[AG-CRA] Protokoll 1. Treffen der AG CRA am 2.6.2025

Mon Jun 2 17:05:22 CEST 2025

= 1. Treffen der AG CRA =

2. Juni 2025 15:00 bis 16:15 Uhr

== Teilnehmer ==

* Jochen Topf
* Torsten Friebe
* Martin Kiesow

== Abwesend mit Entschuldigung ==

* Lars Roskoden
* Benedikt Gräler

== Protokoll ==

=== Ziele ===

Diskussion über das "Mission Statement" mit folgendem Ergebnis:

Die "Arbeitsgruppe CRA" beschäftigt sich mit dem Cyber Resiliency Act der EU. Wir wollen 
* gemeinsam verstehen, was der CRA für den FOSSGIS und seine Mitglieder bedeutet und wer betroffen ist,
* diese Information aufbereiten und den Mitgliedern des FOSSGIS bzw. der Allgemeinheit zur Verfügung stellen,
* helfen, den FOSSGIS, seine Mitglieder und andere Open-Source-Akteure gut aufzustellen für eine Zukunft mit dem CRA,
* und uns ggf. in den größeren Kontext zur Interpretation und Anwendung des CRA einbringen und uns dazu mit anderen Organisationen vernetzen, die ähnliche Ziele verfolgen.

Steht jetzt auch so in Wiki.

=== Regeln für Teilnahme ===

Diskussion der Regeln für die Teilnahme und Entscheidungsfindung mit folgendem Ergebnis:

* Mitglied in der AG kann jeder werden, eine Mitgliedschaft im FOSSGIS e.V. ist nicht erforderlich, aber gern gesehen
* Mitglieder tragen sich bitte hier im Wiki ein
* Mitglieder melden sich ab, falls Teilnahme an einem Termin nicht möglich ist
* Entscheidungen werden im Konsenz getroffen

Steht jetzt auch so in Wiki.

=== Organisation ===

Wir haben bisher das Wiki und die Mailingliste. Wir diskutieren, ob wir auch GitLab und/oder NextCloud benutzen wollen. Beides betreibt der FOSSGIS. Wir beschließen, diese Frage erstmal zu verschieben. Im Moment kommen wir mit Wiki und einem Pad für die Arbeit in der Sitzung gut hin. Wenn gewünscht können wir andere Tools später nutzen, Jochen kann entsprechende Accounts und Repositories etc. einrichten.

=== Fragen ===

Wir haben dann Fragen gesammelt, die bei uns aufgetreten sind:

* Ab wann/wie bin ich als Entwickler betroffen, solange ich nur beitrage und nicht Maintainer bin?
* Ab wann/wie bin ich als Maintainer betroffen, wenn ich kein/etwas/viel Geld damit verdiene?
* Bin ich als Firma betroffen, wenn ich die Software garnicht verkaufe, sondern der Kunde die Software selbst runterlädt und ich nur Beratungen/Dienstleistungen dazu verkaufe?
* Worauf muss ich bei Abschluss eines EVB-IT Vertrags achten, wenn FOSS ein Leistungsgegenstand ist?
* Wie ist "Product" im CRA definiert?
* Was ist, wenn die Software nicht beim Kunden installiert wird, sondern als Dienst in der Cloud läuft (Webseite, SaaS, API, ...)?
* Müssen wir auch die Schnittestellen zu verwandten EU-Richtlinien wie NIS2 und PSR berücksichtigen?
* Fallen SaaS-Lösungen auch unter Kritische Infrastruktur und unterliegen somit noch einer schärferen Richtlinie wie z.B. ISO 27001, NIS2? (Dann ist es auch egal, ob Open Source oder nicht, weil es im NIS2 die Unterscheidung nicht gibt.)
* Ist der FOSSGIS e.V. (jetzt bereits) ein Steward? Wenn nein, will er diese Rolle einnehmen und was bedeutet das?

=== Nächster Termin ===

Montag, 23.6.2025 15 Uhr unter https://meet.fossgis.de/cra .

-- 
Jochen Topf

Koordinierungsstelle - OpenStreetMap

FOSSGIS e.V.
Bundesallee 23
10717 Berlin

+49-30-62932037-1
jochen.topf at fossgis.de
https://www.fossgis.de
https://www.openstreetmap.de

Eintragung im Vereinsregister der Stadt Mainz. Registernummer: 90 VR 3594.
Vertreten durch Jörg Thomsen, Pirmin Kalberer, David Arndt, Falk Zscheile