Im November berichteten wir über eine Diskussion im Debian-Projekt, in der es darum ging, wie man sich offiziell zum von der EU derzeit diskutierten Cyber Resilience Act (CRA) stellen soll. Die Frage wurde jetzt in einer General Resolution (GR), dem Standard Beschluss-Verfahren bei Debian entschieden.
Was ist der CRA?
Der EU Cyber Resilience Act, der bald in Gesetzesform gegossen werden soll, möchte einheitliche Standards für Cybersicherheit in der EU einführen. Im Kern geht es darum, die Sicherheit von Produkten mit digitalen Komponenten – Hardware wie Software – die Zugriff auf das Internet haben, zu verbessern. Den aktuellen Stand fasst die Webseite von isits zusammen.
Ergebnis der General Resolution
Es standen insgesamt vier Vorschläge zur Wahl, wie sich Debian offiziell zum CRA stellen soll:
- Option 1: CRA and PLD proposals include regulations detrimental to FOSS
- Option 2: CRA and PLD proposals should only apply to commercial ventures
- Option 3: The EU should not overrule DFSG 6 and FOSS licenses
- Option 4: None of the above
Von den stimmberechtigten 1004 Debian-Entwicklern wurden 163 gültige Stimmen abgegeben. Die meisten Stimmen erhielt Option 1. In Absatz 4 heißt es dort:
Selbst wenn nur “kommerzielle Aktivitäten” in den Anwendungsbereich von CRA fallen, wird die Freie-Software-Gemeinschaft – und in der Folge jeder – viele kleine Projekte verlieren. CRA wird viele kleine Unternehmen und höchstwahrscheinlich alle selbständigen Entwickler aus dem Geschäft drängen, weil sie die von CRA gestellten Anforderungen einfach nicht erfüllen können. Debian und andere Linux-Distributionen hängen von ihrer Arbeit ab. Wenn CRA so akzeptiert wird, wie es ist, wird es nicht nur eine etablierte Gemeinschaft untergraben, sondern auch einen florierenden Markt. CRA braucht eine Ausnahmeregelung für kleine Unternehmen und zumindest für Solo-Unternehmer.
Die einzelnen Vorschläge können auf der die Wahl zusammenfassenden Webseite nachgelesen werden.
