Förordning (EU) 2024/2847 träder i full kraft den 11 december 2027. Efter det datumet måste varje produkt med digitala element som släpps ut på EU-marknaden ha CE-märkning, och CE-märkning kräver en godkänd SBOM. Bilaga I, del II, punkt 1 är den operativa bestämmelsen: tillverkarna ska identifiera och dokumentera sårbarheter och komponenter i produkter med digitala element, bland annat genom att upprätta en programvaruförteckning för material i ett allmänt använt och maskinläsbart format. Den formuleringen bestämmer format, tillämpningsområde och var SBOM:en måste finnas i din tekniska fil. Den här sidan beskriver exakt vad lagen kräver och vad den inte kräver.
Sammanfattning
- SBOM är obligatorisk enligt Bilaga I, del II, punkt 1 för varje produkt med digitala element
- Formatet måste vara maskinläsbart (CycloneDX eller SPDX; PDF och kalkylblad uppfyller inte kraven)
- Minsta täckning: produktens viktigaste (top-level) beroenden; täckning av transitiva beroenden är bästa praxis men går utöver den rättsliga minimumnivån
- SBOM:en ingår i den tekniska dokumentationen enligt Bilaga VII (punkt 2(b), med punkt 8 som reglerar kopior på begäran till marknadskontrollmyndigheter)
- Skyldigheten är löpande: uppdateringstriggers inkluderar varje firmwareversion, komponentändring och sårbarhetsfynd
- Fullt ikraftträdande: 11 december 2027; klockan för sårbarhetrapportering startar 11 september 2026
CRA:s SBOM-skyldigheter
Cyberresiliensförordningen refererar till SBOM i två centrala avsnitt.
Bilaga I: Väsentliga säkerhetskrav
Den officiella texten i Bilaga I, del II, punkt 1 lyder:
"identifiera och dokumentera sårbarheter och komponenter i produkter med digitala element, bland annat genom att upprätta en programvaruförteckning för material i ett allmänt använt och maskinläsbart format som åtminstone täcker produktens viktigaste (top-level) beroenden"
Det innebär:
- SBOM är obligatorisk, inte valfri
- Den måste ha maskinläsbart format (inte PDF eller kalkylblad)
- Den måste som minimum täcka produktens viktigaste (top-level) beroenden; täckning av transitiva beroenden är bästa praxis men går utöver den rättsliga minimumnivån
Varje produkt med digitala element som släpps ut på EU-marknaden måste ha en maskinläsbar SBOM. Det finns inget undantag och ingen storleksgräns under vilken skyldigheten försvinner.
Bilaga VII: Teknisk dokumentation
Den tekniska filen enligt Bilaga VII listar SBOM:en på två ställen:
- Punkt 2(b): nödvändig information om och specifikationer av de processer för sårbarhetshantering som tillverkaren infört, inbegripet programvaruförteckningen, måste ingå i den tekniska dokumentation som tillverkaren upprätthåller.
- Punkt 8: "I tillämpliga fall, programvaruförteckningen, efter en motiverad begäran från en marknadskontrollmyndighet, förutsatt att det är nödvändigt för att denna myndighet ska kunna kontrollera överensstämmelsen med de väsentliga cybersäkerhetskraven i bilaga I."
SBOM:en lämnas inte in proaktivt. Den måste finnas vid den tidpunkt då produkten släpps ut på EU-marknaden och vara tillgänglig för myndigheter på begäran.
SBOM:en i Bilaga VII måste möjliggöra:
- Sårbarhetsspårning på komponentnivå
- Identifiering av leverantörer
- Verifiering av licensefterlevnad
- Planering för produktlivscykelns slut
Vad din SBOM enligt Bilaga VII måste innehålla
Den tekniska dokumentationen har tre obligatoriska dimensioner för SBOM:en: format, innehåll och tillämpningsområde. Tabellen nedan återspeglar vad marknadskontrollmyndigheter kommer att granska.
| Kategori | Krav | Källa |
|---|---|---|
| Format | Maskinläsbart (CycloneDX eller SPDX) | Bilaga I, del II, punkt 1 |
| Format | Sammanfattning för mänsklig läsning | Bästa praxis |
| Innehåll | Alla programvarukomponenter listade | Bilaga I |
| Innehåll | Komponentversioner angivna | Bilaga I |
| Innehåll | Leverantörsinformation | Bilaga I; TR-03183 |
| Innehåll | Licensinformation | TR-03183 |
| Innehåll | Kända sårbarheter vid bedömningstillfället | Bilaga VII punkt 2(b) |
| Tillämpningsområde | Direkta (top-level) beroenden | Bilaga I (rättslig minimumnivå) |
| Tillämpningsområde | Transitiva beroenden | TR-03183 (bästa praxis) |
| Tillämpningsområde | Operativsystemskomponenter om tillämpligt | TR-03183 |
| Tillämpningsområde | Tredjepartsbibliotek | Bilaga I |
För de specifika fältkraven som går utöver denna checklista (PURL-identifierare, hashvärden, dokumentmetadata), se hur BSI TR-03183 utökar CRA. För en jämförelse av CycloneDX- och SPDX-verktyg, se CycloneDX vs SPDX.
Hur en godkänd SBOM-post ser ut
En korrekt strukturerad post i den tekniska filen enligt Bilaga VII refererar till den maskinläsbara filen och registrerar sårbarhetsstatus vid bedömningstillfället:
SOFTWARE BILL OF MATERIALS
Product: SmartSense Pro (SSP-3000)
Firmware Version: 2.4.1
SBOM Format: CycloneDX 1.5
Generated: 2027-01-15
Tool: Trivy + syft
SBOM FILE:
sbom-ssp3000-v2.4.1.json (attached)
COMPONENT SUMMARY:
-------------------------------------------------------------
Total Components: 127
Direct Dependencies: 23
Transitive Dependencies: 104
By Type:
Libraries: 98
Frameworks: 12
Operating System: 1 (FreeRTOS)
Firmware Modules: 16
VULNERABILITY STATUS AT ASSESSMENT:
-------------------------------------------------------------
Scan Date: 2027-01-15
Scanner: Trivy v0.48.0
Critical: 0
High: 0
Medium: 2 (accepted - see below)
ACCEPTED VULNERABILITIES:
CVE-2026-XXXXX (Medium): Component xyz v1.2.3
Status: Not exploitable in our configuration
Justification: Feature not enabled, code path not reachable
Review Date: 2027-04-15
-------------------------------------------------------------
SBOM UPDATE COMMITMENT:
SBOM will be updated with each firmware release and made
available to customers upon request.
När du behöver uppdatera din SBOM
SBOM:en är inte ett engångsdokument. Den tekniska filen måste hållas aktuell under hela produktlivscykeln.
Obligatoriska uppdateringstriggers:
| Trigger | Vad som förändras | SBOM-uppdatering krävs? |
|---|---|---|
| Ny firmware- eller programvaruversion | Ny byggartefakt | Ja, fullständig regenerering |
| Säkerhetskorrigering | Komponentversion höjd | Ja, berörda komponenter |
| Sårbarhet upptäckt och åtgärdad | VEX eller exploaterbarhetsstatus | Ja, VEX-fält |
| Komponent tillagd, borttagen eller ersatt | Beroendeträd | Ja, fullständig regenerering |
| Designändring som påverkar säkerheten | Komponenter och arkitektur | Ja, fullständig regenerering |
| Tillämplig harmoniserad standard ändrad | Standardreferens | Ja, metadata |
Periodiska granskningar:
| Intervall | Tillämpningsområde |
|---|---|
| Kvartalsvis | SBOM och sårbarhetsstatus |
| Årligen | Fullständig granskning av teknisk fil |
| Innan supportperioden avslutas | Slutlig dokumentationsfrysning |
Manuell SBOM-skapning är felbenägen och skalerar inte över produktversioner. Varje bygge bör producera en aktuell SBOM-artefakt. Se vanliga SBOM-misstag för vad som går fel när team hoppar över automatisering.
Lagringskrav
Artikel 13.13 kräver att tillverkarna ska kunna uppvisa den tekniska dokumentationen och EU-försäkran om överensstämmelse för marknadskontrollmyndigheterna i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst. Klockan börjar med den sista enheten på marknaden, inte den första.
| Milstolpe | Exempeldatum |
|---|---|
| Produkt första gången på marknaden | mars 2027 |
| Sista enhet på marknaden | december 2030 |
| Dokumentationslagring till (10 år minimum) | december 2040 |
Förvara SBOM:en i säker, tillgänglig lagring med säkerhetskopiering, integritetsskydd och möjlighet att hämta och lämna ut den efter en motiverad begäran från en marknadskontrollmyndighet. Bilaga VII punkt 8 anger att SBOM:en lämnas ut "efter en motiverad begäran" och inte proaktivt.
Tillämpning och påföljder
Cyberresiliensförordningen träder i full kraft den 11 december 2027. Skyldigheten att rapportera sårbarheter enligt Artikel 14 börjar tidigare, den 11 september 2026. Produkter som släpps ut på EU-marknaden efter december 2027 utan en godkänd SBOM kan inte ha CE-märkning och kan inte säljas lagligt inom EU. Se CRA SBOM-frister och påföljder för den fullständiga tidslinjen och påföljdsöversikten.
Vanliga frågor
Kräver CRA en maskinläsbar SBOM eller är en PDF godtagbar?
Bilaga I kräver uttryckligen maskinläsbart format. En PDF är inte godtagbar. CycloneDX eller SPDX serialiserat som JSON eller XML uppfyller kravet. Ett kalkylblad eller ett dokument för mänsklig läsning uppfyller det inte.
Kräver CRA en SBOM för komponenter med öppen källkod?
Ja. Bilaga I anger att tillverkarna ska dokumentera komponenter i en maskinläsbar SBOM utan undantag för öppen källkod. Om ett bibliotek med öppen källkod finns i din produkt måste det visas i din SBOM med versions- och identifieringsinformation.
När ska en SBOM lämnas in: vid marknadsplaceringen eller på begäran?
SBOM:en behöver inte lämnas in proaktivt. Den måste ingå i den tekniska filen (Bilaga VII), vara klar och tillgänglig för marknadskontrollmyndigheter på begäran. Den måste finnas vid den tidpunkt då produkten släpps ut på EU-marknaden.
Vad är NTIA:s minimielement och uppfyller de CRA-kraven?
NTIA:s minimielement (leverantörsnamn, komponentnamn, version, unika identifierare, beroendeförhållanden, SBOM-författare och tidsstämpel) stämmer i stora drag överens med vad CRA och BSI TR-03183 kräver på grundnivå. De utgör en rimlig startpunkt, men TR-03183:s obligatoriska fält går längre: hashvärden och PURL-identifierare förväntas för CRA-efterlevnad.
Kan jag återanvända SBOM:ar från mina leverantörer för att uppfylla CRA?
Delvis. Leverantörers SBOM:ar är ett giltigt underlag för de komponenter de levererar, och CRA förväntar sig att tillverkare utnyttjar dokumentation från uppströmsledet. Men skyldigheten enligt Bilaga I ligger på tillverkaren av den integrerade produkten: du måste producera och underhålla en SBOM för produkten som levereras, vilket innebär att du konsoliderar leverantörers SBOM:ar med dina egna förstapartskomponenter och byggberoenden. Om en leverantörs SBOM saknar fält som krävs av BSI TR-03183 (PURL, hash, licens) är du ansvarig för att fylla de luckorna. Behandla leverantörers SBOM:ar som råmaterial, inte som en färdig efterlevnadsartefakt.