De volledige CRA-handhaving begint op 11 december 2027. Na die datum moet elk product met digitale elementen dat op de EU-markt wordt gebracht, de CE-markering dragen, en de CE-markering vereist een conforme SBOM. Bijlage I, Deel II, punt (1) is de operationele bepaling: fabrikanten moeten "kwetsbaarheden en componenten in producten met digitale elementen vaststellen en documenteren, onder meer door een softwarestuklijst op te stellen in een algemeen gebruikt en machineleesbaar formaat waarin ten minste de afhankelijkheden van de producten op het hoogste niveau worden aangegeven". Die formulering bepaalt het formaat, de reikwijdte en de plaats van de SBOM in uw technisch dossier. Op deze pagina staat precies wat de wet vereist en wat niet.
Samenvatting
- SBOM's zijn verplicht op grond van Bijlage I, Deel II, punt (1) voor elk product met digitale elementen
- Het formaat moet machineleesbaar zijn (CycloneDX of SPDX: pdf's en spreadsheets voldoen niet)
- Minimale dekking: afhankelijkheden van de producten op het hoogste niveau; dekking van transitieve afhankelijkheden is best practice maar gaat verder dan de wettelijke ondergrens
- De SBOM maakt deel uit van de technische documentatie van Bijlage VII (punt 2(b), waarbij punt 8 de levering op verzoek aan markttoezicht regelt)
- De verplichting is doorlopend: updatetriggers omvatten elke firmwarerelease, componentwijziging en kwetsbaarheidsontdekking
- Volledige handhaving: 11 december 2027; de klok voor kwetsbaarheidsmeldingen start 11 september 2026
De CRA SBOM-verplichtingen
De CRA verwijst naar SBOM's in twee cruciale onderdelen:
Bijlage I: Essentiële vereisten
De officiële tekst van Bijlage I, Deel II, punt (1) luidt:
"kwetsbaarheden en componenten in producten met digitale elementen vaststellen en documenteren, onder meer door een softwarestuklijst op te stellen in een algemeen gebruikt en machineleesbaar formaat waarin ten minste de afhankelijkheden van de producten op het hoogste niveau worden aangegeven"
Dit betekent:
- SBOM's zijn verplicht, niet optioneel
- Ze moeten in machineleesbaar formaat zijn (geen pdf's of spreadsheets)
- Ze moeten minimaal de afhankelijkheden van de producten op het hoogste niveau dekken; dekking van transitieve afhankelijkheden is best practice maar gaat verder dan de wettelijke ondergrens
Elk product met digitale elementen dat op de EU-markt wordt gebracht, moet een machineleesbare SBOM hebben. Er is geen opt-out en geen omvangsdrempel waaronder de verplichting vervalt.
Bijlage VII: Technische documentatie
Het technisch dossier van Bijlage VII vermeldt de SBOM op twee plaatsen:
- Punt 2(b): de beschrijving van de processen inzake de respons op kwetsbaarheden "met inbegrip van de softwarestuklijst" moet deel uitmaken van de door de fabrikant bijgehouden technische documentatie.
- Punt 8: "indien van toepassing, de softwarestuklijst, ingevolge een met redenen omkleed verzoek van een markttoezichtautoriteit, op voorwaarde dat dat noodzakelijk is om die autoriteit in staat te stellen de naleving van de essentiële cyberbeveiligingsvereisten van bijlage I te controleren".
De SBOM wordt niet proactief ingediend. Ze moet bestaan op het moment dat het product op de EU-markt wordt gebracht en op verzoek beschikbaar zijn voor autoriteiten.
De SBOM in Bijlage VII moet het volgende mogelijk maken:
- Kwetsbaarheidsopsporing op componentniveau
- Identificatie van leveranciers
- Verificatie van licentienaleving
- Planning van het einde van de levensduur
Wat uw SBOM van Bijlage VII moet bevatten
De technische documentatie heeft drie vereiste dimensies voor de SBOM: formaat, inhoud en reikwijdte. De onderstaande tabel geeft weer wat markttoezichtautoriteiten zullen controleren.
| Categorie | Vereiste | Bron |
|---|---|---|
| Formaat | Machineleesbaar (CycloneDX of SPDX) | Bijlage I, Deel II, punt (1) |
| Formaat | Leesbare samenvatting voor mensen | Best practice |
| Inhoud | Alle softwarecomponenten vermeld | Bijlage I |
| Inhoud | Componentversies gespecificeerd | Bijlage I |
| Inhoud | Leveranciersinformatie | Bijlage I; TR-03183 |
| Inhoud | Licentie-informatie | TR-03183 |
| Inhoud | Bekende kwetsbaarheden op het moment van beoordeling | Bijlage VII, punt 2(b) |
| Reikwijdte | Directe afhankelijkheden (hoogste niveau) | Bijlage I (wettelijke ondergrens) |
| Reikwijdte | Transitieve afhankelijkheden | TR-03183 (best practice) |
| Reikwijdte | Besturingssysteemcomponenten indien van toepassing | TR-03183 |
| Reikwijdte | Bibliotheken van derden | Bijlage I |
Voor de specifieke veldvereisten die verder gaan dan deze checklist (PURL-identificatoren, hashwaarden, documentmetadata), zie hoe BSI TR-03183 de CRA uitbreidt. Voor een vergelijking van CycloneDX- en SPDX-tooling, zie CycloneDX vs. SPDX.
Hoe een conforme SBOM-vermelding eruitziet
Een correct gestructureerde vermelding in het technisch dossier van Bijlage VII verwijst naar het machineleesbare bestand en legt de kwetsbaarheidsstatus vast op het moment van beoordeling:
SOFTWARESTUKLIJST
Product: SmartSense Pro (SSP-3000)
Firmwareversie: 2.4.1
SBOM-formaat: CycloneDX 1.5
Gegenereerd: 2027-01-15
Tool: Trivy + syft
SBOM-BESTAND:
sbom-ssp3000-v2.4.1.json (bijgevoegd)
COMPONENTOVERZICHT:
-------------------------------------------------------------
Totaal aantal componenten: 127
Directe afhankelijkheden: 23
Transitieve afhankelijkheden: 104
Per type:
Bibliotheken: 98
Frameworks: 12
Besturingssysteem: 1 (FreeRTOS)
Firmwaremodules: 16
KWETSBAARHEIDSSTATUS OP MOMENT VAN BEOORDELING:
-------------------------------------------------------------
Scandatum: 2027-01-15
Scanner: Trivy v0.48.0
Kritiek: 0
Hoog: 0
Gemiddeld: 2 (geaccepteerd, zie hieronder)
GEACCEPTEERDE KWETSBAARHEDEN:
CVE-2026-XXXXX (Gemiddeld): Component xyz v1.2.3
Status: Niet uitbuitbaar in onze configuratie
Toelichting: Functie niet ingeschakeld, codepad niet bereikbaar
Herzieningsdatum: 2027-04-15
-------------------------------------------------------------
SBOM-UPDATETOEZEGGING:
De SBOM wordt bijgewerkt bij elke firmwarerelease en op
verzoek beschikbaar gesteld aan klanten.
Wanneer u uw SBOM moet bijwerken
De SBOM is geen eenmalig document. Het technisch dossier moet actueel blijven gedurende de gehele productlevenscyclus.
Verplichte updatetriggers:
| Trigger | Wat verandert | SBOM-update vereist? |
|---|---|---|
| Nieuwe firmware- of softwareversie | Nieuw bouwartefact | Ja, volledige regeneratie |
| Beveiligingspatchrelease | Componentversie verhoogd | Ja, getroffen componenten |
| Kwetsbaarheid ontdekt en verholpen | VEX of uitbuitbaarheidsstatus | Ja, VEX-velden |
| Component toegevoegd, verwijderd of vervangen | Afhankelijkheidsgraph | Ja, volledige regeneratie |
| Ontwerpwijziging die beveiliging raakt | Componenten en architectuur | Ja, volledige regeneratie |
| Wijziging in toegepaste geharmoniseerde standaard | Standaardreferentie | Ja, metadata |
Periodieke beoordelingen:
| Cadans | Reikwijdte |
|---|---|
| Driemaandelijks | SBOM en kwetsbaarheidsstatus |
| Jaarlijks | Volledige beoordeling van het technisch dossier |
| Voor het einde van de ondersteuningsperiode | Definitieve documentatieblokkering |
Handmatige SBOM-aanmaak is foutgevoelig en schaalt niet over productversies. Elke build moet een actueel SBOM-artefact opleveren. Zie veelgemaakte SBOM-fouten voor wat er misgaat wanneer teams automatisering overslaan.
Bewaarvereisten
Artikel 13, lid 13 verplicht fabrikanten de technische documentatie en de EU-conformiteitsverklaring gedurende ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode indien die langer is, ter beschikking van de markttoezichtautoriteiten te houden. De klok start vanaf het laatste exemplaar dat op de markt is gebracht, niet het eerste.
| Mijlpaal | Voorbeelddatum |
|---|---|
| Product voor het eerst op de markt gebracht | maart 2027 |
| Laatste exemplaar op de markt gebracht | december 2030 |
| Documentatie bewaren tot (minimum 10 jaar) | december 2040 |
Bewaar de SBOM in beveiligde, toegankelijke opslag met back-upprocedures, integriteitsbeveiliging en de mogelijkheid om deze op te halen en te verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit. Bijlage VII, punt 8 specificeert dat de SBOM wordt verstrekt "ingevolge een met redenen omkleed verzoek" en niet proactief.
Handhaving en sancties
De volledige CRA-handhaving start op 11 december 2027. De verplichting tot kwetsbaarheidsmelding op grond van Artikel 14 start eerder, op 11 september 2026. Producten die na december 2027 op de EU-markt worden gebracht zonder conforme SBOM, kunnen de CE-markering niet dragen en mogen wettelijk niet in de EU worden verkocht. Voor de volledige tijdlijn en boetescenario's, zie CRA SBOM-deadlines en boetes.
Veelgestelde vragen
Vereist de CRA een machineleesbare SBOM of is een pdf acceptabel?
Bijlage I vereist uitdrukkelijk machineleesbaar formaat. Een pdf is niet acceptabel. CycloneDX of SPDX geserialiseerd als JSON of XML voldoet aan de vereiste. Een spreadsheet of voor mensen leesbaar document niet.
Vereist de CRA een SBOM voor opensourcecomponenten?
Ja. Bijlage I stelt dat fabrikanten componenten moeten documenteren in een machineleesbare SBOM, zonder uitzondering voor opensource. Als een opensourcebibliotheek in uw product zit, moet deze in uw SBOM voorkomen met versie- en identificatorinformatie.
Wanneer moet een SBOM worden ingediend: bij marktintroductie of op verzoek?
De SBOM hoeft niet proactief te worden ingediend. Ze moet deel uitmaken van het technisch dossier (Bijlage VII), klaar en beschikbaar voor markttoezichtautoriteiten op verzoek. Ze moet bestaan op het moment dat het product op de EU-markt wordt gebracht.
Wat zijn de NTIA-minimumvereisten en voldoen die aan de CRA-eisen?
De NTIA-minimumvereisten (leveranciersnaam, componentnaam, versie, unieke identificatoren, afhankelijkheidsrelaties, SBOM-auteur en tijdstempel) sluiten in grote lijnen aan op wat de CRA en BSI TR-03183 op basisniveau vereisen. Ze vormen een redelijke startondergrens, maar de verplichte velden van TR-03183 gaan verder: hashwaarden en PURL-identificatoren worden verwacht voor CRA-compliance.
Kan ik SBOM's van mijn leveranciers hergebruiken om aan de CRA te voldoen?
Gedeeltelijk. SBOM's van leveranciers zijn een geldig uitgangspunt voor de componenten die zij leveren, en de CRA verwacht dat fabrikanten stroomopwaartse documentatie benutten. Maar de verplichting op grond van Bijlage I rust op de fabrikant van het geïntegreerde product: u moet een SBOM produceren en onderhouden voor het product zoals het wordt geleverd, wat inhoudt dat u SBOM's van leveranciers combineert met uw eigen componenten en bouwafhankelijkheden. Als een leveranciers-SBOM velden mist die door BSI TR-03183 worden vereist (PURL, hash, licentie), bent u verantwoordelijk voor het aanvullen van die hiaten. Beschouw leveranciers-SBOM's als grondstof, niet als een afgerond complianceartefact.