Eclipse Foundation startet OCCTET-Projekt für CRA-Konformität

Die Eclipse Foundation hat jetzt das Projekt „Open Source Compliance: Comprehensive Techniques and Essential Tools” (OCCTET) gestartet, eine von der Europäischen Kommission finanzierten Initiative, die Unternehmen und Open-Source-Entwicklern dabei helfen soll, die Anforderungen des Cyber Resilience Act (CRA) zu erfüllen.

Das Projekt bringe ein Konsortium aus wichtigen Unternehmen in der Branche, Cybersicherheitsexperten und Open-Source-Befürwortern zusammen, um kostenlose Open-Source-Tools zu entwickeln, die die Einhaltung gesetzlicher Vorschriften zugänglicher, transparenter und kostengünstiger machen.

Die Einhaltung des CRA ist ein mehrjähriger Prozess, den Unternehmen jetzt priorisieren müssen. Selbst Unternehmen, die die Dringlichkeit verstehen, verfügen oft nicht über das erforderliche interne Fachwissen, um diesen Prozess zu bewältigen. OCCTET soll den Weg zur Compliance so einfach wie möglich gestalten und ergänzt unsere umfassenden Bemühungen sicherzustellen, dass die Open-Source-Community über die Ressourcen verfügt, um unter diesen neuen regulatorischen Rahmenbedingungen erfolgreich zu sein.“

Mike Milinkovich, Executive Director der Eclipse Foundation

Der Cyber Resilience Act führe verbindliche Cybersicherheitsanforderungen für alle digitalen Produkte ein, die in der EU verkauft werden, einschließlich Software. Er gelte für Hersteller, Softwareanbieter und Wartungsunternehmen und verpflichte sie, sichere Entwicklungspraktiken einzuführen und Schwachstellen in ihrer gesamten Software-Lieferkette transparent zu behandeln. Der CRA trat im Dezember 2024 in Kraft, und Unternehmen stünden nun unter Zeitdruck, um die neuen Anforderungen vor ihrem Inkrafttreten zu erfüllen.

Für viele Unternehmen bestehe die größte Herausforderung darin, zu wissen, wo sie anfangen sollen – das gilt insbesondere für kleinere Unternehmen und Startups, die im digitalen Bereich tätig sind, wie es bei zahlreichen FinTech der Fall ist. Open-Source-Software, die laut Harvard Business School schätzungsweise in 96 % aller kommerziellen Softwareprogramme enthalten ist, erschwere die Compliance-Bemühungen zusätzlich, da sie in der Regel von dezentralen Communities entwickelt und gepflegt werde und nicht von einem einzigen Anbieter kontrolliert sei.

OCCTET (Website) begegne diesen Herausforderungen mit offenen, kollaborativen Lösungen, die die Komplexität und Kosten der CRA-Compliance reduzieren und ermöglichen soll, sich auf Innovationen zu konzentrieren, ohne Abstriche bei der Sicherheit machen zu müssen.

Die Eclipse Foundation treibe auch andere CRA-bezogene Initiativen voran, darunter die Open Regulatory Compliance (ORC) Working Group, die aktiv gemeinschaftsorientierte Ressourcen und Spezifikationen entwickele, um die CRA-Implementierung in Open-Source-Ökosystemen zu unterstützen.ft