EU Cyber Resilience Act (CRA) und SBOM – Was Sie 2026 wissen müssen
| Interlynk
Das Europäische Parlament hat am 12. März dem Gesetz zur Cyber-Resilienz (Cyber Resilience Act, CRA) der EU zugestimmt.
Es wird erwartet, dass der Rat die Annahme im April formell bestätigen wird. Daher wird der CRA voraussichtlich ab Ende 2025 in einer schrittweisen Übergangsphase in Kraft treten.
Der CRA soll Verbraucher und Unternehmen vor Produkten mit unzureichender Sicherheit schützen. Um dies zu erreichen, erlegt der CRA allen Produkten mit digitalen Elementen („PDE“), die auf den EU-Märkten gewerblich vertrieben werden, Cybersicherheitsverpflichtungen auf.
Die PDE bezieht sich im Weitesten auf Software und vernetzte Geräte.
Der CRA legt Anforderungen fest, damit diese Produkte –
die Priorisierung der Sicherheit über den gesamten Lebenszyklus des Produkts hinweg gewährleisten
spezifische grundlegende Cybersicherheitsanforderungen erfüllen
Maßnahmen für das Schwachstellenmanagement planen
Sicherheitsupdates während des gesamten Produktzyklus bereitstellen
Vorfälle im Zusammenhang mit der Ausnutzbarkeit von Schwachstellen innerhalb von 24 Stunden an das CSIRT melden
eine Software-Stückliste (SBOM) für die interne Nutzung und die Vorlage bei Regulierungsbehörden erstellen, pflegen und nutzen
SBOM in CRA
Der Text der CRA impliziert, dass die Software-Stückliste (Software Bill of Materials – SBOM) ein kritisches Artefakt der Produktsicherheit ist, um Sicherheitsrisiken vertraulich zwischen Marktüberwachungsbehörden („lokalen Regulierungsbehörden“) und Produktherstellern zu kommunizieren.
(22) … Die Marktüberwachungsbehörden sollten in der Lage sein, von Herstellern von Kategorien von Produkten
mit digitalen Elementen, die von der ADCO festgelegt wurden, die Vorlage der Software-Stücklisten (SBOMs) zu verlangen, die sie gemäß
dieser Verordnung erstellt haben. Um die Vertraulichkeit von SBOMs zu schützen, sollten Marktüberwachungsbehörden
relevante Informationen über Abhängigkeiten in anonymisierter und aggregierter Form an die ADCO übermitteln.
Die SBOM wird als das Basis-Artefakt zur Durchführung von Schwachstellenanalysen identifiziert. Die Veröffentlichung der SBOM wird gefördert, ist jedoch optional. Die SBOM wird zudem als ein Artefakt beschrieben, das dabei hilft, neu gemeldete Schwachstellen und Cybersicherheitsrisiken in der Software-Lieferkette zu verfolgen.
(78) Um die Schwachstellenanalyse zu erleichtern, sollten Hersteller die in den Produkten mit digitalen Elementen enthaltenen Komponenten identifizieren und dokumentieren, unter anderem durch die Erstellung einer SBOM. Eine SBOM kann denjenigen, die Software herstellen, erwerben und betreiben, Informationen liefern, die ihr Verständnis der Lieferkette verbessern, was vielfältige Vorteile hat; insbesondere hilft es Herstellern und Nutzern, bekannte, neu aufgetretene Schwachstellen und Cybersicherheitsrisiken zu verfolgen. Es ist von besonderer Bedeutung, dass Hersteller sicherstellen, dass ihre Produkte mit digitalen Elementen keine von Dritten entwickelten, anfälligen Komponenten enthalten. Hersteller sollten nicht verpflichtet sein, die SBOM öffentlich zugänglich zu machen.
Das tatsächliche SBOM-Format, die Mindestanforderungen und die Verfahren für Schwachstellen- und Ausnutzbarkeitsmeldungen in der SBOM werden einer Kommission überlassen. Zur Vorbereitung hat das Bundesamt für Sicherheit in der Informationstechnik („BSI“) in Deutschland bereits die Technische Richtlinie TR-03183 hier veröffentlicht.
(119) Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden, um die technische Beschreibung der in einem Anhang dieser Verordnung festgelegten Kategorien wichtiger Produkte mit digitalen Elementen zu präzisieren, das Format und die Elemente der SBOM festzulegen, das Format und das Verfahren für die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle mit Auswirkungen auf die Sicherheit von Produkten mit digitalen Elementen, die von Herstellern eingereicht werden, näher zu bestimmen, gemeinsame Spezifikationen für technische Anforderungen festzulegen, die ein Mittel zur Einhaltung der in einem Anhang dieser Verordnung festgelegten wesentlichen Anforderungen bieten, technische Spezifikationen für Kennzeichnungen, Piktogramme oder andere Sicherheitskennzeichnungen im Zusammenhang mit der Sicherheit von Produkten mit digitalen Elementen, deren Support-Zeitraum und Mechanismen zur Förderung ihrer Nutzung und zur Schärfung des öffentlichen Bewusstseins für die Sicherheit von Produkten mit digitalen Elementen festzulegen, die vereinfachte Dokumentationsform zu präzisieren, die auf die Bedürfnisse von Kleinst- und Kleinunternehmen zugeschnitten ist, und in Ausnahmefällen, die ein sofortiges Eingreifen zur Wahrung des ordnungsgemäßen Funktionierens des Binnenmarkts rechtfertigen, korrigierende oder restriktive Maßnahmen auf Unionsebene zu beschließen. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates ausgeübt werden(34).
Die TR-03183 des BSI bezieht sich auf SBOMs, die mit CycloneDX 1.4 und höher sowie SPDX 2.3 und höher erstellt wurden, was eine gewisse Flexibilität bei der Tiefe der SBOM zulässt.
Die CRA ist noch einen Monat von der Verabschiedung und mehr als eineinhalb Jahre vom Beginn der Umsetzung entfernt. Der genehmigte Text der CRA unterstreicht jedoch die entscheidende Rolle der SBOM bei der Beschreibung, Kommunikation und Überwachung von Sicherheitsrisiken von Produkten zutiefst.