CRA Alemania SBOM

BSI TR-03183 de Alemania: Cómo Extiende los Requisitos de SBOM del CRA

Entendiendo el Requisito Técnico alemán del BSI para calidad de SBOM. Una guía para fabricantes Qué apuntan al mercado alemán con productos conformes al CRA.

Equipo CRA Evidence
Autor
8 de enero de 2026
Actualizado 25 de febrero de 2026, 0:00:00 UTC
11 min de lectura
BSI TR-03183 de Alemania: Cómo Extiende los Requisitos de SBOM del CRA
In this article

El BSI de Alemania ha publicado TR-03183, un requisito técnico Qué va más allá de las expectativas base del CRA para SBOM. Si estás vendiendo productos con elementos digitales en Alemania, entender TR-03183 te ayuda a cumplir tanto el CRA Cómo las expectativas elevadas del mercado alemán.

Esta guía explica qué requiere TR-03183 y cómo se relaciona con el cumplimiento CRA.

Resumen Ejecutivo

  • BSI TR-03183 es un requisito técnico alemán para calidad de SBOM y gestión de vulnerabilidades
  • Operacionaliza los requisitos CRA con guía técnica específica
  • Tres partes: Parte 1 (general), Parte 2 (SBOM), Parte 3 (informes de vulnerabilidades)
  • Más prescriptivo Qué CRA solo. Especifica formatos, campos y procesos
  • El cumplimiento con TR-03183 demuestra fuerte cumplimiento CRA

¿Qué es TR-03183?

BSI TR-03183 "Requisitos de Ciberresiliencia para Fabricantes y Productos" es un requisito técnico publicado por la Oficina Federal Alemana para la Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik).

Estado: Requisito técnico, no ley. Pero:

  • Referenciado por requisitos de contratación pública alemana
  • Esperado por clientes alemanes
  • Demuestra mejores prácticas para cumplimiento CRA
  • Puede informar futuras normas armonizadas del CRA

Estructura de TR-03183

ESTRUCTURA TR-03183

Parte 1: Requisitos Generales
├── Alcance y aplicabilidad
├── Relación con CRA
├── Requisitos de seguridad del producto
└── Criterios de conformidad

Parte 2: Software Bill of Materials (SBOM)
├── Requisitos de generación de SBOM
├── Campos y metadatos requeridos
├── Especificaciones de formato (CycloneDX, SPDX)
├── Requisitos de entrega y actualización
└── Criterios de calidad

Parte 3: Informes y Avisos de Vulnerabilidades
├── Requisitos de divulgación de vulnerabilidades
├── Formato de informe (CSAF)
├── Publicación de avisos
├── VEX (Vulnerability Exploitability eXchange)
└── Requisitos de coordinación

TR-03183 vs CRA: Diferencias Clave

Requisitos de SBOM

Aspecto Requisito CRA Especificación TR-03183
Formato "Legible por máquina" CycloneDX 1.4+ o SPDX 2.3+
Alcance "Dependencias de nivel superior" (mínimo) Árbol completo de dependencias requerido
Campos No especificado Requisitos detallados de campos
Entrega "Bajo solicitud" Mecanismos de entrega proactiva
Actualizaciones Cuando el producto cambia Dentro de plazos definidos

Gestión de Vulnerabilidades

Aspecto Requisito CRA Especificación TR-03183
Formato No especificado CSAF 2.0 para avisos
VEX No requerido explícitamente Documentos VEX esperados
Timing "Sin demora" Plazos específicos
Coordinación CVD requerido Proceso de coordinación detallado

TR-03183 Parte 2: SBOM en Profundidad

Formatos de SBOM Requeridos

TR-03183 acepta:

  • CycloneDX 1.4 o posterior (preferido)
  • SPDX 2.3 o posterior

Otros formatos (SWID, personalizados) no son conformes.

Campos Requeridos

TR-03183 especifica campos mínimos requeridos:

CAMPOS REQUERIDOS SBOM (TR-03183)

METADATOS DEL DOCUMENTO:
├── Formato y versión del SBOM
├── Nombre/identificador del documento
├── Marca de tiempo de creación
├── Información de herramienta creadora
├── Namespace del documento (SPDX) / serialNumber (CycloneDX)
└── Versión de especificación

COMPONENTE PRIMARIO (el producto):
├── Nombre
├── Versión
├── Proveedor/fabricante
├── Identificador único (purl, CPE)
└── Descripción

CADA COMPONENTE:
├── Nombre
├── Versión
├── Proveedor
├── Identificador único (purl preferido)
├── Licencia(s)
├── Hash/checksum (SHA-256 mínimo)
├── Tipo de componente (biblioteca, framework, etc.)
└── Relación con padre

RELACIONES:
├── Relaciones de dependencia
├── Relaciones de contenido
└── Relaciones de herramientas de compilación (si aplica)

Criterios de Calidad del SBOM

TR-03183 define expectativas de calidad:

Completitud:

  • Todas las dependencias directas incluidas
  • Dependencias transitivas incluidas
  • Componentes del sistema operativo (si embebido)
  • Herramientas de compilación (si relevantes para seguridad)

Precisión:

  • Números de versión correctos
  • Identificadores únicos válidos (formato purl)
  • Información de licencia precisa
  • Hashes funcionales

Oportunidad:

  • SBOM refleja versión actual del producto
  • Actualizado con cada release
  • Vulnerabilidades evaluadas contra SBOM actual

Ejemplo de Generación de SBOM

Estructura de SBOM conforme (CycloneDX):

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79",
  "version": 1,
  "metadata": {
    "timestamp": "2027-01-15T10:00:00Z",
    "tools": [
      {
        "vendor": "Syft",
        "name": "syft",
        "version": "0.98.0"
      }
    ],
    "component": {
      "type": "firmware",
      "name": "SmartSensor Pro",
      "version": "2.4.1",
      "supplier": {
        "name": "Example GmbH",
        "url": ["https://example.de"]
      },
      "purl": "pkg:firmware/example/smartsensor-pro@2.4.1"
    }
  },
  "components": [
    {
      "type": "library",
      "name": "openssl",
      "version": "3.0.12",
      "purl": "pkg:generic/openssl@3.0.12",
      "licenses": [
        {
          "license": {
            "id": "Apache-2.0"
          }
        }
      ],
      "hashes": [
        {
          "alg": "SHA-256",
          "content": "abc123..."
        }
      ],
      "supplier": {
        "name": "OpenSSL Software Foundation"
      }
    }
  ],
  "dependencies": [
    {
      "ref": "pkg:firmware/example/smartsensor-pro@2.4.1",
      "dependsOn": [
        "pkg:generic/openssl@3.0.12"
      ]
    }
  ]
}

TR-03183 Parte 3: Gestión de Vulnerabilidades

Requisito de Formato CSAF

TR-03183 requiere avisos de seguridad en formato CSAF (Common Security Advisory Framework) 2.0.

Por qué CSAF:

  • Legible por máquina
  • Estructura estandarizada
  • Soporta automatización
  • Incluye árbol de productos y mapeo de vulnerabilidades

Estructura de Aviso CSAF

{
  "document": {
    "category": "csaf_security_advisory",
    "csaf_version": "2.0",
    "publisher": {
      "category": "vendor",
      "name": "Example GmbH",
      "namespace": "https://example.de"
    },
    "title": "Actualización de Seguridad para SmartSensor Pro",
    "tracking": {
      "current_release_date": "2027-02-01T10:00:00Z",
      "id": "EXAMPLE-2027-001",
      "initial_release_date": "2027-02-01T10:00:00Z",
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "category": "product_name",
        "name": "SmartSensor Pro",
        "branches": [
          {
            "category": "product_version_range",
            "name": "vers:generic/<2.4.2",
            "product": {
              "name": "SmartSensor Pro < 2.4.2",
              "product_id": "CSAFPID-0001"
            }
          }
        ]
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2027-XXXXX",
      "product_status": {
        "fixed": ["CSAFPID-0002"],
        "known_affected": ["CSAFPID-0001"]
      },
      "remediations": [
        {
          "category": "vendor_fix",
          "details": "Actualizar a versión 2.4.2",
          "product_ids": ["CSAFPID-0001"]
        }
      ]
    }
  ]
}

Requisitos de VEX

TR-03183 espera documentos VEX (Vulnerability Exploitability eXchange):

Propósito: Comunicar si una vulnerabilidad conocida en un componente realmente afecta a tu producto.

Opciones de Estado:

  • not_affected: La vulnerabilidad no afecta a este producto
  • affected: La vulnerabilidad afecta a este producto
  • fixed: La vulnerabilidad estaba presente pero ahora está corregida
  • under_investigation: Aún evaluando

Ejemplo VEX (CycloneDX VEX):

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "version": 1,
  "vulnerabilities": [
    {
      "id": "CVE-2027-XXXXX",
      "source": {
        "name": "NVD",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2027-XXXXX"
      },
      "analysis": {
        "state": "not_affected",
        "justification": "code_not_reachable",
        "detail": "La función vulnerable no se llama en nuestra implementación."
      },
      "affects": [
        {
          "ref": "pkg:generic/openssl@3.0.12"
        }
      ]
    }
  ]
}

Implementación Práctica

Flujo de Trabajo de Generación de SBOM

FLUJO DE TRABAJO SBOM CONFORME TR-03183

1. FASE DE COMPILACIÓN
   ├── Generar SBOM durante compilación
   ├── Herramienta: Syft, Trivy o similar
   ├── Formato: CycloneDX 1.5
   └── Incluir todas las dependencias

2. FASE DE VALIDACIÓN
   ├── Verificar campos requeridos presentes
   ├── Comprobar validez de formato purl
   ├── Validar hashes
   └── Confirmar completitud

3. ESCANEO DE VULNERABILIDADES
   ├── Escanear SBOM contra bases de datos de vulnerabilidades
   ├── Documentar hallazgos
   ├── Generar VEX para falsos positivos
   └── Seguir remediación para verdaderos positivos

4. ENTREGA
   ├── Adjuntar a release del producto
   ├── Publicar en portal de clientes
   ├── Proporcionar bajo solicitud
   └── Actualizar con cada versión

5. MANTENIMIENTO
   ├── Re-escanear periódicamente
   ├── Actualizar VEX según necesario
   ├── Publicar avisos (CSAF)
   └── Seguir durante ciclo de vida del producto

Proceso de Publicación de Avisos

FLUJO VULNERABILIDAD → AVISO

Descubrimiento
    │
    ▼
Evaluación
├── Versiones afectadas
├── Severidad (CVSS)
└── Explotabilidad
    │
    ▼
Desarrollo de Remediación
├── Desarrollo de parche
├── Pruebas
└── Preparación de release
    │
    ▼
Creación de Aviso (CSAF)
├── Metadatos del documento
├── Árbol de productos
├── Detalles de vulnerabilidad
└── Info de remediación
    │
    ▼
Publicación
├── CSAF a canales de distribución
├── Aviso web (legible por humanos)
├── Notificación a clientes
└── Actualizar documentos VEX
    │
    ▼
Monitorización
├── Seguir adopción de parche
├── Monitorizar explotación
└── Actualizar aviso si necesario

Lista de Verificación de Cumplimiento TR-03183 

LISTA DE VERIFICACIÓN CUMPLIMIENTO TR-03183

PARTE 2 - SBOM:

Formato:
[ ] CycloneDX 1.4+ o SPDX 2.3+
[ ] Válido según esquema
[ ] Legible por máquina

Metadatos:
[ ] Identificador/número de serie del documento
[ ] Marca de tiempo de creación
[ ] Información de herramienta creadora
[ ] Versión de especificación

Componente Primario:
[ ] Nombre del producto
[ ] Versión del producto
[ ] Información del proveedor
[ ] Identificador único (purl)

Cada Componente:
[ ] Nombre y versión
[ ] Información del proveedor
[ ] Identificador único (purl preferido)
[ ] Información de licencia
[ ] Hash (SHA-256+)
[ ] Tipo de componente

Relaciones:
[ ] Relaciones de dependencia definidas
[ ] Árbol completo de dependencias

Calidad:
[ ] Todas las dependencias directas incluidas
[ ] Dependencias transitivas incluidas
[ ] Versiones precisas y actuales
[ ] Identificadores válidos

PARTE 3 - GESTIÓN DE VULNERABILIDADES:

Formato de Aviso:
[ ] Capacidad de formato CSAF 2.0
[ ] Árbol de productos definido
[ ] Mapeo de vulnerabilidades

VEX:
[ ] Documentos VEX para componentes SBOM
[ ] Estado para vulnerabilidades conocidas
[ ] Justificación para "not_affected"

Proceso:
[ ] Monitorización de vulnerabilidades activa
[ ] Proceso de respuesta definido
[ ] Proceso de publicación de avisos
[ ] Proceso de notificación a clientes

Relación con el Cumplimiento CRA

TR-03183 Cómo Mejor Práctica CRA

TR-03183 operacionaliza los requisitos CRA:

Requisito CRA Implementación TR-03183
"SBOM legible por máquina" CycloneDX/SPDX con campos específicos
"Identificar vulnerabilidades" Escaneo SBOM + proceso VEX
"Documentar vulnerabilidades" Avisos CSAF
"Abordar sin demora" Proceso de respuesta definido

Estrategia de Cumplimiento

Si apuntas específicamente a Alemania:

  • Implementar TR-03183 completamente
  • Demuestra cumplimiento CRA más alineación con mercado alemán

Si apuntas a UE más amplia:

  • El cumplimiento CRA es el requisito legal
  • TR-03183 representa mejores prácticas elevadas
  • Considerar implementar incluso para mercados no alemanes

Armonización Futura

TR-03183 puede influenciar:

  • Futuras normas armonizadas del CRA
  • Normalización europea (CEN/CENELEC)
  • Otros requisitos técnicos de estados miembros

Implementar TR-03183 ahora te posiciona adelante de potenciales requisitos futuros.

Consideraciones del Mercado Alemán

Certificación BSI

Para ciertos productos, la certificación BSI puede ser relevante:

  • Productos de seguridad TI
  • Servicios cloud
  • Componentes de infraestructura crítica

El cumplimiento TR-03183 apoya (pero no reemplaza) procesos de certificación.

Contratación Pública

La contratación del sector público alemán espera cada vez más:

  • Provisión de SBOM
  • Capacidad de gestión de vulnerabilidades
  • Cumplimiento de estándares

El cumplimiento TR-03183 aborda estas expectativas.

Expectativas de Clientes

Los clientes empresariales alemanes frecuentemente esperan:

  • SBOMs detallados
  • Comunicación pronta de vulnerabilidades
  • Proceso formal de avisos

TR-03183 proporciona el marco Qué reconocen.

Herramientas para Cumplimiento TR-03183

Generación de SBOM

Herramienta CycloneDX SPDX Notas
Syft Escaneo de contenedor y filesystem
Trivy Escaneo de vulnerabilidades integrado
cdxgen Soporte multi-lenguaje
SPDX tools Herramientas oficiales SPDX

Validación de SBOM

Herramienta Propósito
cyclonedx-cli Validar SBOMs CycloneDX
spdx-tools Validar SBOMs SPDX
sbom-scorecard Evaluación de calidad

Creación de CSAF

Herramienta Propósito
Secvisogram Editor CSAF (basado en web)
CSAF validator Validar documentos CSAF

Gestión de VEX

Herramienta Propósito
vexctl Gestión de documentos VEX
OpenVEX Generación y validación VEX

Información: BSI TR-03183 es un estandar aleman, pero se esta convirtiendo en el punto de referencia de calidad de facto para el cumplimiento SBOM del CRA en toda la UE.

Consejo: Utilice los niveles de calidad TR-03183 para mejorar progresivamente su SBOM: comience con Basic, apunte a Comprehensive.

Guias relacionadas:

Cómo Ayuda CRA Evidence

CRA Evidence soporta cumplimiento TR-03183:

  • Gestión de SBOM: Soporte CycloneDX y SPDX
  • Validación: Verificar completitud de SBOM contra requisitos TR-03183
  • Seguimiento VEX: Gestionar estado de vulnerabilidades entre productos
  • Soporte de avisos: Asistencia en generación CSAF
  • Mercado alemán: Guía específica para alineación BSI

Cumple los requisitos TR-03183 en app.craevidence.com.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento, consulte con asesoría legal cualificada.

VERIFICAR CON FUENTE PRIMARIA: Los detalles de TR-03183 deben verificarse contra la publicación oficial del BSI, ya Qué las especificaciones pueden actualizarse.

Temas tratados en este artículo

Compartir este artículo

Artículos Relacionados

Does the CRA apply to your product?

Responde 6 preguntas sencillas para saber si tu producto entra en el ámbito de la Ley de Resiliencia Cibernética de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Comienza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días
Volver a todos los artículos