BSI TR-03183 en CRA: SBOM-kwaliteitsvereisten voor de Duitse markt

Het Bundesamt für Sicherheit in der Informationstechnik (BSI) heeft TR-03183 gepubliceerd — een technische richtlijn die de SBOM-vereisten uitbreidt voorbij het CRA-minimum. Voor fabrikanten die op de Duitse markt actief zijn of hoge SBOM-kwaliteit willen bereiken, is TR-03183 de maatstaf.

Deze gids legt uit hoe TR-03183 aansluit op de CRA en wat u moet doen om aan beide te voldoen.

Samenvatting

• TR-03183 is een BSI-technische richtlijn die SBOM-vereisten uitbreidt voorbij het CRA-minimum
• Definieert drie kwaliteitsniveaus: Basis, Standaard en Uitgebreid
• Verplichte velden gaan verder dan CRA: hash-waarden, licentie-ID's, bronrepositories
• CycloneDX 1.4+ of SPDX 2.3+ aanbevolen
• Uitgebreid niveau wordt aanbevolen voor conformiteitsbewijzen
• TR-03183 is de de facto SBOM-kwaliteitsmaatstaf voor de CRA in de hele EU

Wat is BSI TR-03183?

Achtergrond

BSI TR-03183 "Cyber Resilience Requirements for Manufacturers and Products" is een technische richtlijn die:

• CRA-vereisten voor de Duitse markt uitwerkt
• Gedetailleerde SBOM-kwaliteitscriteria definieert
• Praktische implementatieleidraad biedt
• Twee delen heeft: Deel 1 (vereisten voor fabrikanten), Deel 2 (SBOM-vereisten)

Hoewel het een Duits document is, wordt het steeds meer beschouwd als de benchmark voor SBOM-kwaliteit bij CRA-compliance in de hele EU.

TR-03183 Deel 2: SBOM-vereisten

Deel 2 van TR-03183 richt zich specifiek op SBOM-vereisten en definieert:

1. Aanvaardbare formats (CycloneDX, SPDX)
2. Verplichte velden
3. Aanbevolen velden
4. Kwaliteitsniveaus
5. Procesverplichtingen

TR-03183 SBOM-kwaliteitsniveaus

Drie niveaus

TR-03183 definieert drie SBOM-kwaliteitsniveaus:

TR-03183 KWALITEITSNIVEAUS

NIVEAU 1: BASIS
─────────────────────────────────────────────────────
Minimumvelden aanwezig
Voldoet aan CRA-basisvereisten
Geschikt voor: Eenvoudige producten, initiële compliance

NIVEAU 2: STANDAARD
─────────────────────────────────────────────────────
Alle aanbevolen velden ingevuld
Hash-waarden aanwezig
Licentie-informatie volledig
Geschikt voor: Meeste producten, beste praktijk

NIVEAU 3: UITGEBREID
─────────────────────────────────────────────────────
Volledige afhankelijkheidsboom (direct + transitief)
Hash-verificatie voor alle componenten
Bronrepository-informatie
VEX-integratie aanbevolen
Geschikt voor: Belangrijke producten, conformiteitsbeoordeling, hoog risico

Aanbevolen niveau

TR-03183 beveelt niveau 3 (Uitgebreid) aan als doelkwaliteit voor CRA-compliance.

Voor conformiteitsbeoordelingen (met name Klasse II) verwachten aanmeldende instanties doorgaans kwaliteitsassessments op uitgebreid niveau.

Verplichte velden per niveau

Niveau 1 (Basis) — verplichte velden

Niveau 2 (Standaard) — aanvullende velden

Niveau 3 (Uitgebreid) — aanvullende velden

Formaatvereisten

Geaccepteerde formats

TR-03183 accepteert twee formats:

CycloneDX (aanbevolen voor beveiliging):

• Versie 1.4 of hoger
• JSON of XML
• Ingebouwde VEX-ondersteuning
• Afstemming op beveiligingsgebruiksscenario's

SPDX (aanbevolen voor licenties):

• Versie 2.3
• JSON, XML of RDF
• ISO/IEC 5962:2021-norm
• Sterke bij licentienalevingscases

FORMATKEUZE VOOR TR-03183

VOOR VEILIGHEIDSGERICHTE COMPLIANCE:
→ CycloneDX 1.5+ (nieuwste, aanbevolen)
→ Schakel VEX-mogelijkheden in
→ Gebruik JSON-formaat voor maximale toolcompatibiliteit

VOOR LICENTIEGERICHT COMPLIANCE:
→ SPDX 2.3
→ JSON-formaat aanbevolen
→ Gebruik SPDX-licentie-ID's voor licentievelden

VOOR DUAL COMPLIANCE (BEVEILIGING + LICENTIES):
→ Genereer beide formats
→ Of gebruik CycloneDX met licentievelden ingevuld

SBOM-procesverplichtingen

TR-03183 stelt niet alleen vereisten aan SBOM-inhoud, maar ook aan het SBOM-proces:

Generatievereisten

PROCESVERPLICHTINGEN SBOM-GENERATIE

WANNEER GENEREREN:
[ ] Bij elke release (major, minor, patch)
[ ] Na afhankelijkheidsupdates
[ ] Na beveiligingspatches
[ ] Wanneer de buildconfiguratie wijzigt

HOE GENEREREN:
[ ] Geautomatiseerde tooling (niet handmatig)
[ ] Vanuit het volledige buildproces
[ ] Inclusief transatieve afhankelijkheden
[ ] Gevalideerd tegen schema

OPSLAG:
[ ] Versiebeheer samen met product
[ ] Gekoppeld aan specifieke productversie
[ ] Gedurende 10 jaar bewaard

Kwaliteitsvalidatie

Valideer uw SBOM met de TR-03183-checklist:

TR-03183 KWALITEITSVALIDATIE

BASISCONTROLE:
[ ] Format is CycloneDX 1.4+ of SPDX 2.3
[ ] Alle componenten hebben: naam, versie, leverancier
[ ] PURL-identificatoren aanwezig
[ ] Tijdstempel aanwezig
[ ] SBOM-auteur gedocumenteerd
[ ] Afhankelijkheidsrelaties aangegeven

STANDAARDCONTROLE (NIVEAU 2):
[ ] Hash-waarden aanwezig (SHA-256 minimaal)
[ ] Licentie-informatie voor alle componenten
[ ] Downloadlocaties gedocumenteerd
[ ] Bekende kwetsbaarheden ten tijde van generatie vermeld

UITGEBREIDE CONTROLE (NIVEAU 3):
[ ] Volledige afhankelijkheidsboom inclusief transitief
[ ] Bronrepository-URL's waar beschikbaar
[ ] VEX-informatie geïntegreerd of gekoppeld
[ ] End-of-life-status voor componenten
[ ] Hash-verificatie voor alle binaire componenten

BSI-interactie voor CRA-kwetsbaarheden

Rol van het BSI in CRA

Het BSI speelt een meervoudige rol bij CRA-uitvoering in Duitsland:

1. Nationale CSIRT-coördinatie — BSI/CERT-Bund ontvangt kwetsbaarheidsrapporten
2. Markttoezicht — BSI is de waarschijnlijke markttoezichtautoriteit voor digitale producten
3. Normstelling — TR-03183 als kwaliteitsreferentie
4. Industriebegeleiding — BSI publiceert CRA-implementatiegidsen

Rapportagekanaal

Voor in Duitsland gevestigde fabrikanten en voor producten op de Duitse markt:

KWETSBAARHEIDSRAPPORTAGEFLOW (DUITSLAND)

Actief misbruikte kwetsbaarheid ontdekt
                │
                ▼
        ENISA Single Reporting Platform
                │
                ▼
        Nationale CSIRT's
                │
        Als Duitsland: BSI/CERT-Bund

Praktische implementatie

Aanbevolen toolstack voor TR-03183

TR-03183-COMPATIBELE TOOLSTACK

SBOM-GENERATIE:
- Syft (CycloneDX/SPDX, hoge kwaliteit)
- Trivy (inclusief kwetsbaarheidsintegratie)
- cdxgen (voor broncodescanning)

SBOM-VALIDATIE:
- CycloneDX CLI (schemavalidatie)
- SBOM-scorekaarten (kwaliteitsbeoordeling)
- Aangepaste scripts voor TR-03183-velden

KWETSBAARHEIDSKOPPELING:
- Grype (voor CycloneDX VEX)
- OWASP Dependency-Track
- CRA Evidence (geïntegreerd platform)

CI/CD-INTEGRATIE:
- GitHub Actions
- GitLab CI
- Jenkins

GitHub Actions-voorbeeld

name: TR-03183-conforme SBOM-generatie

on:
  push:
    branches: [main]
  release:
    types: [published]

jobs:
  sbom:
    runs-on: ubuntu-latest
    steps:
      - name: Broncode uitchecken
        uses: actions/checkout@v4

      - name: Syft installeren
        run: curl -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh | sh -s -- -b /usr/local/bin

      - name: SBOM genereren (CycloneDX)
        run: syft dir:. -o cyclonedx-json > sbom.cdx.json

      - name: SBOM-kwaliteit controleren
        run: |
          # Verifieer dat alle componenten hashes hebben
          jq '[.components[] | select(.hashes != null)] | length' sbom.cdx.json
          # Verifieer licentievelden
          jq '[.components[] | select(.licenses != null)] | length' sbom.cdx.json

      - name: SBOM-artefact uploaden
        uses: actions/upload-artifact@v4
        with:
          name: sbom
          path: sbom.cdx.json
          retention-days: 365

SBOM-kwaliteitsscorekaart

Gebruik dit framework om uw huidige SBOM te beoordelen:

TR-03183 SBOM-KWALITEITSSCOREKAART

BASISVELDEN (vereist voor Niveau 1):
□ Componentnaam aanwezig: _____ / totaal
□ Versie aanwezig: _____ / totaal
□ Leverancier aanwezig: _____ / totaal
□ PURL aanwezig: _____ / totaal
Score basisvelden: _____ %

STANDAARDVELDEN (vereist voor Niveau 2):
□ Hashes aanwezig: _____ / totaal
□ Licentie aanwezig: _____ / totaal
□ Downloadlocatie aanwezig: _____ / totaal
Score standaardvelden: _____ %

UITGEBREIDE VELDEN (vereist voor Niveau 3):
□ Transatieve afhankelijkheden: Volledig / Gedeeltelijk / Ontbreekt
□ Bronrepository: _____ / totaal
□ VEX-informatie: Aanwezig / Ontbreekt
Score uitgebreide velden: _____ %

ALGEHELE BEOORDELING:
□ Niveau 1 (Basis): Scoort hoog op alle basisvelden
□ Niveau 2 (Standaard): Scoort hoog op standaardvelden
□ Niveau 3 (Uitgebreid): Scoort hoog op alle velden

Belangrijk: TR-03183 is officieel een Duits nationaal document, maar biedt de meest uitgewerkte CRA-SBOM-kwaliteitsvereisten die beschikbaar zijn. Gebruik het als u op zoek bent naar een concrete compliancemaatstaf.

Gerelateerde gidsen:

• SBOM-vereisten onder de EU Cyber Resilience Act (CRA)
• CRA-gids voor Nederlandse fabrikanten: NCSC-NL en markttoelatingsgids

Hoe CRA Evidence helpt

CRA Evidence implementeert TR-03183-kwaliteitsscoring:

• SBOM-kwaliteitsscore: Automatische beoordeling op TR-03183-conformiteit
• Velddekking: Identificeer ontbrekende verplichte en aanbevolen velden
• Verbeteringsaanbevelingen: Concrete stappen om het kwaliteitsniveau te verhogen
• TR-03183-exportrapport: Documentatie voor conformiteitsbeoordelingen

Start uw SBOM-kwaliteitsverbetering op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.