Beim Einsatz von Open-Source-Software (OSS) im Bereich Kritische Infrastrukturen sind rechtliche Anforderungen auf Ebene des Urheberrechts durch Softwarelizenzen für OSS sowie auf Ebene von regulatorischen Vorgaben zur IT-Sicherheit (Cybersecurity) zu beachten. Mit den neuen europarechtlichen Bestimmungen von NIS-2, DORA und CRA wird das Management von OSS in bestimmten Bereichen zur gesetzlichen Verpflichtung für Unternehmen.
Open-Source-Software und Kritische Infrastrukturen
Der Begriff Kritische Infrastrukturen hat gemäß der KRITIS-Definition der Bundesressorts folgende Bedeutung: „Kritische Infrastrukturen (kurz: KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Zu den Kritischen Infrastrukturen werden vom Bundesamt für Verfassungsschutz unter anderem Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Siedlungsabfallentsorgung, Finanz- und Versicherungswesen gezählt. Auch im Bereich Kritische Infrastrukturen basieren wirtschaftliche Abläufe in wesentlichen Teilen auf Software. OSS ist dabei heute in allen Bereichen ein wesentlicher Bestandteil der Softwarearchitektur, sodass sie auch relevant für den Bereich Kritische Infrastrukturen ist.
Urheberrechtliche Einordnung und rechtliche Risiken
Softwarelizenzen
OSS ist Gegenstand von lizenzrechtlichen Vorgaben, welche bei der Verwendung von OSS zu beachten sind. Grundsätzlich lässt sich OSS in permissive Lizenzen (z.B. MIT, BSD, Apache 2.0) und Copyleft Lizenzen (z.B. LGPL, GPL) unterteilen (siehe hierzu detaillierter Strategisches Management von Open Source Software - Ein rechtlicher Überblick). Permissive Lizenzen zeichnen sich durch ein hohes Maß an Flexibilität aus. Die Hauptpflicht dieser Lizenzen besteht in der Regel in der Pflicht, die ursprünglichen Urheberrechtshinweise beizubehalten und dem Endnutzer zugänglich zu machen. Bei Copyleft-Lizenzen bestehen insbesondere Pflichten in Bezug auf die Anpassung und Verknüpfung von OSS. Anpassungen von OSS sollen ebenfalls als OSS lizensiert werden. Wird OSS verändert oder mit proprietärer Software verknüpft, kann dies dazu führen, dass das gesamte Softwarepaket unter die Copyleft-Lizenz fällt und somit der Quellcode gegenüber Dritten offengelegt werden muss (sogenannter Copyleft-Effekt).
Rechtliche Risiken bei Lizenzverstößen
Bei Verstößen gegen die lizenzrechtlichen Vorgaben von OSS besteht das Risiko, dass die Software nicht mehr im bisherigen Umfang genutzt werden darf. Infolgedessen drohen Unterlassungsansprüche bei Verwendung der OSS, die nicht in Compliance mit den Open Source Bedingungen erfolgt. Gerade im Bereich Kritische Infrastrukturen ist dieses Risiko aufgrund der großen Bedeutung der Verfügbarkeit der jeweiligen Einrichtung der Kritischen Infrastruktur von hoher Bedeutung.
Weitere Risiken von erheblicher Bedeutung können sich im Falle einer Offenlegungspflicht in Bezug auf den Quellcode von Software ergeben, wenn dieser Einblick zu möglichen Schutzlücken oder Vulnerabilitäten gewährt. Eine entsprechende Offenlegungspflicht kann im Widerspruch zum Geheimhaltungsinteresse für den Schutz der IT-Sicherheit in sensiblen Bereichen der Kritischen Infrastruktur stehen.
Regulatorische Vorgaben im Bereich IT-Sicherheit
Neue europarechtliche Vorgaben für die IT-Sicherheit NIS-2, DORA und CRA wirken sich in dem jeweiligen Anwendungsbereich dieser Regelwerke auch auf den Einsatz von OSS aus. Dabei gilt es zu beachten, dass neben den nachfolgend genannten Gesetzen auch noch weitere sektorspezifische Spezialregelungen anwendbar sein können.
NIS-2-Richtlinie
Die europäische NIS-2-Richtline trat im Januar 2023 in Kraft. Auf nationaler Ebene wurde diese Richtlinie in Deutschland im Dezember 2025 durch eine Anpassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz) umgesetzt. NIS-2 bildet für bestimmte kritische Sektoren einen Rechtsrahmen zur Aufrechterhaltung der IT-Sicherheit. Mit dem angepassten BSI-Gesetz werden bei Eröffnung des Anwendungsbereichs Einrichtungen aus den jeweiligen Sektoren verpflichtet angemessene technische und organisatorische Risikomanagementmaßnahmen zu treffen, um Störungen ihrer informationstechnischen Systeme zu vermeiden. Zudem besteht ein Registrierungspflicht und die Verpflichtung Sicherheitsvorfälle zu melden.
Die Verpflichtung angemessene technische und organisatorische Risikomanagementmaßnahmen zu treffen, umfasst unter anderem Maßnahmen für die Sicherheit der Lieferkette und Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, einschließlich Management und Offenlegung von Schwachstellen. Soweit OSS im Bereich Kritische Infrastrukturen verwendet wird, kann ohne ein angemessenes OSS Compliance Management mit Nachverfolgung und laufender Überwachung der im Unternehmen verwendeten OSS das Risiko eines Verstoßes gegen die entsprechenden gesetzlichen Vorgaben bestehen.
DORA-Verordnung
Die europäische DORA-Verordnung trat im Januar 2025 in Kraft und ist unmittelbar in den einzelnen Mitgliedsstaaten anwendbar. DORA soll die digitale Resilienz des europäischen Finanzsektors stärken. Die Verordnung beinhaltet in ihrem Anwendungsbereich für Unternehmen des Finanzsektors unter anderem Vorgaben für das Risikomanagement von Informations- und Kommunikationstechnik und für die Überwachung kritischer Drittdienstleister von Informations- und Kommunikationstechnik.
Auch in Bezug auf die DORA-Verordnung kann ohne ein angemessenes OSS Compliance Management mit Nachverfolgung und laufender Überwachung der im Unternehmen verwendeten OSS das Risiko eines Verstoßes gegen gesetzliche Vorgaben bestehen.
Cyber Resilience Act (CRA)
Der europäische Cyber Resilience Act (CRA) trat im Dezember 2024 in Kraft und legt ein Mindestmaß an IT-Sicherheit für alle vernetzten Produkte fest, die auf dem EU-Markt erhältlich sind. Beim CRA handelt es sich um eine Verordnung, die unmittelbar in den einzelnen Mitgliedsstaaten gilt. Der CRA findet nach und nach in verschiedenen Etappen bis Ende 2027 Anwendung. Im Wege von Produktanforderungen beinhaltet der CRA Vorgaben zur IT-Sicherheit als Teil des Design- und Entwicklungsprozesses. Zudem enthält der CRA Anforderungen zum Umgang mit Schwachstellen und Pflichten in Bezug auf die technische Dokumentation, einschließlich der Erstellung einer Software Bill of Materials (SBOM) mit (Dritt-)Komponenten. Des Weiteren enthält der CRA in Kapitel II in Bezug auf eine Reihe von ausführlichen Pflichten für Hersteller, Einführer, Händler und Verwalter für OSS.
Im Anwendungsbereich des CRA wird ein umfassendes OSS Compliance Management verpflichtend. Betroffene Unternehmen sind unter anderem verpflichtetet eine SBOM mit OSS Komponenten zu erstellen und auf aktuellem Stand zu halten.
Rechtliche Risiken bei Gesetzesverstößen
Bei Verstößen gegen die Vorgaben aus NIS-2-Richtlinie, DORA-Verordnung oder CRA drohen behördliche Bußgelder. Des Weiteren kommt bei bestimmten Gesetzesverstößen eine Haftung der Geschäftsleitung der jeweiligen Unternehmen in Betracht.
Fazit und strategische Handlungsempfehlungen
Aufgrund der besonderen Anforderungen für die Verfügbarkeit von Einrichtungen Kritischer Infrastrukturen sowie regulatorischen Vorgaben für die IT-Sicherheit sollte OSS Compliance im Bereich Kritische Infrastrukturen ein integraler Bestandteil des Risikomanagements sein.
Unsere empfohlenen Maßnahmen für die OSS Compliance:
- Einrichtung einer interdisziplinären Governance-Struktur mit Verantwortlichkeiten, Festlegung erlaubter und verbotener Lizenztypen, Freigabeprozessen und unternehmensweiten OSS Policies,
- Implementieren von Prozessen zur Erstellung und Nachhaltung von SBOMs mit OSS Komponenten, gegebenenfalls Festlegung von sensiblen Bereichen ohne Verwendung von OSS und Schwachstellenmanagement,
- Absicherung von Lieferketten, mit vertraglichen Regelungen zur Weitergabe von Verpflichtungen im Bereich OSS, Pflichten zur Offenlegung und Nachhaltung von SBOMs und Haftungsregeln.
Taylor Wessing unterstützt Mandanten an dieser Schnittstelle mit einer kombinierten Expertise aus IT-Recht, IP-Strategie und technischem Verständnis, um Innovationen rechtssicher und nachhaltig zu gestalten.
