSSGIS. Wir beschlie?en, diese Frage erstmal zu verschieben. Im Moment kommen wir mit Wiki und einem Pad f?r die Arbeit in der Sitzung gut hin. Wenn gew?nscht k?nnen wir andere Tools sp?ter nutzen, Jochen kann entsprechende Accounts und Repositories etc. einrichten. === Fragen === Wir haben dann Fragen gesammelt, die bei uns aufgetreten sind: * Ab wann/wie bin ich als Entwickler betroffen, solange ich nur beitrage und nicht Maintainer bin? * Ab wann/wie bin ich als Maintainer betroffen, wenn ich kein/etwas/viel Geld damit verdiene? * Bin ich als Firma betroffen, wenn ich die Software garnicht verkaufe, sondern der Kunde die Software selbst runterl?dt und ich nur Beratungen/Dienstleistungen dazu verkaufe? * Worauf muss ich bei Abschluss eines EVB-IT Vertrags achten, wenn FOSS ein Leistungsgegenstand ist? * Wie ist "Product" im CRA definiert? * Was ist, wenn die Software nicht beim Kunden installiert wird, sondern als Dienst in der Cloud l?uft (Webseite, SaaS, API, ...)? * M?ssen wir auch die Schnittestellen zu verwandten EU-Richtlinien wie NIS2 und PSR ber?cksichtigen? * Fallen SaaS-L?sungen auch unter Kritische Infrastruktur und unterliegen somit noch einer sch?rferen Richtlinie wie z.B. ISO 27001, NIS2? (Dann ist es auch egal, ob Open Source oder nicht, weil es im NIS2 die Unterscheidung nicht gibt.) * Ist der FOSSGIS e.V. (jetzt bereits) ein Steward? Wenn nein, will er diese Rolle einnehmen und was bedeutet das? === N?chster Termin === Montag, 23.6.2025 15 Uhr unter https://meet.fossgis.de/cra . -- Jochen Topf Koordinierungsstelle - OpenStreetMap FOSSGIS e.V. Bundesallee 23 10717 Berlin +49-30-62932037-1 jochen.topf at fossgis.de https://www.fossgis.de https://www.openstreetmap.de Eintragung im Vereinsregister der Stadt Mainz. Registernummer: 90 VR 3594. Vertreten durch J?rg Thomsen, Pirmin Kalberer, David Arndt, Falk Zscheile From berit at opengis.ch Mon Jun 2 17:14:23 2025 From: berit at opengis.ch (Berit Mohr) Date: Mon, 2 Jun 2025 17:14:23 +0200 Subject: [AG-CRA] Protokoll 1. Treffen der AG CRA am 2.6.2025 In-Reply-To: <20250602150522.t62bsteslef4xk3h@arcadia.topf.org> References: <20250602150522.t62bsteslef4xk3h@arcadia.topf.org> Message-ID: Hallo zusammen, Tut mir furchtbar leid dass ich nicht dabeisein konnte. Ich bin gerade am Umziehen (in die Schweiz) und hatte einen Termin der viel l?nger dauerte als gedacht. Ich freue mich auf die zuk?nftigen Treffen, Liebe Gr??e, Berit [image: OG] *Berit Mohr* GIS & Remote Sensing Expert Team Consulting [image: email] berit at opengis.ch [image: www] https://opengis.ch [image: linkedin] [image: mastodon] [image: github] On Mon, Jun 2, 2025, 17:08 Jochen Topf wrote: > = 1. Treffen der AG CRA = > > 2. Juni 2025 15:00 bis 16:15 Uhr > > == Teilnehmer == > > * Jochen Topf > * Torsten Friebe > * Martin Kiesow > > == Abwesend mit Entschuldigung == > > * Lars Roskoden > * Benedikt Gr?ler > > == Protokoll == > > === Ziele === > > Diskussion ?ber das "Mission Statement" mit folgendem Ergebnis: > > Die "Arbeitsgruppe CRA" besch?ftigt sich mit dem Cyber Resiliency Act der > EU. Wir wollen > * gemeinsam verstehen, was der CRA f?r den FOSSGIS und seine Mitglieder > bedeutet und wer betroffen ist, > * diese Information aufbereiten und den Mitgliedern des FOSSGIS bzw. der > Allgemeinheit zur Verf?gung stellen, > * helfen, den FOSSGIS, seine Mitglieder und andere Open-Source-Akteure gut > aufzustellen f?r eine Zukunft mit dem CRA, > * und uns ggf. in den gr??eren Kontext zur Interpretation und Anwendung > des CRA einbringen und uns dazu mit anderen Organisationen vernetzen, die > ?hnliche Ziele verfolgen. > > Steht jetzt auch so in Wiki. > > === Regeln f?r Teilnahme === > > Diskussion der Regeln f?r die Teilnahme und Entscheidungsfindung mit > folgendem Ergebnis: > > * Mitglied in der AG kann jeder werden, eine Mitgliedschaft im FOSSGIS > e.V. ist nicht erforderlich, aber gern gesehen > * Mitglieder tragen sich bitte hier im Wiki ein > * Mitglieder melden sich ab, falls Teilnahme an einem Termin nicht m?glich > ist > * Entscheidungen werden im Konsenz getroffen > > Steht jetzt auch so in Wiki. > > === Organisation === > > Wir haben bisher das Wiki und die Mailingliste. Wir diskutieren, ob wir > auch GitLab und/oder NextCloud benutzen wollen. Beides betreibt der > FOSSGIS. Wir beschlie?en, diese Frage erstmal zu verschieben. Im Moment > kommen wir mit Wiki und einem Pad f?r die Arbeit in der Sitzung gut hin. > Wenn gew?nscht k?nnen wir andere Tools sp?ter nutzen, Jochen kann > entsprechende Accounts und Repositories etc. einrichten. > > === Fragen === > > Wir haben dann Fragen gesammelt, die bei uns aufgetreten sind: > > * Ab wann/wie bin ich als Entwickler betroffen, solange ich nur beitrage > und nicht Maintainer bin? > * Ab wann/wie bin ich als Maintainer betroffen, wenn ich kein/etwas/viel > Geld damit verdiene? > * Bin ich als Firma betroffen, wenn ich die Software garnicht verkaufe, > sondern der Kunde die Software selbst runterl?dt und ich nur > Beratungen/Dienstleistungen dazu verkaufe? > * Worauf muss ich bei Abschluss eines EVB-IT Vertrags achten, wenn FOSS > ein Leistungsgegenstand ist? > * Wie ist "Product" im CRA definiert? > * Was ist, wenn die Software nicht beim Kunden installiert wird, sondern > als Dienst in der Cloud l?uft (Webseite, SaaS, API, ...)? > * M?ssen wir auch die Schnittestellen zu verwandten EU-Richtlinien wie > NIS2 und PSR ber?cksichtigen? > * Fallen SaaS-L?sungen auch unter Kritische Infrastruktur und unterliegen > somit noch einer sch?rferen Richtlinie wie z.B. ISO 27001, NIS2? (Dann ist > es auch egal, ob Open Source oder nicht, weil es im NIS2 die Unterscheidung > nicht gibt.) > * Ist der FOSSGIS e.V. (jetzt bereits) ein Steward? Wenn nein, will er > diese Rolle einnehmen und was bedeutet das? > > === N?chster Termin === > > Montag, 23.6.2025 15 Uhr unter https://meet.fossgis.de/cra . > > > -- > Jochen Topf > > Koordinierungsstelle - OpenStreetMap > > FOSSGIS e.V. > Bundesallee 23 > 10717 Berlin > > +49-30-62932037-1 > jochen.topf at fossgis.de > https://www.fossgis.de > https://www.openstreetmap.de > > Eintragung im Vereinsregister der Stadt Mainz. Registernummer: 90 VR 3594. > Vertreten durch J?rg Thomsen, Pirmin Kalberer, David Arndt, Falk Zscheile > -- > AG-CRA mailing list > AG-CRA at fossgis.de > https://lists.fossgis.de/cgi-bin/mailman/listinfo/ag-cra > -------------- next part -------------- An HTML attachment was scrubbed... URL: