<div dir="ltr"># CRA in practice @ FOSDEM 2026<br>Over the last few years we talked about the EU Cyber Resilience Act (CRA) quite a bit, highlighting its importance and raising awareness. Now we have less than one year until obligations for reporting security vulnerabilities and cyber incidents begin and less than two years until all the CRA requirements become mandatory. It's time to move from awareness ("oh no, regulations") to start actually getting ready <br>("okay, here's how we actually do this").<br><br>This devroom is practical CRA readiness for the FOSS community through open tooling, automation, documentation, and standards alignment that will make CRA compliance achievable and benefit everyone: developers, maintainers, stewards, and manufacturers. Community-driven solutions to regulatory challenges aim to reduce duplicative work, make compliance accessible for small projects without dedicated legal teams, keep the tools and data free, open, and transparent and enable the entire FOSS ecosystem to navigate CRA together.<br><br>If your session helps developers, projects, or organizations move from awareness to actual readiness, with concrete, open-source solutions, we want to hear from you. We are looking for talks, panels, even workshops that help people take practical, developer-friendly actions. Think demonstrations, case studies, and real experiences, not policy deep-dives or legal strategy sessions. Specifically, we're interested in:<br>- FOSS compliance tools in action: Showcasing what exists (OpenSSF Baseline and Scorecard, security-insights.yaml, SBOM/VEX tooling, etc.), what works, and where the gaps are<br>- Open data and standards: Formats, models, and standards for compliance, security, and supply chain that everyone can use<br>- Practical approaches: Reusable practices that make compliance achievable for projects of all sizes, from solo maintainers to large foundations<br>- Real-world experiences: What FOSS maintainers actually need, what's working, what's painful<br>- CRA readiness strategies: Mapping CRA requirements to concrete tools and workflows, due diligence practices, secure development automation<br>- Ecosystem support: How stewards and foundations (like Linux Foundation, Eclipse, or Python Software Foundation) support their communities and what could be missing<br>- Global framework alignment: Interoperability with US NIST/CISA, UK frameworks, ISO/IEC standards and other global cybersecurity initiatives<br>- Manufacturer Due Diligence: How manufacturers can demonstrate due diligence when using OSS components<br><br>To keep things focused and practical, we're explicitly leaving these topics to other devrooms and venues:<br>- European policy analysis or legislative interpretation<br>- Open source legal strategy or licensing questions<br>- General CRA policy discussions without case study or technical implementation<br>- Deep-dives into SBOMs (there is a separate room for it)<br><br>Session Types and Lengths - please indicate your preferred format in your submission:<br>- Lightning talks (10 minutes) – quick insights, new ideas, or fast demos<br>- Standard talks (25 minutes) – deep dives or case studies<br>- Panel (40 min) – cross-role discussions on a key CRA challenge<br>- Workshop (40 min) - hands-on demonstration<br><br>Important Dates:<br>- CfP opens: 7th November 2025<br>- CfP closes: 1st December 2025 (23:59 UTC)<br>- Notification of acceptance: mid-December 2025<br>- Devroom at FOSDEM 2026: Saturday, 31st January 2026, Brussels<br><br>NOTE: You must be available in person to present your talk.<br><br>## How to Submit<br>To submit a talk follow <a href="https://pretalx.fosdem.org/fosdem-2026/cfp">https://pretalx.fosdem.org/fosdem-2026/cfp</a>, select<br>**CRA in practice** as the *Track* and ensure you include all the requested<br>information when submitting a proposal.<br><br>Code of Conduct: We'd like to remind all speakers and attendees that all of the<br>presentations and discussions in our devroom are held under the<br>guidelines set forth in the [FOSDEM Code of<br>Conduct](<a href="https://fosdem.org/2026/practical/conduct/">https://fosdem.org/2026/practical/conduct/</a>) and we expect<br>everyone attending to follow it.<br><br>Would like to volunteer and help onsite or have any questions? Reach out to organizers.<br><br>Organizers’ contacts:<br>- Roman Zhukov - rzhukov[at]redhat[.]com <br>- Madalin Neag - mneag[at]contractor[.]linuxfoundation[.]org<br>- Megan Knight - megan[.]knight[at]arm[.]com <br>- Philippe Ombredanne - pombredanne[at]aboutcode[.]org</div>