De CRA-tekst impliceert dat de Software Bill of Materials (SBOM) een kritisch productbeveiligingsartefact is voor het vertrouwelijk communiceren van kwetsbaarheidsrisico's tussen markttoezichtautoriteiten (‘lokale toezichthouders’) en productfabrikanten.

• (22) … Markttoezichtautoriteiten zouden in staat moeten zijn om fabrikanten van productcategorieën
  met digitale elementen die door ADCO zijn vastgesteld, te verzoeken om de software bills of materials (SBOM's) te overleggen die zij
  hebben gegenereerd op grond van deze regelgeving. Om de vertrouwelijkheid van SBOM's te beschermen, zouden markttoezichtautoriteiten relevante informatie over afhankelijkheden anoniem en geaggregeerd aan ADCO moeten indienen.
  ‍

SBOM wordt geïdentificeerd als het basisartefact voor het opstellen van kwetsbaarheidsanalyses. SBOM wordt aangemoedigd, maar het is optioneel om deze openbaar te maken. SBOM wordt ook beschreven als een artefact dat helpt bij het volgen van nieuw gerapporteerde kwetsbaarheden en cyberbeveiligingsrisico's in de softwareleveringsketen.

• (78) Om kwetsbaarheidsanalyses te vergemakkelijken, zouden fabrikanten de componenten die in de producten met digitale elementen zijn opgenomen moeten identificeren en documenteren, onder andere door een SBOM op te stellen. Een SBOM kan diegenen die software vervaardigen, aankopen en gebruiken voorzien van informatie die hun begrip van de leveringsketen vergroot, wat meerdere voordelen met zich meebrengt, in het bijzonder helpt het fabrikanten en gebruikers om bekende nieuw ontstane kwetsbaarheden en cyberbeveiligingsrisico's te volgen. Het is van bijzonder belang dat fabrikanten ervoor zorgen dat hun producten met digitale elementen geen kwetsbare componenten bevatten die door derden zijn ontwikkeld. Fabrikanten mogen niet verplicht worden om de SBOM openbaar te maken.

Het werkelijke SBOM-formaat, minimumelementen en procedures voor kwetsbaarheids- en exploiteerbaarheidsmeldingen in SBOM blijven overgelaten aan een commissie. Ter voorbereiding heeft het Duitse Federale Bureau voor Informatiebeveiliging (“BSI”) al technische richtlijnen gepubliceerd met TR-03183 hier.

• (119) Om uniforme voorwaarden voor de uitvoering van deze regelgeving te waarborgen, zouden uitvoeringsbevoegdheden aan de Commissie moeten worden verleend om de technische beschrijving van de categorieën van belangrijke producten met digitale elementen zoals uiteengezet in een bijlage bij deze regelgeving, het formaat en de elementen van de SBOM te specificeren, verder het  formaat en de procedure van de meldingen van actief geëxploiteerde kwetsbaarheden en ernstige incidenten die invloed hebben op de beveiliging van producten met digitale elementen die door fabrikanten zijn ingediend, algemene specificaties vast te stellen die technische vereisten dekken die een middel bieden om te voldoen aan de essentiële vereisten zoals uiteengezet in een bijlage bij deze regelgeving, technische specificaties vast te stellen voor labels, pictogrammen of andere markeringen met betrekking tot de beveiliging van de producten met digitale elementen, hun ondersteuningsperiode en mechanismen om hun gebruik te bevorderen en het publiek bewust te maken van de beveiliging van producten met digitale elementen, het vereenvoudigde documentvorm dat gericht is op de behoeften van micro- en kleine ondernemingen, en beslissen over corrigerende of beperkende maatregelen op Unieniveau in uitzonderlijke omstandigheden die een onmiddellijke interventie rechtvaardigen om de juiste werking van de interne markt te waarborgen. Die bevoegdheden zouden moeten worden uitgeoefend in overeenstemming met Verordening (EU) Nr. 182/2011 van het Europees Parlement en de Raad(34).

BSI’s TR-03183 verwijst naar SBOM geproduceerd met CycloneDX 1.4 en hoger en SPDX 2.3 en hoger, waarbij enige flexibiliteit wordt gelaten in de diepte van de SBOM.

• CRA is nog een maand verwijderd van goedkeuring en meer dan anderhalf jaar vanaf het begin van de uitvoering. De goedgekeurde CRA-tekst benadrukt echter diepgaand de cruciale rol van SBOM bij het beschrijven, communiceren en monitoren van productbeveiligingsrisico's.

  ‍