• De EU Cyber Resilience Act (CRA) is momenteel in de commissie stemprocedure. CRA zal waarschijnlijk een internationaal formaat gebruiken voor SBOM-eisen.

• CRA zal waarschijnlijk de “markttoezichtsautoriteiten” machtigen om SBOM te eisen, maar het is onwaarschijnlijk dat het vereisen van het openbaar maken van SBOM zal gebeuren.

• De beoordeling van de SBOM door METI is aan de gang, en eventuele definitieve aanbevelingen zullen waarschijnlijk in 2024 van kracht worden.‍

• Auto-ISAC heeft een comité voor alleen leden over SBOM, en daarom kan niet alle informatie worden gedeeld. Echter, 1.5 triljoen dollar aan ondernemingswaarde is vertegenwoordigd in die groep.

• De werkgroep voor Cloud Adoptie van SBOM zal aanbevelen dat SaaSBOM een “Bill of Services” (derdepersoonsafhankelijke API's en diensten - dit is alleen mogelijk met CycloneDX).

• CISA gaat op zoek naar een manier om M-22–18-naleving (zelfbeoordeling) te mengen met SBOM-naleving.

• In de succesverhalen deelde één deelnemer mee dat hun trainingprogramma’s voor bestuursleden training omvatten over SBOM-eisen. Een andere deelnemer deelde dat de SBOM-review deel uitmaakt van de agenda van het bedrijf voor het bestuur.

• Vertegenwoordigers van fabrikanten van medische apparaten lijken onduidelijk te zijn over hoe ze kwetsbaarheden moeten openbaarmaken. Eén organisatie deelde dat ze SBOM in “Microsoft Word”-documenten zien en daar moeite mee hebben. De richtlijnen van de FDA zijn nog in afwachting, terwijl de deadline op 1 oktober is.

• CISA meldde dat er een paar grote aankondigingen van leveranciers “snel” aankomen en waarschijnlijk de consumptie en adoptie van SBOM zullen versnellen. Dit zijn enorme beursgenoteerde bedrijven. Geen details.

Alle dia's zullen waarschijnlijk de komende dagen op de site van CISA worden gedeeld.