Die Software Bill of Materials (SBOM) wandelt sich durch den Cyber Resilience Act von einer Best Practice zu einer rechtlich verbindlichen Marktzugangsvoraussetzung für die EU. Ab Dezember 2027 müssen Hersteller von Produkten mit digitalen Elementen eine maschinenlesbare SBOM erstellen, die mindestens alle Top-Level-Dependencies dokumentiert - inklusive Software-Komponenten, Abhängigkeiten, bekannter Schwachstellen und Lizenzen. Die BSI-Richtlinie TR-03183-2 (Version 2.1.0) konkretisiert die formellen und fachlichen Vorgaben für SBOMs und soll die Sicherheit in Software-Lieferketten (Software Supply Chain Security) erheblich erhöhen.
Diese Entwicklung ist Teil eines globalen Trends zur Lieferketten-Transparenz: Parallel zum EU CRA führen auch die USA (Executive Order 14028) SBOM-Anforderungen ein, und die OpenSSF arbeitet an einem einheitlichen, umsetzbaren Framework für SBOM-Standards. Für Unternehmen bedeutet dies nicht nur Compliance-Aufwand, sondern die Notwendigkeit, vollständige Transparenz über alle Software-Abhängigkeiten ihrer Produkte zu schaffen - eine besondere Herausforderung bei komplexen Systemen mit hunderten Dependencies aus Open-Source- und proprietären Quellen. 29% der befragten Unternehmen sehen die SBOM-Erstellung als ihre größte CRA-Herausforderung.
Die SBOM-Pflicht hat weitreichende strategische Implikationen: Sie ermöglicht effizienteres Vulnerability-Management (Unternehmen können sofort erkennen, ob sie von neu entdeckten Schwachstellen betroffen sind), unterstützt Compliance mit weiteren Regulierungen wie dem Lieferkettensorgfaltspflichtengesetz (LkSG), und schafft die Grundlage für automatisierte Security-Analysen entlang der gesamten Lieferkette. Besonders in der Pharma-Industrie und im Gesundheitswesen, wo vernetzte Produktionsanlagen und Medizingeräte-Ökosysteme auf komplexen Software-Stacks basieren, wird SBOM zum kritischen Instrument für IT-OT-Security.
Ring "prepare" rechtfertigt sich, da Unternehmen bis 2027 SBOM-Tooling, Prozesse und Kompetenzen aufbauen müssen. Die meisten bestehenden Produktentwicklungs-Workflows erfassen Dependencies nicht systematisch genug. Investitionen in SBOM-Automation, Integration in CI/CD-Pipelines und Schulung der Entwicklungsteams sind 2025/2026 essentiell. Tools wie SPDX und CycloneDX setzen sich als Standardformate durch. Unternehmen, die jetzt starten, können SBOM auch als Wettbewerbsvorteil nutzen (Vertrauensbildung bei sicherheitsbewussten Kunden).
Quellen: BSI TR-03183-2 (2025), OpenSSF Blog (Oktober 2025), Anchore "EU CRA SBOM Requirements", FOSSA Blog, Cyber Resilience Act (EU) 2024/2847