Die Rolle von SBOM in EO14028, CRA, FDA, NIS2, DORA und PCI DSS
| Interlynk
Die Aufrechterhaltung der Softwaresicherheit ist in der heutigen digitalen Landschaft wichtiger denn je. Regulierungsbehörden weltweit haben dies erkannt und umfassende Compliance-Frameworks für Cybersicherheit vorgeschrieben. Ein wichtiges Dokument in diesen Frameworks ist die Software-Stückliste (Software Bill of Materials – SBOM), eine detaillierte Liste der Komponenten, aus denen ein Softwareprodukt besteht.
Die SBOM ist zu einem zentralen Element der Cybersicherheit geworden, und die Einhaltung mehrerer Vorschriften setzt sie inzwischen explizit voraus.
Lassen Sie uns die Rolle der SBOM in wichtigen Vorschriften wie dem Cyber Resilience Act, der FDA-Cybersecurity-Compliance und der Executive Order 14028 untersuchen und wie sie die Einhaltung von NIS2, DORA und PCI DSS 4.0 unterstützt, auch wenn sie in einigen Fällen kein zwingend erforderliches Dokument ist.
SBOM als obligatorisches Artefakt
Cyber Resilience Act (CRA)
Das Cybersecurity-Resilienz-Gesetz (Cyber Resilience Act) der Europäischen Union zielt darauf ab, klare Cybersicherheitsstandards für Produkte mit digitalen Elementen zu etablieren. Das Gesetz schreibt die Bereitstellung einer SBOM (Software-Stückliste) explizit vor, um sicherzustellen, dass Hersteller, Entwickler und Betreiber die Komponenten der Software verstehen. Dies trägt dazu bei, Risiken durch Schwachstellen in Drittanbietersoftware zu mindern. Die SBOM dient als wichtiges Dokument für Transparenz und Rechenschaftspflicht.
FDA-Konformität zur Cybersicherheit
Die US-amerikanische Food and Drug Administration (FDA) schreibt nun im Rahmen von Zulassungsanträgen für Medizinprodukte eine SBOM vor. Diese seit Oktober 2023 geltende Anforderung stellt sicher, dass alle Softwarekomponenten in einem Medizinprodukt offengelegt werden. Dies trägt zur Identifizierung und Behebung potenzieller Cybersicherheitsrisiken bei und schützt so die Patientensicherheit.
Executive Order 14028
Diese vom US-Präsidenten Biden im Mai 2021 erlassene Durchführungsverordnung zielt darauf ab, die Cybersicherheit der USA zu verbessern. Eine Kernanforderung besteht darin, dass Bundesbehörden Software erwerben müssen, die eine SBOM enthält. Diese Richtlinie fördert die Transparenz und ermöglicht ein besseres Schwachstellenmanagement in Software-Lieferketten.
SBOM für erweiterte Compliance: NIS2, DORA und PCI DSS 4.0
Obwohl eine SBOM in einigen Vorschriften kein erforderliches Artefakt ist, stellt sie dennoch ein äußerst nützliches Instrument zur Erfüllung von Compliance-Anforderungen dar. So spielt sie in den wichtigsten Frameworks eine Rolle:
NIS2-Richtlinie
Die NIS2-Richtlinie der EU konzentriert sich auf die Stärkung der Cybersicherheit kritischer Infrastrukturen in der gesamten Union. Obwohl eine SBOM nicht ausdrücklich vorgeschrieben ist, kann sie ein wertvolles Instrument sein, um die gebotene Sorgfalt bei der Sicherung von Software-Lieferketten nachzuweisen. Mit SBOMs können Organisationen ein tieferes Verständnis für die Schwachstellen ihrer Software nachweisen und proaktive Maßnahmen zur Risikominderung ergreifen.
Digital Operational Resilience Act (DORA)
DORA zielt darauf ab, die Cyber-Resilienz von Finanzunternehmen in der EU zu stärken. Obwohl das Gesetz die Verwendung einer SBOM nicht ausdrücklich vorschreibt, ermöglicht die Integration einer solchen in den Software-Lebenszyklus Finanzinstituten eine bessere Steuerung von Risiken durch Dritte. SBOMs verbessern die Compliance, indem sie die Transparenz von Softwarekomponenten erhöhen, was für eine schnelle Behebung von Schwachstellen unerlässlich ist.
DORA legt großen Wert auf robuste IKT-Risikomanagement-Frameworks, um die betriebliche Stabilität zu gewährleisten. Eine SBOM unterstützt diese Bemühungen, indem sie ein umfassendes Inventar der Softwarekomponenten erstellt und bekannte Schwachstellen identifiziert. Darüber hinaus verlangt DORA ein effektives Risikomanagement in der gesamten IKT-Lieferkette. SBOMs erleichtern dies, indem sie bösartige, veraltete, nicht mehr unterstützte (End-of-Life) oder anfällige Komponenten innerhalb der Lieferkette aufzeigen und so ein klareres Bild potenzieller Risiken vermitteln.
Das Gesetz schreibt auch Resilienztests und Funktionen zur Reaktion auf Vorfälle vor. SBOMs sind so konzipiert, dass sie die Reaktionszeiten bei Zero-Day-Schwachstellen minimieren, indem sie Softwarekomponenten und die damit verbundenen Schwachstellen nachverfolgen.
Darüber hinaus ist DORA auf globale Standards wie die NIS2-Richtlinie abgestimmt. Die Einführung von SBOMs trägt dazu bei, die Compliance mit beiden Frameworks in Einklang zu bringen. Dies fördert einheitliche Praktiken und bereitet Unternehmen auf andere Anforderungen an die Softwaretransparenz vor, wie etwa die SBOM-Mandate des Cyber Resilience Act.
PCI DSS 4.0
Die neueste Version des PCI DSS konzentriert sich auf die Sicherung von Zahlungskartendaten in einer zunehmend komplexen Bedrohungslandschaft. Obwohl eine SBOM nicht direkt erforderlich ist, kann sie die Compliance erheblich vereinfachen, indem sie ein klares Verständnis von Softwarekomponenten Dritter und potenziellen Schwachstellen vermittelt. Dies steht im Einklang mit dem Schwerpunkt von PCI DSS 4.0 auf der Aufrechterhaltung robuster Kontrollen über Software zum Schutz sensibler Daten.
Timeline-Übersichten
Jede Verordnung hat ihren eigenen Zeitplan, wann diese Cybersicherheitsanforderungen in Kraft treten. Hier sind die bekannten Termine für einige der wichtigsten Verordnungen:
FDA-Compliance zur Cybersicherheit: Wirksam ab Oktober 2023
Digital Operational Resilience Act (DORA): Wirksam ab 17. Januar 2025
PCI DSS 4.0: Durchsetzung ab März 2025, mit einer gewissen Flexibilität für den Übergang von Unternehmen.
NIS2-Richtlinie: Die Mitgliedstaaten haben bis Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen.
Cyber Resilience Act (CRA): Die endgültige Frist für die Umsetzung entwickelt sich noch, wird aber bis 2025 erwartet.
Executive Order 14028: Die SBOM-Anforderungen werden derzeit für Bundesbehörden, die Software erwerben, durchgesetzt, und die Richtlinien werden regelmäßig aktualisiert.
In der sich ständig weiterentwickelnden Landschaft der Cybersicherheitsvorschriften ist die SBOM zu einem unverzichtbaren Werkzeug für das Schwachstellenmanagement und die Sicherstellung der Compliance geworden. Sie ist ein erforderliches Artefakt für Rahmenwerke wie den Cyber Resilience Act, die FDA-Compliance zur Cybersicherheit und die Executive Order 14028, bei denen Transparenz bei der Softwarezusammensetzung von entscheidender Bedeutung ist. Obwohl Verordnungen wie NIS2, DORA und PCI DSS 4.0 diese nicht zwingend vorschreiben, bietet die SBOM einen erheblichen Mehrwert bei der Gewährleistung von Resilienz, Transparenz und einer schnelleren Reaktion auf Vorfälle, was sie zu einem strategischen Vorteil für die Compliance in verschiedenen Sektoren macht.
Das Verständnis der verschiedenen Zeitpläne und Anforderungen für die Umsetzung kann Unternehmen dabei helfen, sich proaktiv auf die Einhaltung dieser Standards vorzubereiten und ihre Cybersicherheitslage zu verbessern.