Die Europäische Kommission hat in Abstimmung mit Cybersicherheitsbehörden aktualisierte Klarstellungen zur regulatorischen Behandlung von freier und quelloffener Software (FOSS) unter dem CRA veröffentlicht.
Der Rahmen unterscheidet ausdrücklich zwischen kommerziellen Herstellern und „Open-Source-Verwaltern“, also gemeinnützigen Stiftungen oder Stellen, die Open-Source-Projekte dauerhaft unterstützen. Um die digitale Innovation nicht zu ersticken und zugleich die Sicherheit des Ökosystems zu gewährleisten, unterliegen Open-Source-Verwalter einem maßgeschneiderten, zurückhaltenden Regulierungsregime. Diese Stellen müssen Sicherheitsrichtlinien und Verfahren zur Behandlung von Schwachstellen ermöglichen, ohne die volle Last der Konformitätsbewertung zu tragen, die kommerziellen Stellen auferlegt wird.