HBOM voor CRA-compliance: gids Hardware Bill of Materials

Hoewel SBOM (Software Bill of Materials) de meeste aandacht krijgt, bevatten producten met digitale elementen vaak significante hardwarecomponenten, die elk firmware kunnen bevatten met eigen kwetsbaarheden. HBOM (Hardware Bill of Materials) biedt zichtbaarheid in deze fysieke componenten en hun ingesloten software.

Deze gids legt HBOM uit in de CRA-context.

Samenvatting

• HBOM = inventaris van hardwarecomponenten in uw product
• CRA vereist HBOM niet expliciet, maar hardware heeft firmware = software
• Firmware in componenten heeft kwetsbaarheidstracking nodig (CRA-vereiste)
• HBOM helpt de toeleveringsketen te traceren voor beveiligingsdoeleinden
• CycloneDX ondersteunt zowel SBOM als HBOM in een uniform formaat
• Overweeg HBOM voor producten met aanzienlijke hardwarecomplexiteit

Wat is HBOM?

Definitie

Een Hardware Bill of Materials (HBOM) is een gestructureerde inventaris van fysieke componenten in een product, doorgaans inclusief:

• Componentidentificatie (onderdeelnummers, fabrikanten)
• Hardware-versies/revisies
• Firmwareversies (ingebed in componenten)
• Beveiligingsrelevante kenmerken
• Informatie over toeleveringsketen

HBOM vs. traditionele BOM

TRADITIONELE BOM (productie):
Focus: Productie en inkoop
Inhoud: Onderdelen, hoeveelheden, leveranciers, kosten
Gebruik: Productie, voorraad, inkoop

HBOM (beveiligingsgericht):
Focus: Beveiliging en transparantie
Inhoud: Componenten, firmware, beveiligingskenmerken
Gebruik: Kwetsbaarheidsbeheer, beveiliging toeleveringsketen

OVERLAP:
Beide vermelden fysieke componenten
HBOM voegt beveiligingsrelevante informatie toe
HBOM koppelt aan firmware-/software-inhoud

HBOM vs. SBOM

SBOM:
- Softwarecomponenten
- Bibliotheken en afhankelijkheden
- Besturingssysteemcomponenten
- Applicatiecode

HBOM:
- Hardwarecomponenten
- Chips en modules
- Firmware in componenten
- Fysieke beveiligingsfuncties

RELATIE:
┌─────────────────────────────────────────────┐
│ Volledige producttransparantie              │
│                                             │
│  ┌─────────────┐    ┌─────────────┐        │
│  │    SBOM     │    │    HBOM     │        │
│  │             │    │             │        │
│  │ Applicatie  │    │ PCB         │        │
│  │ Biblioth.   │◄──►│ Chips       │        │
│  │ OS          │    │ Modules     │        │
│  │ Firmware*   │    │ Firmware*   │        │
│  └─────────────┘    └─────────────┘        │
│                                             │
│  *Firmware verschijnt in beide. Het is     │
│   software die op hardware draait           │
└─────────────────────────────────────────────┘

Waarom HBOM belangrijk is voor de CRA

CRA-vereisten en hardware

Hoewel de CRA zich richt op "producten met digitale elementen", zijn deze producten vaak hardwareapparaten:

CRA Artikel 3(1) definitie:

"'product met digitale elementen' betekent een software- of hardwareproduct en de bijbehorende oplossingen voor externe gegevensverwerking..."

Hardware bevat software:

• Microcontrollers hebben firmware
• Netwerkapparaten hebben ingebedde code
• Beveiligingsmodules hebben cryptografische software
• Sensoren kunnen verwerkingsfirmware hebben

Vereiste voor kwetsbaarheidstracking

De CRA vereist van fabrikanten:

• Geen bekende exploiteerbare kwetsbaarheden
• Kwetsbaarheden in productcomponenten afhandelen
• Beveiligingsupdates leveren

Voor hardwareproducten betekent dit:

• Kwetsbaarheden in componentfirmware traceren
• Weten wat er in uw hardware zit
• In staat zijn componentkwetsbaarheden bij te werken of te mitigeren

Traceerbaarheid toeleveringsketen

CRA Artikel 13(5) vereist gepaste zorgvuldigheid voor componenten:

"Fabrikanten moeten de nodige zorgvuldigheid betrachten bij het integreren van componenten van derden..."

HBOM ondersteunt dit door te documenteren:

• Welke componenten in uw product zitten
• Wie ze levert
• Welke firmwareversies aanwezig zijn
• Welke beveiligingsfuncties ze hebben

Wat op te nemen in HBOM

Kerncomponentinformatie

STRUCTUUR HBOM-COMPONENTINVOER

IDENTIFICATIE:
- Componenttype (MCU, radiomodule, sensor, enz.)
- Naam fabrikant
- Onderdeelnummer / Model
- Hardwarerevisie

FIRMWARE-INFORMATIE:
- Firmwareversie
- Firmwareleverancier (indien afwijkend van HW)
- Updatecapaciteit
- Status bekende kwetsbaarheden

BEVEILIGINGSKENMERKEN:
- Ondersteuning voor secure boot
- Hardware-beveiligingsmodule
- Tamperbestendigheid
- Cryptografische mogelijkheden
- Uniek ID / serienummer

TOELEVERINGSKETEN:
- Directe leverancier
- Herkomstland (indien bekend)
- EOL-status

Te traceren componentcategorieën

HBOM-COMPONENTCATEGORIEËN

VERWERKING:
- Hoofdprocessor / MCU
- Co-processors
- FPGA / programmeerbare logica
- Applicatieprocessors

CONNECTIVITEIT:
- WiFi-modules
- Bluetooth-modules
- Cellulaire modems
- Ethernet-controllers
- LoRa / Zigbee / Thread-radio's

BEVEILIGING:
- TPM / Beveiligde elementen
- Hardware-beveiligingsmodules
- Crypto-acceleratoren
- Beveiligd geheugen

OPSLAG:
- Flashgeheugen
- EEPROM
- SD-kaartcontrollers

SENSOREN:
- Omgevingssensoren
- Bewegingssensoren
- Biometrische sensoren
- Beeldsensoren

VOEDING:
- Voedingsbeheer-IC's
- Batterijbeheer

INTERFACE:
- Displaycontrollers
- USB-controllers
- Audiocodecs

Dieptenoverwegingen

DIEPTENIVEAUS HBOM

NIVEAU 1: Hoofdcomponenten
- Hoofdprocessor
- Connectiviteitsmodules
- Beveiligingselementen
- Componenten met bijwerkbare firmware

NIVEAU 2: Secundaire componenten
- Ondersteunende IC's
- Sensoren
- Geheugenchips
- Voedingsbeheer

NIVEAU 3: Passieve/eenvoudige componenten
- Doorgaans NIET in HBOM
- Weerstanden, condensatoren
- Eenvoudige connectoren
- Niet-programmeerbare componenten

AANBEVELING VOOR CRA:
Focus op Niveau 1 (kritiek)
Neem Niveau 2 op indien haalbaar
Niveau 3 zelden beveiligingsrelevant

HBOM-formaatopties

CycloneDX HBOM

CycloneDX ondersteunt hardwarecomponenten standaard:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:...",
  "version": 1,
  "metadata": {
    "component": {
      "type": "device",
      "name": "Smart Sensor Pro",
      "version": "2.0"
    }
  },
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "version": "Rev 3",
      "manufacturer": {
        "name": "Espressif Systems"
      },
      "description": "WiFi+BT SoC Module",
      "properties": [
        {
          "name": "firmware-version",
          "value": "4.4.1"
        },
        {
          "name": "secure-boot",
          "value": "supported"
        }
      ]
    },
    {
      "type": "device",
      "name": "ATECC608B",
      "version": "Rev B",
      "manufacturer": {
        "name": "Microchip"
      },
      "description": "Secure Element",
      "properties": [
        {
          "name": "type",
          "value": "secure-element"
        }
      ]
    }
  ]
}

SPDX HBOM

SPDX kan ook hardware vertegenwoordigen:

SPDXVersion: SPDX-2.3
DataLicense: CC0-1.0
SPDXID: SPDXRef-DOCUMENT
DocumentName: Smart-Sensor-Pro-HBOM
DocumentNamespace: https://example.com/hbom/ssp-2.0

PackageName: ESP32-WROOM-32E
SPDXID: SPDXRef-MCU
PackageVersion: Rev3
PackageSupplier: Organization: Espressif Systems
PackageDownloadLocation: NOASSERTION
FilesAnalyzed: false
PackageComment: Hoofd WiFi+BT module, firmware v4.4.1

Gecombineerde SBOM+HBOM

De beste praktijk is vaak een gecombineerde BOM:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "description": "Hardwaremodule"
    },
    {
      "type": "firmware",
      "name": "ESP-IDF",
      "version": "4.4.1",
      "description": "Firmware op ESP32"
    },
    {
      "type": "library",
      "name": "mbedtls",
      "version": "2.28.0",
      "description": "TLS-bibliotheek in firmware"
    }
  ],
  "dependencies": [
    {
      "ref": "ESP32-WROOM-32E",
      "dependsOn": ["ESP-IDF"]
    },
    {
      "ref": "ESP-IDF",
      "dependsOn": ["mbedtls"]
    }
  ]
}

HBOM aanmaken en bijhouden

Initiële aanmaak HBOM

HBOM-AANMAAKPROCES

STAP 1: HARDWARE INVENTARISEREN
- Schematisch / BOM van engineering bekijken
- Programmeerbare componenten identificeren
- Componenten met firmware noteren

STAP 2: INFORMATIE VERZAMELEN
- Technische specificaties fabrikant
- Onderdeelnummers en revisies
- Firmwareversies van leveranciers
- Informatie over beveiligingsfuncties

STAP 3: BEVEILIGINGSRELEVANTIE BEOORDELEN
- Heeft component firmware?
- Kan firmware worden bijgewerkt?
- Behandelt het beveiligingsfuncties?
- Is het netwerkverbonden?

STAP 4: GEGEVENS STRUCTUREREN
- Formaat kiezen (CycloneDX aanbevolen)
- Componentinformatie invoeren
- Koppelen aan firmware-SBOM waar van toepassing
- Beveiligingskenmerken documenteren

STAP 5: VALIDEREN
- Kruisverwijzing met engineering BOM
- Firmwareversies verifiëren
- Leveranciersinformatie bevestigen

Doorlopend onderhoud

HBOM-ONDERHOUDSPROCES

TRIGGER: Hardwarerevisie
- Componentinvoeren bijwerken
- Versiewijzigingen noteren
- Firmwareversies bijwerken

TRIGGER: Firmware-update
- Firmwareversie in HBOM bijwerken
- Koppelen aan bijgewerkte SBOM voor firmware
- CVE-statuswijzigingen bijhouden

TRIGGER: Einde levensduur component
- Status component markeren
- Vervangingsplan documenteren
- Beveiligingsimpact beoordelen

TRIGGER: Kwetsbaarheid ontdekt
- HBOM controleren op getroffen componenten
- Exploiteerbaarheid beoordelen
- Herstel plannen

REGELMATIGE BEOORDELING:
- Kwartaallijkse nauwkeurigheidscontrole HBOM
- Jaarlijkse beoordeling toeleveringsketen
- Monitoring EOL-componenten

Toolondersteuning

HBOM-TOOLINGOPTIES

COMMERCIEEL:
- Finite State (firmware-/hardwareanalyse)
- Cybellum (automotive focus)
- Exein (ingebedde beveiliging)

OPEN SOURCE:
- CycloneDX CLI (formaatvalidatie)
- SBOM-tooling (veel ondersteunen hardwaretypen)

INTEGRATIE:
- PLM-systemen (Product Lifecycle Management)
- ERP-integratie voor BOM-gegevens
- CI/CD voor firmware-SBOM

HBOM voor specifieke producttypen

IoT-apparaten

HBOM-FOCUS IOT-APPARAAT

KRITIEKE COMPONENTEN:
- Hoofd-MCU/SoC (firmware!)
- Connectiviteitsmodule (WiFi, BT, cellular)
- Beveiligd element (indien aanwezig)
- Sensoren met verwerkingscapaciteit

VOORBEELDINVOER:
Component: Nordic nRF52840
Type: BLE SoC
Firmware: Zephyr RTOS 3.2.0
Secure Boot: Ja
SBOM-koppeling: /sbom/nrf52840-firmware-v3.2.0.json

Industriële apparatuur

HBOM-FOCUS INDUSTRIËLE APPARATUUR

KRITIEKE COMPONENTEN:
- Hoofd-PLC/controller
- Communicatiemodules (PROFINET, EtherNet/IP)
- HMI-processor
- Veiligheidscontroller (indien afzonderlijk)
- I/O-modules met intelligentie

SPECIALE OVERWEGINGEN:
- Componenten met lange levensduur
- Registratie van legacy-componenten
- Impact op veiligheidscertificering
- Afstemming op IEC 62443

Consumentenelektronica

HBOM-FOCUS CONSUMENTENELEKTRONICA

KRITIEKE COMPONENTEN:
- Applicatieprocessor
- Connectiviteit (WiFi, BT)
- Audio-/videocodecs
- Beveiligingselementen
- Opslagcontrollers

VOLUMEOVERWEGINGEN:
- Wijzigingen in componentinkoop
- Meerdere leveranciers mogelijk
- Revisieregistratie op schaal

HBOM integreren met CRA-compliance

In het technisch dossier

HBOM-SECTIE TECHNISCH DOSSIER

SECTIE: Componentinventaris (HBOM)

DOEL:
Hardwarecomponenten met beveiligingsrelevantie
documenteren, ter ondersteuning van kwetsbaarheidsbeheer
en zorgvuldigheidsvereisten voor de toeleveringsketen.

INHOUD:
1. HBOM-document (CycloneDX-formaat)
2. Samenvatting beoordeling componentbeveiliging
3. Firmware-versieregistratie
4. Documentatie toeleveringsketen

KRUISVERWIJZINGEN:
- Koppelen aan SBOM voor firmwarecomponenten
- Koppelen aan leveranciersbeveiligingsbeoordelingen
- Koppelen aan kwetsbaarheidsregistraties

Kwetsbaarheidsbeheer

HBOM IN KWETSBAARHEIDSWORKFLOW

1. KWETSBAARHEID AANGEKONDIGD
   (bijv. CVE in ESP32-firmware)

2. HBOM CONTROLEREN
   - Welke producten gebruiken ESP32?
   - Welke firmwareversies?
   - Hoeveel exemplaren getroffen?

3. IMPACT BEOORDELEN
   - Is kwetsbaarheid exploiteerbaar in ons gebruik?
   - Wat is het risiconiveau?
   - Zijn mitigaties beschikbaar?

4. HERSTEL
   - Firmware-update indien beschikbaar
   - Configuratiemitigatie
   - Klantnotificatie

5. DOCUMENTEN BIJWERKEN
   - Firmwareversie in HBOM bijwerken
   - Kwetsbaarheidsstatus bijwerken
   - Herstel documenteren

Zorgvuldigheid toeleveringsketen

HBOM VOOR ZORGVULDIGHEID TOELEVERINGSKETEN

LEVERANCIERSVEREISTEN:
- Verzoek om component-HBOM van leveranciers
- Firmware-SBOM voor modules vereisen
- Overeenkomst over kwetsbaarheidsnotificatie sluiten

INKOMENDE INSPECTIE:
- Verificeer dat component overeenkomt met HBOM
- Firmwareversie controleren
- Beveiligingsfuncties valideren

WIJZIGINGSBEHEER:
- Leveranciercomponentwijzigingen → HBOM-update
- Kwalificatie tweede bron → HBOM-invoer
- EOL-notificatie → HBOM-statusupdate

HBOM-checklist

IMPLEMENTATIECHECKLIST HBOM

INVENTARIS:
[ ] Alle programmeerbare componenten geïdentificeerd
[ ] Firmwareversies gedocumenteerd
[ ] Beveiligingsfuncties genoteerd
[ ] Leveranciers vastgelegd

FORMAAT:
[ ] Standaardformaat gekozen (CycloneDX aanbevolen)
[ ] Schema gevalideerd
[ ] Gekoppeld aan SBOM waar van toepassing
[ ] Versiebeheer ingesteld

PROCES:
[ ] Aanmaakproces gedocumenteerd
[ ] Updatetriggers gedefinieerd
[ ] Verantwoordelijkheid toegewezen
[ ] Beoordelingsschema vastgesteld

INTEGRATIE:
[ ] Opgenomen in technisch dossier
[ ] Gekoppeld aan kwetsbaarheidsbeheer
[ ] Onderdeel van leveranciersvereisten
[ ] Toegankelijk voor audits

ONDERHOUD:
[ ] Componentwijzigingen bijgehouden
[ ] Firmware-updates weergegeven
[ ] EOL-status gemonitord
[ ] Regelmatige nauwkeurigheidsbeoordelingen

Veelvoorkomende uitdagingen

Uitdaging: beschikbaarheid leveranciersgegevens

Probleem: Leveranciers verstrekken geen gedetailleerde componentinformatie.

Oplossingen:

• HBOM-vereisten opnemen in leverancierscontracten
• SBOM's aanvragen voor modules met firmware
• Gebruik openbaar beschikbare technische specificaties
• Bekende beperkingen documenteren

Uitdaging: componentvariaties

Probleem: Meerdere componentbronnen of revisies in productie.

Oplossingen:

• Alle varianten bijhouden in HBOM
• Versiebereiken gebruiken waar van toepassing
• HBOM koppelen aan productiegegevens
• Regelmatige afstemming

Uitdaging: firmware-zichtbaarheid

Probleem: Kan firmwareversie in ontvangen componenten niet bepalen.

Oplossingen:

• Markering van firmwareversie vereisen
• Inkomend inspectieproces implementeren
• Samenwerken met leveranciers voor zichtbaarheid
• Beperkingen aanvaarden en documenteren

Belangrijkste bronnen

HBOM-BRONNEN

NORMEN:
CycloneDX-specificatie: https://cyclonedx.org
SPDX-specificatie: https://spdx.dev

RICHTLIJNEN:
NTIA SBOM (inclusief hardware): https://ntia.gov/sbom
CISA SBOM-bronnen: https://cisa.gov/sbom

TOOLS:
CycloneDX Tool Center: https://cyclonedx.org/tool-center/
Finite State: https://finitestate.io

Hoe CRA Evidence helpt

CRA Evidence ondersteunt HBOM-beheer:

• Gecombineerde BOM: Beheer SBOM en HBOM samen
• Componentregistratie: Hardwarecomponenten over producten bijhouden
• Firmware-koppeling: Hardware koppelen aan firmware-SBOM's
• Kwetsbaarheidscorrelatie: CVE's koppelen aan hardwarecomponenten
• Technisch dossier-integratie: HBOM opnemen in compliance-documentatie

Start uw CRA-compliance op app.craevidence.com.

Gerelateerde gidsen:

• SBOM voor CRA-compliance: complete gids Software Bill of Materials
• Het CRA-technisch dossier: wat er in elke sectie staat

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.