WHY2025, FrOSCon, de Opensourcesummit en de CRA

dinsdag, 2 september 2025 (08:12) - ITChannelPRO

In dit artikel:

Op drie recente evenementen — WHY2025 (een hackersconferentie in de kop van Noord‑Holland), FrOSCon (Bonn, focus op Free & Open Source) en de Open Source Summit (Amsterdam) — stond één onderwerp opvallend centraal: de aankomende Europese Cyber Resilience Act (CRA). Sprekers en bezoekers benadrukten dat de wet verstrekkende gevolgen heeft voor hardware‑ en softwareketens: fabrikanten, distributeurs, commerciële component‑leveranciers én aanbieders van gratis open‑sourcecode krijgen ermee te maken.

De bijeenkomsten verschilden in insteek — WHY2025 behandelde zowel hardware als software, FrOSCon richtte zich op toepassingen en de Linux Foundation keek meer naar de OS‑laag — maar de gedeelde boodschap was duidelijk. Veel sessies en workshops waren goed bezocht, maar uit twee veldonderzoeken bleek dat nog steeds 62% van de deelnemers niet weet of de CRA op hen van toepassing zal zijn. Dat gebrek aan bewustzijn is zorgelijk omdat de wet eisen stelt aan zowel eindproducten als aan alle externe componenten die erin zitten.

Voor hardware lijkt de keten overzichtelijker: fabrikanten, distributeurs en partners kunnen kwaliteitswaarborgen en meldketens organiseren. Bij software is het veel complexer; vrijwel niemand schrijft alle code zelf maar put uit bibliotheken en snippets van platforms als GitHub. Daardoor ontstaat een grote uitdaging: ook wie kleine “flarden” code publiceert of gebruikt (zowel commercieel als free & open source) moet op een of andere manier aan CRA‑vereisten voldoen. Commerciële leveranciers zijn doorgaans al meer op de hoogte en bereiden zich voor op de per 2027 geldende regels, maar veel FOSS‑makers en integratoren nog niet.

Kortom: ITchannelPRO‑lezers die code samenstellen, API’s gebruiken of softwarepakketten leveren moeten zich nu gaan oriënteren. De conferenties boden praktische sessies over hoe je aan de nieuwe verplichtingen kunt voldoen; wie afhankelijk is van externe componenten doet er verstandig aan componentinventarisaties, update‑mechanismen en transparantie over gebruikte onderdelen (bijvoorbeeld SBOM‑achtige praktijken) nu serieus te gaan inrichten zodat compliance en beveiliging beheersbaar blijven. Links naar presentaties en talks over de CRA waren beschikbaar op de evenementen voor wie dieper wil duiken.