Die volle CRA-Anwendung beginnt am 11. Dezember 2027. Ab diesem Datum muss jedes Produkt mit digitalen Elementen, das auf dem EU-Markt bereitgestellt wird, die CE-Kennzeichnung tragen, und die CE-Kennzeichnung setzt eine konforme SBOM voraus. Anhang I, Teil II, Nummer 1 ist die maßgebliche Vorschrift: Hersteller müssen „Schwachstellen und Komponenten der Produkte mit digitalen Elementen ermitteln und dokumentieren, u. a. durch Erstellung einer Software-Stückliste in einem gängigen maschinenlesbaren Format, aus der zumindest die obersten Abhängigkeiten der Produkte hervorgehen". Diese Formulierung legt Format, Umfang und den Platz der SBOM in Ihrer technischen Dokumentation fest. Diese Seite erklärt, was das Gesetz verlangt und was es nicht verlangt.
Zusammenfassung
- SBOMs sind nach Anhang I, Teil II, Nummer 1 für jedes Produkt mit digitalen Elementen verpflichtend
- Das Format muss maschinenlesbar sein (CycloneDX oder SPDX; PDFs und Tabellenkalkulationen erfüllen diese Anforderung nicht)
- Mindestumfang: die obersten Abhängigkeiten der Produkte; die Abdeckung transitiver Abhängigkeiten ist Best Practice, geht aber über die gesetzliche Mindestanforderung hinaus
- Die SBOM ist Teil der technischen Dokumentation nach Anhang VII (Nummer 2 Buchstabe b, Nummer 8 regelt die Bereitstellung auf Anfrage der Marktüberwachung)
- Die Pflicht ist fortlaufend: Aktualisierungsauslöser sind jede Firmware-Version, jede Komponentenänderung und jede neu entdeckte Schwachstelle
- Volle Anwendung: 11. Dezember 2027; die Meldepflicht für Schwachstellen beginnt bereits am 11. September 2026
Die CRA-SBOM-Pflichten
Der CRA verweist in zwei zentralen Abschnitten auf SBOMs:
Anhang I: Grundlegende Anforderungen
Der offizielle Wortlaut von Anhang I, Teil II, Nummer 1 lautet:
„Schwachstellen und Komponenten der Produkte mit digitalen Elementen ermitteln und dokumentieren, u. a. durch Erstellung einer Software-Stückliste in einem gängigen maschinenlesbaren Format, aus der zumindest die obersten Abhängigkeiten der Produkte hervorgehen"
Das bedeutet:
- SBOMs sind verpflichtend, nicht optional
- Sie müssen in einem maschinenlesbaren Format vorliegen (keine PDFs oder Tabellenkalkulationen)
- Sie müssen mindestens die obersten Abhängigkeiten der Produkte abdecken; die Abdeckung transitiver Abhängigkeiten ist Best Practice, geht aber über die gesetzliche Mindestanforderung hinaus
Jedes Produkt mit digitalen Elementen, das auf dem EU-Markt bereitgestellt wird, muss eine maschinenlesbare SBOM aufweisen. Es gibt keine Ausnahme und keine Größenschwelle, unterhalb derer die Pflicht entfällt.
Anhang VII: Technische Dokumentation
Die technische Dokumentation nach Anhang VII führt die SBOM an zwei Stellen auf:
- Nummer 2 Buchstabe b: Die Beschreibung der Verfahren zur Behandlung von Schwachstellen, „einschließlich der Software-Stückliste", muss Bestandteil der vom Hersteller geführten technischen Dokumentation sein.
- Nummer 8: „gegebenenfalls auf begründetes Verlangen der Marktüberwachungsbehörde die Software-Stückliste, sofern dies erforderlich ist, damit diese Behörde die Einhaltung der grundlegenden Cybersicherheitsanforderungen in Anhang I überprüfen kann."
Die SBOM wird nicht aktiv eingereicht. Sie muss zum Zeitpunkt der Bereitstellung des Produkts auf dem EU-Markt vorliegen und den Behörden auf Anfrage zur Verfügung stehen.
Die SBOM in Anhang VII muss Folgendes ermöglichen:
- Schwachstellenverfolgung auf Komponentenebene
- Identifikation von Lieferanten
- Überprüfung der Lizenz-Compliance
- Planung des End-of-Life
Was Ihre Anhang-VII-SBOM enthalten muss
Die technische Dokumentation hat drei Pflichtdimensionen für die SBOM: Format, Inhalt und Umfang. Die folgende Tabelle zeigt, was Marktüberwachungsbehörden prüfen werden.
| Kategorie | Anforderung | Quelle |
|---|---|---|
| Format | Maschinenlesbar (CycloneDX oder SPDX) | Anhang I, Teil II, Nummer 1 |
| Format | Menschenlesbare Zusammenfassung | Best Practice |
| Inhalt | Alle Softwarekomponenten aufgelistet | Anhang I |
| Inhalt | Komponentenversionen angegeben | Anhang I |
| Inhalt | Lieferanteninformationen | Anhang I; TR-03183 |
| Inhalt | Lizenzinformationen | TR-03183 |
| Inhalt | Bekannte Schwachstellen zum Bewertungszeitpunkt | Anhang VII, Nummer 2 Buchstabe b |
| Umfang | Direkte (oberste) Abhängigkeiten | Anhang I (gesetzliche Mindestanforderung) |
| Umfang | Transitive Abhängigkeiten | TR-03183 (Best Practice) |
| Umfang | Betriebssystemkomponenten, sofern zutreffend | TR-03183 |
| Umfang | Drittanbieter-Bibliotheken | Anhang I |
Die spezifischen Feldanforderungen, die über diese Checkliste hinausgehen (PURL-Kennungen, Hash-Werte, Dokumentmetadaten), finden Sie unter BSI TR-03183 und CRA-SBOM-Anforderungen. Einen Vergleich von CycloneDX- und SPDX-Werkzeugen finden Sie unter CycloneDX vs. SPDX.
Wie ein konformer SBOM-Eintrag aussieht
Ein korrekt strukturierter Eintrag in der technischen Dokumentation nach Anhang VII verweist auf die maschinenlesbare Datei und dokumentiert den Schwachstellenstatus zum Bewertungszeitpunkt:
SOFTWARE BILL OF MATERIALS
Product: SmartSense Pro (SSP-3000)
Firmware Version: 2.4.1
SBOM Format: CycloneDX 1.5
Generated: 2027-01-15
Tool: Trivy + syft
SBOM FILE:
sbom-ssp3000-v2.4.1.json (attached)
COMPONENT SUMMARY:
-------------------------------------------------------------
Total Components: 127
Direct Dependencies: 23
Transitive Dependencies: 104
By Type:
Libraries: 98
Frameworks: 12
Operating System: 1 (FreeRTOS)
Firmware Modules: 16
VULNERABILITY STATUS AT ASSESSMENT:
-------------------------------------------------------------
Scan Date: 2027-01-15
Scanner: Trivy v0.48.0
Critical: 0
High: 0
Medium: 2 (accepted - see below)
ACCEPTED VULNERABILITIES:
CVE-2026-XXXXX (Medium): Component xyz v1.2.3
Status: Not exploitable in our configuration
Justification: Feature not enabled, code path not reachable
Review Date: 2027-04-15
-------------------------------------------------------------
SBOM UPDATE COMMITMENT:
SBOM will be updated with each firmware release and made
available to customers upon request.
Wann Sie Ihre SBOM aktualisieren müssen
Die SBOM ist kein einmaliges Dokument. Die technische Dokumentation muss während des gesamten Produktlebenszyklus aktuell gehalten werden.
Pflichtauslöser für Aktualisierungen:
| Auslöser | Was sich ändert | SBOM-Aktualisierung erforderlich? |
|---|---|---|
| Neue Firmware- oder Softwareversion | Neues Build-Artefakt | Ja, vollständige Neugenerierung |
| Veröffentlichung eines Sicherheits-Patches | Komponentenversion erhöht | Ja, betroffene Komponenten |
| Schwachstelle entdeckt und behoben | VEX oder Ausnutzbarkeits-Status | Ja, VEX-Felder |
| Komponente hinzugefügt, entfernt oder ersetzt | Abhängigkeitsgraph | Ja, vollständige Neugenerierung |
| Designänderung mit Sicherheitsauswirkung | Komponenten und Architektur | Ja, vollständige Neugenerierung |
| Änderung an angewandten harmonisierten Normen | Normenreferenz | Ja, Metadaten |
Regelmäßige Überprüfungen:
| Turnus | Umfang |
|---|---|
| Vierteljährlich | SBOM und Schwachstellenstatus |
| Jährlich | Vollständige Überprüfung der technischen Dokumentation |
| Vor Ende des Supportzeitraums | Abschließendes Einfrieren der Dokumentation |
Eine manuelle SBOM-Erstellung ist fehleranfällig und skaliert nicht über Produktversionen hinweg. Jeder Build sollte ein aktuelles SBOM-Artefakt erzeugen. Was schiefgeht, wenn Teams die Automatisierung überspringen, beschreiben die häufigen SBOM-Fehler.
Aufbewahrungspflichten
Artikel 13 Absatz 13 verpflichtet Hersteller, die technische Dokumentation und die EU-Konformitätserklärung nach dem Inverkehrbringen des Produkts mit digitalen Elementen für die Marktüberwachungsbehörden aufzubewahren. Der vollständige Wortlaut:
„Die Hersteller bewahren die technische Dokumentation und die EU-Konformitätserklärung nach dem Inverkehrbringen des Produkts mit digitalen Elementen mindestens zehn Jahre lang oder für die Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, für die Marktüberwachungsbehörden auf."
Die Frist beginnt mit der Bereitstellung der letzten Einheit auf dem Markt, nicht der ersten.
| Meilenstein | Beispieldatum |
|---|---|
| Produkt erstmals auf dem Markt bereitgestellt | März 2027 |
| Letzte Einheit auf dem Markt bereitgestellt | Dezember 2030 |
| Dokumentationsaufbewahrung bis (Minimum 10 Jahre) | Dezember 2040 |
Bewahren Sie die SBOM in einem sicheren, zugänglichen Speicher mit Backup-Verfahren, Integritätsschutz und der Möglichkeit auf, sie auf begründetes Verlangen einer Marktüberwachungsbehörde abrufen und bereitstellen zu können. Anhang VII, Nummer 8 legt fest, dass die SBOM „auf begründetes Verlangen" bereitgestellt wird, nicht proaktiv.
Durchsetzung und Sanktionen
Die volle CRA-Durchsetzung beginnt am 11. Dezember 2027. Die Meldepflicht für Schwachstellen nach Artikel 14 beginnt früher, am 11. September 2026. Produkte, die nach Dezember 2027 ohne eine konforme SBOM auf dem EU-Markt bereitgestellt werden, dürfen die CE-Kennzeichnung nicht tragen und können in der EU nicht rechtmäßig verkauft werden. Den vollständigen Zeitplan und eine Übersicht der Sanktionen finden Sie unter CRA-SBOM-Fristen und Sanktionen.
Häufig gestellte Fragen
Schreibt der CRA eine maschinenlesbare SBOM vor oder ist ein PDF ausreichend?
Anhang I schreibt ausdrücklich ein maschinenlesbares Format vor. Ein PDF ist nicht zulässig. CycloneDX oder SPDX, als JSON oder XML serialisiert, erfüllen die Anforderung. Eine Tabellenkalkulation oder ein menschenlesbares Dokument nicht.
Schreibt der CRA eine SBOM auch für Open-Source-Komponenten vor?
Ja. Anhang I verpflichtet Hersteller, Komponenten in einer maschinenlesbaren SBOM zu dokumentieren, ohne Ausnahme für Open-Source-Software. Wenn sich eine Open-Source-Bibliothek in Ihrem Produkt befindet, muss sie in Ihrer SBOM mit Versions- und Kennungsangaben erscheinen.
Wann muss eine SBOM eingereicht werden: bei der Marktbereitstellung oder auf Anfrage?
Die SBOM muss nicht proaktiv eingereicht werden. Sie muss Teil der technischen Dokumentation (Anhang VII) sein, bereit und verfügbar für Marktüberwachungsbehörden auf Anfrage. Sie muss zum Zeitpunkt der Bereitstellung des Produkts auf dem EU-Markt vorliegen.
Erfüllen die NTIA-Mindestfelder die CRA-Anforderungen?
Die NTIA-Mindestfelder (Lieferantenname, Komponentenname, Version, eindeutige Kennungen, Abhängigkeitsbeziehungen, SBOM-Autor und Zeitstempel) decken sich weitgehend mit dem, was CRA und BSI TR-03183 auf Basisniveau verlangen. Sie sind ein vernünftiger Ausgangspunkt, aber die Pflichtfelder aus TR-03183 gehen weiter: Hash-Werte und PURL-Kennungen werden für die CRA-Compliance erwartet.
Kann ich SBOMs von meinen Lieferanten übernehmen, um den CRA zu erfüllen?
Teilweise. Lieferanten-SBOMs sind ein zulässiger Ausgangspunkt für die von ihnen gelieferten Komponenten, und der CRA erwartet, dass Hersteller vorgelagerte Dokumentation nutzen. Die Pflicht nach Anhang I liegt jedoch beim Hersteller des integrierten Produkts: Sie müssen eine SBOM für das ausgelieferte Produkt erstellen und pflegen, was bedeutet, Lieferanten-SBOMs mit Ihren eigenen First-Party-Komponenten und Build-Abhängigkeiten zu konsolidieren. Fehlen in einer Lieferanten-SBOM Felder, die BSI TR-03183 vorschreibt (PURL, Hash, Lizenz), sind Sie für das Schließen dieser Lücken verantwortlich. Behandeln Sie Lieferanten-SBOMs als Rohmaterial, nicht als fertiges Compliance-Dokument.