Der CRA-Text impliziert, dass das Software-Bill-of-Materials (SBOM) ein kritisches Produkt-Sicherheitsartefakt ist, um Verletzungsrisiken vertraulich zwischen den Marktaufsichtsbehörden (‚lokalen Regulierungsbehörden‘) und den Produktherstellern zu kommunizieren.

• (22) … Marktaufsichtsbehörden sollten in der Lage sein, Hersteller von Produktkategorien
  mit digitalen Elementen, die von ADCO festgelegt wurden, aufzufordern, die Software-Bills-of-Materials (SBOMs) einzureichen, die sie
  gemäß dieser Verordnung erstellt haben. Um die Vertraulichkeit der SBOMs zu schützen, sollten die Marktaufsichtsbehörden
  relevante Informationen über Abhängigkeiten anonymisiert und aggregiert an ADCO übermitteln.‍

SBOM wird als das grundlegende Artefakt identifiziert, um die Schwachstellenanalyse durchzuführen. SBOM wird empfohlen, ist jedoch optional, öffentlich gemacht zu werden. SBOM wird auch als ein Artefakt beschrieben, das hilft, neu gemeldete Schwachstellen und Cyberrisiken in der Software-Lieferkette zu verfolgen.

• (78) Um die Schwachstellenanalyse zu erleichtern, sollten Hersteller die in den Produkten mit digitalen Elementen enthaltenen Komponenten identifizieren und dokumentieren, auch durch die Erstellung eines SBOM. Ein SBOM kann denen, die Software herstellen, kaufen und betreiben, Informationen bereitstellen, die ihr Verständnis der Lieferkette verbessern, was mehrere Vorteile hat, insbesondere hilft es Herstellern und Nutzern, bekannte neu aufgetretene Schwachstellen und Cyberrisiken zu verfolgen. Es ist von besonderer Bedeutung, dass Hersteller sicherstellen, dass ihre Produkte mit digitalen Elementen keine verwundbaren Komponenten von Drittanbietern enthalten. Hersteller sollten nicht verpflichtet sein, das SBOM öffentlich zu machen.

Das tatsächliche SBOM-Format, die minimalen Elemente und Verfahren für Schwachstellen- und Ausnutzungsbenachrichtigungen im SBOM liegen bei einer Kommission. In Vorbereitung hat das Bundesamt für Sicherheit in der Informationstechnik (“BSI”) bereits technische Richtlinien mit TR-03183 hier veröffentlicht.

• (119) Um einheitliche Bedingungen für die Umsetzung dieser Verordnung zu gewährleisten, sollten der Kommission Durchführungsbefugnisse übertragen werden, um die technische Beschreibung der Kategorien wichtiger Produkte mit digitalen Elementen, die in einem Anhang zu dieser Verordnung festgelegt sind, zu spezifizieren, das Format und die Elemente des SBOM zu spezifizieren, ferner das Format und Verfahren der Benachrichtigungen über aktiv ausgenutzte Schwachstellen und schwere Vorfälle , die Auswirkungen auf die Sicherheit von Produkten mit digitalen Elementen haben, die von Herstellern eingereicht werden, allgemein gültige Spezifikationen für technische Anforderungen zu erstellen, die ein Mittel zur Einhaltung der wesentlichen Anforderungen in einem Anhang zu dieser Verordnung bieten, technische Spezifikationen für Labels, Piktogramme oder andere Zeichen in Bezug auf die Sicherheit der Produkte mit digitalen Elementen, ihre Unterstützungsdauer und Mechanismen zur Förderung ihrer Verwendung und zur Steigerung des öffentlichen Bewusstseins für die Sicherheit von Produkten mit digitalen Elementen, eine vereinfachte Dokumentationsform, die auf die Bedürfnisse von Kleinstunternehmen und kleinen Unternehmen ausgerichtet ist, und über korrektive oder restriktive Maßnahmen auf Unionsebene in außergewöhnlichen Fällen zu entscheiden, die eine sofortige Intervention zur Erhaltung der ordentlichen Funktion des Binnenmarktes rechtfertigen. Diese Befugnisse sollten in Übereinstimmung mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates ausgeübt werden.(34).

Die TR-03183 des BSI bezieht sich auf SBOM, die mit CycloneDX 1.4 und höher sowie SPDX 2.3 und höher erstellt wurden, und lässt etwas Spielraum in der Tiefe des SBOM.

• CRA ist noch einen Monat von der Annahme entfernt und mehr als ein Jahr und ein halbes Jahr vom Beginn der Umsetzung. Der genehmigte CRA-Text unterstreicht jedoch die entscheidende Rolle des SBOM bei der Beschreibung, Kommunikation und Überwachung von Produkt-Sicherheitsrisiken.

  ‍