Sorgfaltspflicht gegenüber Softwarekomponenten wahrnehmen (SBOM und Lieferkette)
- Gilt für
- Manufacturer
- Quellenangaben
- Art. 13(5)Annex I Part I §2Annex VII
- Produktklassen
- DefaultImportant — Class IImportant — Class IICritical
Einfache Sprache
Enthält das Produkt Code, der nicht selbst geschrieben wurde – wie Open-Source- Bibliotheken oder Hersteller-SDKs – bleibt die Verantwortung für dessen Sicherheit bestehen. Es ist eine vollständige Liste aller verwendeten Bestandteile zu erstellen. Diese Liste wird als SBOM bezeichnet. Vor der Auslieferung sind alle Bestandteile auf bekannte Schwachstellen zu prüfen. Die Liste ist aktuell zu halten.
Rechtstext
Artikel 13(5) der Verordnung (EU) 2024/2847 verpflichtet Hersteller sicherzustellen, dass sie in Fällen, in denen eine in einem Produkt mit digitalen Elementen enthaltene Softwarekomponente nicht von diesem Hersteller entwickelt wurde, ihre Pflichten aus dieser Verordnung in Bezug auf diese Softwarekomponente erfüllen können.
Dies wird durch Anhang I Teil I §2 bekräftigt, der von Herstellern verlangt, Komponenten zu identifizieren und zu dokumentieren sowie Schwachstellen in Drittanbieterkomponenten unverzüglich zu beheben.
Anhang VII schreibt ausdrücklich vor, dass die technische Dokumentation eine SBOM – ein maschinenlesbares Verzeichnis aller Softwarekomponenten – enthält.
Wesentliche Anforderungen
- SBOM – eine Software-Stückliste in einem anerkannten Format erstellen und pflegen (CycloneDX oder SPDX sind die branchenüblichen Formate entsprechend den ENISA-Leitlinien)
- Komponenten-Prüfung – Drittanbieterkomponenten vor der Aufnahme auf bekannte Schwachstellen prüfen
- CVE/EUVD-Überwachung – Komponenten während des gesamten Unterstützungszeitraums kontinuierlich auf neu bekanntgewordene Schwachstellen überwachen
- Vertragliche Weitergabe – sofern ein Komponentenlieferant selbst Hersteller eines Produkts mit digitalen Elementen ist, ist sicherzustellen, dass Schwachstelleninformationen weitergeleitet werden
- Keine wissentlich verwundbaren Komponenten – keine Komponenten mit bekannten ausnutzbaren Schwachstellen ausliefern (siehe auch OBL-ART13-06 zu Prüfungen zum Lieferzeitpunkt)
Mindestinhalt der SBOM
Gemäß ENISA-Leitlinien und CRA Anhang VII sollte die SBOM Folgendes enthalten:
- Name und Anbieter der Komponente
- Versionskennung
- Komponenten-Hash (zur Integritätsprüfung)
- Abhängigkeitsbeziehungen
- Bekannte Lizenz
Nachweise, die Sie möglicherweise benötigen
- SBOM im Format CycloneDX oder SPDX, versionskontrolliert
- Ergebnisse der Software-Kompositionsanalyse (SCA)
- Aufzeichnungen zur Schwachstellenbewertung von Komponenten
- Vertragliche Regelungen mit Komponentenlieferanten zur Schwachstellen-Offenlegung
- CVE-Überwachungsaufzeichnungen und Patch-/Update-Historie für Drittanbieterkomponenten