SBOM-vereisten onder de EU Cyber Resilience Act (CRA)

De EU Cyber Resilience Act (CRA) maakt Software Bills of Materials (SBOM's) een wettelijke vereiste voor elk product met digitale elementen dat in de Europese Unie wordt verkocht. Deze gids legt uit wat de CRA en BSI TR-03183 vereisen, welke formaten zijn geaccepteerd, welke velden uw SBOM moet bevatten en wanneer de compliancedeadlines ingaan.

Samenvatting

• SBOM's zijn verplicht onder de CRA — elk product met digitale elementen heeft er een nodig
• Geaccepteerde formaten: CycloneDX (beveiligingsgericht) of SPDX (licentiegericht)
• Moet alle afhankelijkheden bevatten (direct en transitief), niet alleen componenten op het hoogste niveau
• BSI TR-03183 stelt de kwaliteitsnorm — gebruik dit als uw compliancedoelstelling
• Automatiseer SBOM-generatie in CI/CD — handmatige processen zijn niet schaalbaar
• SBOM's moeten worden bijgehouden gedurende de volledige ondersteuningsperiode (minimaal 5 jaar)

Belangrijk: SBOM's zijn verplicht onder de CRA, niet optioneel. Elk product met digitale elementen dat op de EU-markt wordt gebracht, moet een machineleesbare SBOM hebben.

Wat is een SBOM?

Een Software Bill of Materials (SBOM) is een gestructureerde inventaris van elk softwarecomponent in een product — bibliotheken, frameworks, besturingssysteempakketten en hun afhankelijkheden. Beschouw het als een voedingswaarde-etiket voor software: het somt precies op wat er in zit, zodat kopers en toezichthouders risico's kunnen beoordelen, kwetsbaarheden kunnen bijhouden en licentiecompliance kunnen verifiëren.

Wat vereist de CRA voor SBOM's?

De CRA verwijst naar SBOM's in twee kritische secties:

Bijlage I: Essentiële vereisten

"Fabrikanten identificeren en documenteren kwetsbaarheden en componenten in producten, onder meer door het opstellen van een software bill of materials in een gangbaar en machineleesbaar formaat."

Dit betekent:

• SBOM's zijn verplicht, niet optioneel
• Ze moeten in machineleesbaar formaat zijn (geen PDF's of spreadsheets)
• Ze moeten alle componenten dekken, inclusief transitieve afhankelijkheden

Bijlage VII: Technische documentatie

Het technisch dossier moet SBOM-informatie bevatten die het volgende mogelijk maakt:

• Kwetsbaarheidsbeheer op componentniveau
• Leveranciersidentificatie
• Verificatie licentiecompliance
• End-of-life planning

Welke SBOM-formaten zijn geaccepteerd onder de CRA?

De CRA vereist "gangbare en machineleesbare" formaten. In de praktijk kwalificeren twee standaarden:

Beide formaten zijn geaccepteerd, maar CycloneDX wordt voor beveiligingsuse cases steeds meer de voorkeur gegeven vanwege de native ondersteuning voor:

• Vulnerability Exploitability eXchange (VEX)
• Beveiligingsadviezen
• Afhankelijkheidsgraphen

graph TD
    SBOM((SBOM))
    SCN[Componentnamen] --> SBOM
    VS[Versies] --> SBOM
    SUP[Leveranciersinformatie] --> SBOM
    DEP[Afhankelijkheden] --> SBOM
    LIC[Licenties] --> SBOM
    PURL[Package URLs] --> SBOM
    HASH[Hashwaarden] --> SBOM
    OSC[Open source-componenten] --> SBOM
    style SBOM fill:#008080,color:#fff,stroke:#006666,stroke-width:4px
    style SCN fill:#e8f4f8,stroke:#008080,color:#333
    style VS fill:#e8f4f8,stroke:#008080,color:#333
    style SUP fill:#e8f4f8,stroke:#008080,color:#333
    style DEP fill:#e8f4f8,stroke:#008080,color:#333
    style LIC fill:#e8f4f8,stroke:#008080,color:#333
    style PURL fill:#e8f4f8,stroke:#008080,color:#333
    style HASH fill:#e8f4f8,stroke:#008080,color:#333
    style OSC fill:#e8f4f8,stroke:#008080,color:#333

Welke velden moet een SBOM bevatten?

Het Bundesamt für Sicherheit in der Informationstechnik (BSI) van Duitsland heeft TR-03183 gepubliceerd, die gedetailleerde SBOM-kwaliteitsvereisten biedt die verder gaan dan het CRA-minimum. Gebruik dit als uw compliancedoelstelling.

Verplichte velden (BSI TR-03183)

• Componentnaam en -versie
• Leveranciers-/fabrikantsinformatie
• Unieke identificatoren (PURL, CPE)
• Afhankelijkheidsrelaties
• Licentie-informatie

Kwaliteitsniveaus

TR-03183 definieert drie kwaliteitsniveaus:

Hoewel TR-03183 een Duitse norm is, wordt het de facto kwaliteitsnorm voor CRA-compliance in de hele EU.

Wat zijn de CRA-compliancedeadlines voor SBOM's?

De CRA heeft een gefaseerde handhavingstijdlijn:

Producten die na december 2027 op de EU-markt worden gebracht zonder conforme SBOM kunnen de CE-markering niet dragen en mogen wettelijk niet worden verkocht.

Wat gebeurt er bij non-compliance?

Non-compliance met de CRA heeft ernstige gevolgen:

• Boetes tot EUR 15 miljoen of 2,5% van de wereldwijde jaarlijkse omzet (afhankelijk van welke hoger is)
• Productterugroeping of terugtrekking van de EU-markt
• Marktverbod — niet-conforme producten kunnen geen CE-markering dragen
• Impact op toeleveringsketen — uw klanten kunnen uw product mogelijk niet gebruiken in hun eigen CRA-compliance

Markttoezichtautoriteiten in elke EU-lidstaat zullen deze sancties handhaven.

Veelgemaakte SBOM-fouten

1. Onvolledige afhankelijkheidsstructuren

Veel tools registreren alleen directe afhankelijkheden. De CRA vereist transitieve afhankelijkheden, dat wil zeggen componenten waarvan uw afhankelijkheden afhankelijk zijn.

Uw product
├── Bibliotheek A (direct) ✓
│   ├── Bibliotheek B (transitief) ← Vaak ontbrekend!
│   └── Bibliotheek C (transitief) ← Vaak ontbrekend!
└── Bibliotheek D (direct) ✓

2. Ontbrekende versie-informatie

Een SBOM zonder nauwkeurige versie-informatie is vrijwel nutteloos voor kwetsbaarheidsmatching. Zorg ervoor dat elk component heeft:

• Exacte versienummers (geen ranges)
• Hashwaarden voor binaire componenten
• PURL-identificatoren waar mogelijk

3. Verouderde SBOM's

Een SBOM die wordt gegenereerd bij het bouwen maar nooit wordt bijgewerkt, creëert een vals gevoel van veiligheid. Implementeer:

• CI/CD-integratie voor automatische SBOM-generatie
• Versiebeheer voor SBOM-artefacten
• Regelmatige drift-detectie tussen builds

4. Firmware en hardware negeren

Voor producten met embedded componenten, vergeet niet op te nemen:

• Firmwareversies en -componenten
• Hardware Bill of Materials (HBOM) waar van toepassing
• Bootloader- en kernelcomponenten

Hoe u aan de slag gaat

1. Audit uw huidige situatie: Genereert u vandaag al SBOM's? In welk formaat? Met welke dekking?

2. Kies uw formaat: CycloneDX voor beveiligingsfocus, SPDX voor licentiecompliance (of beide)

3. Automatiseer generatie: Integreer SBOM-generatie in uw CI/CD-pijplijn met tools als Syft, Trivy of cdxgen

4. Valideer kwaliteit: Controleer uw SBOM's aan de hand van TR-03183-vereisten — zijn alle verplichte velden ingevuld?

5. Implementeer monitoring: Koppel SBOM's aan kwetsbaarheidsdatabases (NVD, OSV, GitHub Advisory Database, CISA KEV)

6. Plan voor updates: Stel processen in zodat elke productrelease een verse, gevalideerde SBOM genereert

Hoe CRA Evidence helpt

CRA Evidence biedt uitgebreid SBOM-beheer:

• Upload en validatie: Ondersteuning voor CycloneDX en SPDX met TR-03183-kwaliteitsscoring
• Kwetsbaarheidsscanning: Automatische matching tegen NVD, OSV en andere databases
• Versiebeheer: SBOM-geschiedenis en drift-detectie over productversies heen
• Export: Gevalideerde SBOM's opnemen in uw Bijlage VII technisch dossier

Uw SBOM-praktijk goed inrichten is fundamenteel voor CRA-compliance. Begin nu met het opbouwen van deze capaciteiten — de deadline voor kwetsbaarheidsmelding in september 2026 nadert snel.

Gerelateerde gidsen

Generatie: Leer hoe u SBOM-aanmaak kunt automatiseren in onze SBOM-generatiegids.

Kwaliteit: Begrijp SBOM-kwaliteitsvereisten in onze BSI TR-03183-gids.

VEX: Combineer uw SBOM met kwetsbaarheidsgegevens via VEX-documenten.

Technisch dossier: Zie hoe SBOM's passen in het CRA technisch dossier (Bijlage VII).

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.