de
de

SBOM Service

Was ist eine Software Bill of Materials?

Eine Software Bill of Materials (SBOM) ist ein detailliertes, maschinenlesbares Inventar aller Softwarekomponenten, Bibliotheken, Pakete und Abhängigkeiten, aus denen Ihr digitales Produkt besteht. Man kann sie sich wie eine Zutatenliste für Software vorstellen: Sie schafft vollständige Transparenz darüber, was enthalten ist, und ermöglicht es, Sicherheitsrisiken gezielt zu identifizieren und zu steuern.

Eine SBOM enthält in der Regel:

  • Namen und Versionen der Komponenten

  • Abhängigkeiten und Beziehungen zwischen den Komponenten

  • Lizenzinformationen für sämtliche Softwarebestandteile

  • Schwachstellen- und sicherheitsrelevante Metadaten

  • Angaben zu Lieferanten und Herstellern

  • Informationen zu Patches oder Sicherheitsmeldungen

Warum ist eine SBOM wichtig?
Erstens sorgt sie für Transparenz in der Software-Lieferkette, sodass Sie genau wissen, was in Ihrer Software enthalten ist.
Zweitens ermöglicht sie eine schnelle Reaktion auf Schwachstellen, da betroffene Komponenten rasch identifiziert werden können.
Drittens unterstützt sie die Einhaltung von Lizenzanforderungen, insbesondere bei Open-Source-Software.
Viertens hilft sie bei der Reaktion auf Sicherheitsvorfälle, indem sich die Auswirkungen eines Incidents sofort bewerten lassen.
Und schließlich unterstützt sie die regulatorische Compliance, indem sie dabei hilft, Anforderungen aus dem CRA, DORA und weiteren Regelwerken zu erfüllen.

SBOM: Eine verpflichtende Anforderung des CRA

SBOM: Eine verpflichtende Anforderung des CRA

Der EU Cyber Resilience Act (CRA) verpflichtet alle Hersteller von Produkten mit digitalen Elementen dazu, eine Software Bill of Materials (SBOM) zu erstellen und aktuell zu halten. Dies ist keine optionale Maßnahme, sondern eine rechtliche Voraussetzung für den Vertrieb von Produkten in der EU.

Was ist erforderlich

Der CRA verlangt, dass SBOMs in einem maschinenlesbaren Format wie SPDX, CycloneDX oder SWID vorliegen.
Ihre SBOM muss unter anderem enthalten:

  • Alle Software-Hauptkomponenten inklusive Versionen

  • Schwachstellen- und sicherheitsrelevante Informationen

  • Lizenzinformationen

  • Angaben zu Lieferanten sowie Drittanbieter-Software

Ab wann gilt die Pflicht

Die Compliance-Frist beginnt im Dezember 2027.
Die Anforderungen gelten für alle Produkte mit digitalen Elementen, einschließlich Hersteller, Importeure und Händler, die Produkte auf dem EU-Markt bereitstellen.

Was passiert bei Nicht-Einhaltung

Eine Nicht-Compliance hat erhebliche Konsequenzen. Marktüberwachungsbehörden können:

  • Bußgelder verhängen

  • Produkte vom EU-Markt zurückrufen oder deren Vertrieb untersagen

  • rechtliche Haftung bei Sicherheitsvorfällen auslösen

  • zu erheblichem Reputationsschaden führen

Die Chance

Unternehmen, die sich frühzeitig vorbereiten, verschaffen sich einen klaren Wettbewerbsvorteil. Sie können:

  • ihr Sicherheitsbewusstsein gegenüber Kunden demonstrieren

  • die Time-to-Market für den EU-Vertrieb verkürzen

  • Vertrauen bei Aufsichtsbehörden aufbauen

  • nachhaltige und sichere Entwicklungsprozesse etablieren

Button
Button
Kontakt
Impressum
Sicherheit
Datenschutzerklärung
Coockies