Cyber Resilience Act und andere EU-Gesetzgebungsverfahren
Ilu
ilu at fsfe.org
Mi Okt 11 17:45:28 UTC 2023
Hallo Liste,
um mal auf freie Software zurückzukommen - ich hoffe, Ihr seid alle
informiert über das was in ca. 15 Monaten auf (fast) alle Entwickler
freier Software zukommt: das CE-Zeichen für Software - und noch einiges
anderes.
Sehr schön zusammengefasst hier:
https://blog.documentfoundation.org/blog/2023/01/24/tdf-position-on-eus-proposed-cyber-resilience-act/
und, etwas älter, hier:
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13410-Cyber-resilience-act-new-cybersecurity-rules-for-digital-products-and-ancillary-services/F3376542_en
Was dort nicht erwähnt wird (weil es nicht FOSS-spezifisch ist), ist der
richtige Klopper in Art. 11 CRA:
(1) Der Hersteller meldet der ENISA unverzüglich, jedenfalls aber
innerhalb von 24 Stunden, nachdem er davon Kenntnis erlangt hat, jede
aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen
Elementen enthalten ist. ...
(2) Der Hersteller meldet der ENISA unverzüglich, jedenfalls aber
innerhalb von 24 Stunden, nachdem er davon Kenntnis erlangt hat, jeden
Vorfall, der sich auf die Sicherheit des Produkts mit digitalen
Elementen auswirkt. ...
(3) Die ENISA übermittelt dem Europäischen Netzwerk der
Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe), ... die gemäß
den Absätzen 1 und 2 gemeldeten Informationen, ...
Quelle:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52022PC0454
Hinter verschlossenen Türen wird gesagt, dass die Meldekette von ENISA
an die für "legal interception" zuständigen nationalen Behörden gehen
wird. Das ist das Ende von responsible disclosure.
Viele Grüße
Ilu
Mehr Informationen über die Mailingliste FSFE-de