Open Source & SBOM Resilience
OSS Governance
Die Nutzung von Open Source Software ist unter DORA kein technisches Randthema mehr. Drei Governance-Anforderungen stellen sicher, dass OSS systematisch gesteuert wird.
Management-Zusammenfassung
- Drei Governance-Anforderungen decken Richtlinie, Risikomanagement und Rollen für Open Source Software ab.
- Jede Anforderung ist mit DORA-Artikeln und ISO-27001-Kontrollen verknüpft.
- OSS Governance ist kein isoliertes Thema — Integration in IKT-Risikomanagement, Änderungsmanagement und Drittparteiensteuerung.
Open-Source-Richtlinie
Die Nutzung, Prüfung, Freigabe und Aktualisierung von Open Source Software ist durch eine vom Management freigegebene Richtlinie geregelt. Die Richtlinie definiert zulässige Lizenzen, Genehmigungsprozesse, Verantwortlichkeiten und Eskalationswege.
DORA-Referenz
Art. 5, Art. 8, Art. 9
Verantwortlich
Informationssicherheit / Architektur / Einkauf
OSS im IKT-Risikomanagement
Open-Source-Komponenten werden als IKT-Assets im Risikomanagementrahmen erfasst. Risiken aus OSS-Nutzung (Lizenz, Sicherheit, Wartung, Community) werden systematisch bewertet und gesteuert.
DORA-Referenz
Art. 6, Art. 7, Art. 8
Verantwortlich
IKT-Risikomanagement / CISO
Rollen und Verantwortlichkeiten
Klare Rollen für OSS-Steuerung: Architektur (Technologieauswahl), Entwicklung (Nutzung und Updates), Sicherheit (Schwachstellen), Einkauf (Lieferanten-SBOM), Compliance (Lizenzen).
DORA-Referenz
Art. 5
Verantwortlich
Geschäftsleitung / CISO