Rolle des SBOM in EO14028, CRA, FDA, NIS2, DORA und PCI DSS
06.09.2024
Interlynk
Die Aufrechterhaltung der Software-Sicherheit ist in der heutigen digitalen Landschaft wichtiger denn je. Regulierungsbehörden weltweit haben dies anerkannt und umfassende Compliance-Rahmenwerke für Cybersicherheit vorgeschrieben. Ein zentrales Element in diesen Rahmenwerken ist das Software Bill of Materials (SBOM), eine Liste, die die Komponenten aufzeigt, aus denen ein Softwareprodukt besteht.
SBOM ist in der Cybersicherheit entscheidend geworden, und die Einhaltung mehrerer Vorschriften erfordert es jetzt ausdrücklich.
Lassen Sie uns die Rolle von SBOM in wichtigen Vorschriften wie dem Cyber Resilience Act, der FDA-Compliance für Cybersicherheit, dem Executive Order 14028 und wie es die Einhaltung von NIS2, DORA und PCI DSS 4.0 unterstützt, erkunden, auch wenn es in einigen Fällen kein zwingendes Artefakt ist.
SBOM als erforderliches Artefakt
Cyber-Resilienzgesetz (CRA)
Das Cyber-Resilienzgesetz der Europäischen Union hat zum Ziel, klare Cybersicherheitsstandards für Produkte mit digitalen Elementen festzulegen. Das Gesetz verlangt ausdrücklich die Einbeziehung eines SBOM, um sicherzustellen, dass Hersteller, Entwickler und Betreiber die Komponenten der Software verstehen, was dazu beiträgt, Risiken durch Schwachstellen in Drittanbietersoftware zu verringern. Der SBOM dient als wichtiges Dokument für Transparenz und Verantwortlichkeit.
FDA-Cybersicherheitskonformität
Die U.S. Food and Drug Administration (FDA) verlangt jetzt ein SBOM als Teil der Marktzulassungen für medizinische Geräte. Diese Anforderung, die ab Oktober 2023 in Kraft tritt, stellt sicher, dass alle Software und Komponenten in einem medizinischen Gerät offengelegt werden. Dies trägt dazu bei, potenzielle Cybersicherheitsrisiken zu identifizieren und zu mindern und somit die Patientensicherheit zu schützen.
Erlass 14028
Dieser Erlass, der im Mai 2021 von Präsident Biden erlassen wurde, zielt darauf ab, die Cybersicherheitslage des Landes zu verbessern. Eine zentrale Anforderung ist, dass Bundesbehörden Software beschaffen, die ein SBOM umfasst. Diese Politik fördert Transparenz und ermöglicht ein besseres Schwachstellenmanagement in der Softwarelieferkette.
SBOM für breitere Compliance: NIS2, DORA und PCI DSS 4.0
Obwohl SBOM in einigen Vorschriften kein erforderliches Artefakt ist, ist es dennoch ein immens nützliches Werkzeug zur Einhaltung von Vorschriften. So spielt es eine Rolle in wichtigen Rahmenwerken:
NIS2-Richtlinie
Die NIS2-Richtlinie der EU konzentriert sich darauf, die Cybersicherheit kritischer Infrastrukturen in der Union zu stärken. Obwohl SBOM nicht ausdrücklich vorgeschrieben ist, kann das Vorhandensein eines SBOM ein wertvolles Gut sein, um die notwendige Sorgfalt bei der Sicherung von Software-Lieferketten zu demonstrieren. Mit SBOMs können Organisationen ein tieferes Verständnis für die Schwachstellen ihrer Software zeigen und proaktive Maßnahmen zur Minderung von Risiken ergreifen.
Gesetz über digitale operationelle Resilienz (DORA)
DORA zielt darauf ab, die Cyber-Resilienz finanzieller Einheiten innerhalb der EU zu stärken. Während das Gesetz die Verwendung eines SBOM nicht ausdrücklich vorschreibt, ermöglicht die Integration eines solchen in den Softwarelebenszyklus den Finanzinstituten, Drittanbieter-Risiken besser zu verwalten. SBOMs verbessern die Einhaltung von Vorschriften, indem sie die Transparenz der Softwarekomponenten erhöhen, was für die schnelle Bewältigung von Schwachstellen unerlässlich ist.
DORA legt großen Wert auf robuste ICT-Risikomanagement-Rahmenwerke, um die operationale Resilienz zu gewährleisten. Ein SBOM unterstützt diese Bemühungen, indem es ein umfassendes Inventar der Softwarekomponenten erstellt und bekannte Schwachstellen identifiziert. Darüber hinaus fordert DORA ein effektives Risikomanagement über die gesamte ICT-Lieferkette. SBOMs erleichtern dies, indem sie bösartige, veraltete, abgelaufene oder verwundbare Komponenten innerhalb der Lieferkette hervorheben und eine klarere Sicht auf potenzielle Risiken bieten.
Das Gesetz verlangt auch Resilienztests und Incident-Response-Fähigkeiten. SBOMs sind darauf ausgelegt, die Reaktionszeiten bei Zero-Day-Schwachstellen zu minimieren, indem sie Softwarekomponenten und ihre zugehörigen Schwachstellen verfolgen.
Zusätzlich stimmt DORA mit globalen Standards wie der NIS2-Richtlinie überein. Die Einführung von SBOM hilft, die Einhaltung beider Rahmenwerke zu überbrücken, indem sie einheitliche Praktiken fördert und Organisationen auf andere Anforderungen an die Softwaretransparenz vorbereitet, wie etwa die SBOM-Vorgaben des Cyber-Resilienzgesetzes.
PCI DSS 4.0
Die neueste Version von PCI DSS konzentriert sich darauf, die Zahlungsdaten von Kreditkarten in einer zunehmend komplexen Bedrohungslandschaft zu sichern. Obwohl SBOM nicht direkt erforderlich ist, kann es die Compliance erheblich vereinfachen, indem es ein klares Verständnis der Third-Party-Softwarekomponenten und möglicher Schwachstellen bietet. Dies steht im Einklang mit dem Schwerpunkt von PCI DSS 4.0 auf der Aufrechterhaltung robuster Kontrollen über Software zum Schutz sensibler Daten.
Zeitachsen
Jede Vorschrift hat ihren Zeitplan, wann diese Anforderungen an die Cybersicherheit in Kraft treten. Hier sind die bekannten Daten für mehrere wichtige Vorschriften:
FDA Cybersecurity Compliance: Wirksam Oktober 2023
Digital Operational Resilience Act (DORA): Wirksam 17. Januar 2025
PCI DSS 4.0: Ab März 2025 durchgesetzt, mit einer gewissen Flexibilität für die Übergangszeit der Unternehmen.
NIS2-Richtlinie: Die Mitgliedstaaten haben bis Oktober 2024, um die Richtlinie in nationales Recht umzusetzen.
Cyber Resilience Act (CRA): Die endgültige Frist für die Umsetzung entwickelt sich weiterhin, wird jedoch bis 2025 erwartet.
Executive Order 14028: Die SBOM-Anforderungen werden derzeit für Bundesbehörden, die Software erwerben, durchgesetzt, und die Richtlinien werden regelmäßig aktualisiert.
In der sich entwickelnden Landschaft der Vorschriften zur Cybersicherheit ist SBOM zu einem wichtigen Werkzeug für das Management von Schwachstellen und die Sicherstellung von Compliance geworden. Es ist ein erforderliches Artefakt für Rahmenwerke wie den Cyber Resilience Act, die FDA-Cybersicherheitskonformität und die Executive Order 14028, bei denen Transparenz in der Softwarezusammensetzung von entscheidender Bedeutung ist. Während Vorschriften wie NIS2, DORA und PCI DSS 4.0 nicht erforderlich sind, bietet SBOM signifikanten Wert für die Gewährleistung von Resilienz, Transparenz und schnelleren Reaktionen auf Vorfälle, wodurch es ein strategisches Asset für die Compliance in unterschiedlichen Sektoren wird.
Das Verständnis der unterschiedlichen Umsetzungszeitpläne und Anforderungen kann Unternehmen helfen, sich proaktiv auf die Einhaltung dieser Standards vorzubereiten und ihre Cybersicherheitslage zu verbessern.