De titel van dit artikel bestaat uit vier begrippen waarvan de kans groot is dat de lezer ze niet herkend, laat staan dat CRA een belletje doe rinkelen. Dat moet veranderen, want de CRA heeft grote gevolgen voor hardware, software en iedereen die dat levert. Dat was op WHY2025, FrOSCon, en de Opensourcesummit de niet te missen boodschap.
Drie verschillende events
WHY2025 was het hackersfestijn dat vorige maand in de kop van Noord Holland werd georganiseerd. FrOSCon is de jaarlijkse tweedaagse bijeenkomst in Bonn waar het uitsluitend draait om Free en Open source software. De Opensourcesummit van de Linuxfoundation die vorige week in Amsterdam plaatsvond ging, u raadt het al, opensource en Linux.
De drie events verschillen onderling behoorlijk. Bij WHY2025 was er in ieder geval aandacht voor hardware en software. Hacken gaat echter voor veel meer dan IT. FrOSCon focust eerder op opensource toepassingen. Dat het event van de Linuxfoundation meer naar de OS laag keek is logisch.
Overeenkomsten: aandacht voor de CRA
Zo verschillend als ze zijn, er zijn ook nadrukkelijke overeenkomsten. Sommige sprekers en bezoekers kwamen naar alle drie de events, want natuurlijk er is overlap. De overlap voor de drie events was deze keer vooral de CRA, de Cyber Resilience Act, waar ITchannelPRO al eerder over heeft geschreven.
De talks over deze komende Europese wetgeving waren goed bezocht en dat is een positief teken. We hebben het hier echter wel te maken met een a-selecte groep van IT gebruikers of aanbieders. Tijdens de Opensourcesummit werd dat nog eens onderstreept.
62 procent weet van niets
Bij twee opvolgende onderzoeken, met meerdere maanden tussenruimte, gaf 62 procent van de deelnemers aan niet te weten of ze met de CRA te maken gaan krijgen. Dit is niet goed! De CRA stelt namelijk eisen aan iedereen die iets doet met hardware of software.
De keten van hardware is met makkelijkst, want de fabrikant werk met (hopelijk) professionele distributeurs en die weer met fatsoenlijke partners. In die overzichtelijke keten is waken over kwaliteit van de producten betrekkelijk makkelijk. Men kan indien nodig snel de opvolgende schakel informeren, en die kan dat weer naar de volgende schakel. In combinatie met verplichte kwaliteitseisen moet dat leiden tot betere producten.
Bij software is het verhaal anders en daarom was er op deze drie events ook zoveel aandacht voor. De kans is nul dat een bedrijf alle code voor een toepassing zelf schrijft. Men plukt links en rechts wat nodig is voor het eigen programma. Daar is niets mis mee, Github en co zijn prachtige bronnen die het leven van een programmeur makkelijker maken.
Echter, software moet ook aan de CRA voldoen. Dat geldt voor het eindproduct, maar ook voor alle onderdelen die van derden zijn betrokken. Daar zit een enorme uitdaging. Niet alleen voor partijen die gewend zijn van Github en co gebruik te maken. Iedereen die daar (en elders) “flarden” van software aanbiedt krijgt te maken met de CRA.
Voor partijen die op commerciële basis softwarecomponenten maken geldt dat uiteraard ook. Zij zijn in de regel (want commercieel) wel al op de hoogte van de CRA vereisten die per 2027 gaan gelden. Zij hebben ook nu al te maken met kwaliteitseisen (want het is een betaalde software).
Aan de eisen voldoen
Iedereen die om niks (Free & Open) software aanbiedt moet ook op enige manier aan de eisen gaan voldoen. Wat die eisen zijn en hoe dat in de praktijk gaat werken, daar gingen veel presentaties en workshops op de drie genoemde events over en dat is een goede zaak.
Wat echt minder is, is dat een groot deel van de markt hier tot nu toe niets van heeft meegekregen. ITchannelPRO lezers die zelfs software “aan elkaar knopen” voor eigen gebruik of klanten vertegenwoordigen een deel van die markt. Als je gewend bent op Github te shoppen, zelfs API’s maakt of gebruikt maakt van bedrijven die dit voor je doen: weet dat je met de CRA te maken gaat krijgen.
Hieronder staan links naar talks en presentaties over CRA