[AG-CRA] AFAIS: CRA kann gut für FOSS sein

[Lars Roskoden]

Hallo Mitglieder der AG CRA im FOSSGIS,

in Vorbereitung auf unser Online-Treffen morgen, 2. Jun. um 15:00 Uhr 
(https://meet.fossgis.de/cra) habe ich mich mal durch die Inhalte der 
Links gearbeitet.

Soweit ich das gegenwärtig einschätze, sehe ich insgesamt mehr Chancen 
als Risiken im CRA für unsere Branche und den FOSSGIS e.V.

Der CRA soll langfristig gewährleisten, dass Produkte mit digitalen 
Elementen (z.B. auch Waschmaschinen und Autos) auch wirklich sicher sind.

In voller Härte des CRA sind nur Akteure betroffen, die Software (auch 
FOSS) im kommerziellen Sinne mit Gewinnerzielungsabsicht vertreiben 
(sog. *Manufacturer*), verwenden bzw. in irgendeiner Form in Verkehr 
bringen. Hier meine Frage, ob das dann auch für Dienstleister zutrifft, 
die zu frei zugänglicher Software (z.B. QGIS) beratend tätig sind?

Die *Stewards* sind nur zum Teil von den Regelungen des CRA betroffen. 
Meine Frage: ist der FOSSGIS e.V. (jetzt bereits) ein solcher Steward? 
Wenn nein, will er diese Rolle einnehmen und was bedeutet das?

Die *Entwickler* von FOSS sind offenbar nicht vom CRA betroffen, auch 
wenn sie von professionellen Herstellern bezahlt wurden oder diese sogar 
mit entwickelt haben.

Als wichtigstes Instrument für den Nachweis der Cybersicherheit eines 
Produkts mit digitalen Elementen scheint mir die SBoM zu sein, wo wir 
aus dem FOSS-Bereich ja wohl den Vorteil haben, den Kunden schnell und 
einfach eine detaillierte Software-Supply-Chain zusammenstellen zu können.

Leider kann ich morgen mit großer Wahrscheinlichkeit nicht an unserem 
zweiten Treffen teilnehmen, würde mich aber freuen, wenn meine oben 
gestellten Fragen von Euch diskutiert werden könnten.

Danke sagt
Lars Roskoden
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.fossgis.de/pipermail/ag-cra/attachments/20250601/013d7df2/attachment.htm>