SBOM-krav under EU:s cyberresiliensakt (CRA)

EU:s cyberresiliensakt (CRA) gör Software Bills of Materials (SBOM:er) till ett lagkrav för varje produkt med digitala element som säljs i EU. Den här guiden förklarar vad CRA och BSI TR-03183 kräver, vilka format som är godkända, vilka fält din SBOM måste innehålla och när efterlevnadsdeadlines inträffar.

Sammanfattning

• SBOM:er är obligatoriska under CRA — varje produkt med digitala element behöver en
• Godkända format: CycloneDX (säkerhetsfokuserat) eller SPDX (licensfokuserat)
• Måste inkludera alla beroenden (direkta och transitiva), inte bara komponenter på toppnivå
• BSI TR-03183 sätter kvalitetsmåttstocken — använd det som ditt efterlevningsmål
• Automatisera SBOM-generering i CI/CD — manuella processer skalas inte
• SBOM:er måste underhållas under hela supportperioden (minimum 5 år)

Viktigt: SBOM:er är obligatoriska under CRA, inte valfria. Varje produkt med digitala element placerad på EU-marknaden måste ha en maskinläsbar SBOM.

Vad är en SBOM?

En Software Bill of Materials (SBOM) är en strukturerad inventering av varje programvarukomponent i en produkt — bibliotek, ramverk, operativsystemspaket och deras beroenden. Tänk på det som en näringstabell för programvara: det listar exakt vad som finns inuti så att köpare och tillsynsmyndigheter kan bedöma risk, spåra sårbarheter och verifiera licensefterlevnad.

Vad kräver CRA för SBOM:er?

CRA refererar SBOM:er i två kritiska avsnitt:

Bilaga I: Väsentliga krav

"Tillverkare ska identifiera och dokumentera sårbarheter och komponenter som finns i produkter, bland annat genom att upprätta en software bill of materials i ett vanligt förekommande och maskinläsbart format."

Detta innebär:

• SBOM:er är obligatoriska, inte valfria
• De måste vara i maskinläsbart format (inte PDF:er eller kalkylblad)
• De måste täcka alla komponenter, inklusive transitiva beroenden

Bilaga VII: Teknisk dokumentation

Den tekniska filen måste inkludera SBOM-information som möjliggör:

• Sårbarhetspårning på komponentnivå
• Leverantörsidentifiering
• Verifiering av licensefterlevnad
• Slut-på-livstid-planering

Vilka SBOM-format är godkända under CRA?

CRA kräver "vanligt förekommande och maskinläsbara" format. I praktiken uppfyller två standarder kraven:

Båda format är godkända, men CycloneDX föredras alltmer för säkerhetsbruk tack vare sitt inbyggda stöd för:

• Vulnerability Exploitability eXchange (VEX)
• Säkerhetsrådgivningar
• Beroendegrafer

graph TD
    SBOM((SBOM))
    SCN[Komponentnamn] --> SBOM
    VS[Versioner] --> SBOM
    SUP[Leverantörsinformation] --> SBOM
    DEP[Beroenden] --> SBOM
    LIC[Licenser] --> SBOM
    PURL[Package URL:er] --> SBOM
    HASH[Hashvärden] --> SBOM
    OSC[Öppen källkodskomponenter] --> SBOM
    style SBOM fill:#008080,color:#fff,stroke:#006666,stroke-width:4px
    style SCN fill:#e8f4f8,stroke:#008080,color:#333
    style VS fill:#e8f4f8,stroke:#008080,color:#333
    style SUP fill:#e8f4f8,stroke:#008080,color:#333
    style DEP fill:#e8f4f8,stroke:#008080,color:#333
    style LIC fill:#e8f4f8,stroke:#008080,color:#333
    style PURL fill:#e8f4f8,stroke:#008080,color:#333
    style HASH fill:#e8f4f8,stroke:#008080,color:#333
    style OSC fill:#e8f4f8,stroke:#008080,color:#333

Vilka fält måste en SBOM innehålla?

Tysklands federala kontor för informationssäkerhet (BSI) har publicerat TR-03183, som tillhandahåller detaljerade SBOM-kvalitetskrav som går utöver CRA-minimumet. Använd det som ditt efterlevningsmål.

Obligatoriska fält (BSI TR-03183)

• Komponentnamn och version
• Leverantörs-/tillverkarinformation
• Unika identifierare (PURL, CPE)
• Beroenderelationer
• Licensinformation

Kvalitetsnivåer

TR-03183 definierar tre kvalitetsnivåer:

Även om TR-03183 är en tysk standard håller den på att bli de facto-kvalitetsmåttstock för CRA-efterlevnad i hela EU.

Vad är CRA SBOM-efterlevnadsdeadlines?

CRA har en stegvis verkställighetstidslinje:

Produkter placerade på EU-marknaden efter december 2027 som saknar en efterlevnadsenlig SBOM kan inte bära CE-märkning och kan inte lagligen säljas.

Vad händer om du inte efterlever?

Bristande efterlevnad med CRA medför allvarliga konsekvenser:

• Böter upp till EUR 15 miljoner eller 2,5% av global årsomsättning (det som är högst)
• Produktåterkallelse eller tillbakadragning från EU-marknaden
• Marknadsförbud — icke-efterlevnadsenliga produkter kan inte bära CE-märkning
• Leveranskedjekonsekvenser — dina kunder kan vara oförmögna att använda din produkt i sin egen CRA-efterlevnad

Marknadsövervakningsmyndigheter i varje EU-medlemsstat kommer att verkställa dessa påföljder.

Vanliga SBOM-misstag

1. Ofullständiga beroendeträd

Många verktyg fångar bara direkta beroenden. CRA kräver transitiva beroenden, det vill säga komponenter som dina beroenden är beroende av.

Din produkt
├── Bibliotek A (direkt) ✓
│   ├── Bibliotek B (transitivt) ← Saknas ofta!
│   └── Bibliotek C (transitivt) ← Saknas ofta!
└── Bibliotek D (direkt) ✓

2. Saknad versionsinformation

En SBOM utan korrekt versionsinformation är nästan värdelös för sårbarhetsmatchning. Säkerställ att varje komponent har:

• Exakta versionsnummer (inte intervall)
• Hashvärden för binära komponenter
• PURL-identifierare där möjligt

3. Föråldrade SBOM:er

En SBOM genererad vid byggtillfället men aldrig uppdaterad skapar en falsk trygghetskänsla. Implementera:

• CI/CD-integration för automatisk SBOM-generering
• Versionskontroll för SBOM-artefakter
• Regelbunden driftdetektering mellan byggen

4. Ignorera firmware och hårdvara

För produkter med inbyggda komponenter, kom ihåg att inkludera:

• Firmware-versioner och -komponenter
• Hardware Bill of Materials (HBOM) där tillämpligt
• Bootloader- och kärnkomponenter

Hur man kommer igång

1. Revidera din nulägesstatus: Genererar du SBOM:er idag? Vilket format? Vilken täckning?

2. Välj ditt format: CycloneDX för säkerhetsfokus, SPDX för licensefterlevnad (eller båda)

3. Automatisera generering: Integrera SBOM-generering i din CI/CD-pipeline med verktyg som Syft, Trivy eller cdxgen

4. Validera kvalitet: Kontrollera dina SBOM:er mot TR-03183-krav — är alla obligatoriska fält ifyllda?

5. Implementera övervakning: Länka SBOM:er till sårbarhetsdatabaser (NVD, OSV, GitHub Advisory Database, CISA KEV)

6. Planera för uppdateringar: Etablera processer så att varje produktrelease genererar en ny, validerad SBOM

Hur CRA Evidence hjälper

CRA Evidence tillhandahåller heltäckande SBOM-hantering:

• Uppladdning och validering: Stöd för CycloneDX och SPDX med TR-03183 kvalitetspoängsättning
• Sårbarhetskanning: Automatisk matchning mot NVD, OSV och andra databaser
• Versionsspårning: SBOM-historik och driftdetektering över produktversioner
• Export: Inkludera validerade SBOM:er i din Bilaga VII tekniska fil

Att få din SBOM-praxis rätt är grundläggande för CRA-efterlevnad. Börja bygga dessa förmågor nu — deadlinen för sårbarhetrapportering i september 2026 närmar sig snabbt.

Relaterade guider

Generering: Lär dig hur du automatiserar SBOM-skapning i vår SBOM-genereringsguide.

Kvalitet: Förstå SBOM-kvalitetskrav i vår BSI TR-03183-guide.

VEX: Para ihop din SBOM med sårbarhetdata med VEX-dokument.

Teknisk fil: Se hur SBOM:er passar in i CRA teknisk fil (Bilaga VII).

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.