Ejercer la diligencia debida sobre los componentes de software (SBOM y cadena de suministro)
- Se aplica a
- Manufacturer
- Citas de fuentes
- Art. 13(5)Annex I Part I §2Annex VII
- Clases de productos
- DefaultImportant — Class IImportant — Class IICritical
Lenguaje claro
Si el producto utiliza código que el fabricante no ha escrito —como bibliotecas de código abierto o SDK de proveedores—, el fabricante sigue siendo responsable de su seguridad. Se debe elaborar una lista de todos los componentes utilizados, denominada SBOM. Antes de la comercialización, deben verificarse los errores conocidos en cada componente. La lista debe mantenerse actualizada.
Texto jurídico
El artículo 13(5) del Reglamento (UE) 2024/2847 exige que los fabricantes garanticen que, en los casos en que un componente de software incorporado en un producto con elementos digitales no haya sido desarrollado por ese fabricante, el fabricante pueda cumplir sus obligaciones en virtud del presente Reglamento en relación con dicho componente de software.
Esto se refuerza mediante el Anexo I Parte I §2, que exige a los fabricantes identificar y documentar los componentes, y abordar las vulnerabilidades de componentes de terceros sin demora injustificada.
El Anexo VII exige expresamente que la documentación técnica contenga un SBOM: un inventario legible por máquina de todos los componentes de software.
Requisitos clave
- SBOM: elaborar y mantener una lista de materiales de software en un formato reconocido (CycloneDX o SPDX son los formatos estándar del sector, alineados con la orientación de ENISA)
- Verificación de componentes: revisar los componentes de terceros en busca de vulnerabilidades conocidas antes de su incorporación
- Monitorización de CVE/EUVD: monitorizar continuamente los componentes en busca de vulnerabilidades divulgadas recientemente durante todo el período de asistencia técnica
- Flujo contractual: cuando un proveedor de componentes es a su vez fabricante de un producto con elementos digitales, garantizar que la información sobre gestión de vulnerabilidades le sea comunicada
- Ningún componente con vulnerabilidades conocidas: no comercializar componentes con vulnerabilidades explotables conocidas (véase también OBL-ART13-06 sobre las verificaciones en el momento de la entrega)
Contenido mínimo del SBOM
Según la orientación de ENISA y el Anexo VII del RCA, el SBOM debe incluir:
- Nombre del componente y proveedor
- Identificador de versión
- Hash del componente (para verificación de integridad)
- Relaciones de dependencia
- Licencia conocida
Documentación que puede necesitar
- SBOM en formato CycloneDX o SPDX, con control de versiones
- Resultados del análisis de composición de software (SCA)
- Registros de las evaluaciones de vulnerabilidades de los componentes
- Disposiciones contractuales con proveedores de componentes relativas a la divulgación de vulnerabilidades
- Registros de monitorización de CVE e historial de parches/actualizaciones de componentes de terceros