Eine Software Bill of Materials (SBOM) ist ein maschinenlesbares Verzeichnis aller Softwarekomponenten eines Produkts: Bibliotheken, Abhaengigkeiten, Open-Source-Pakete und deren Versionen. Sie ist das Aequivalent zur Zutatenliste bei Lebensmitteln. Mit einer SBOM koennen Hersteller und Betreiber bei bekannt gewordenen Schwachstellen (CVEs) sofort pruefen, ob ihre Produkte betroffen sind.

Gilt die SBOM-Pflicht auch fuer kleine Unternehmen?

Ja, der CRA gilt grundsaetzlich fuer alle Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Binnenmarkt in Verkehr gebracht werden, unabhaengig von der Unternehmensgroesse. Kleinstunternehmen (unter 10 Mitarbeitende, unter 2 Mio. EUR Umsatz) profitieren von vereinfachten Konformitaetspfaden, sind aber nicht vollstaendig ausgenommen.

Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

SBOM: Software Bill of Materials

Q: Was hat die BSI G7-Richtlinie mit SBOM zu tun?

Das BSI hat am 12. Mai 2026 im Rahmen der deutschen G7-Praesidentschaft Leitlinien fuer den Einsatz von SBOM bei KI-Systemen veroeffentlicht. Die Leitlinien empfehlen, SBOM nicht nur fuer klassische Software, sondern auch fuer KI-Modelle und Trainingsdaten-Abhaengigkeiten zu erstellen. Damit wird SBOM zum verbindenden Element zwischen CRA-Compliance und KI-Risikomanagement.

Der Cyber Resilience Act macht die Software-Zutatenliste zur Pflicht. Wir helfen Ihnen, SBOM-Prozesse aufzubauen, automatisiert zu pflegen und CRA-konform zu dokumentieren.

11. Dez 2027

vollständige CRA-Pflichten inkl. SBOM-Anforderungen gelten ab diesem Datum

87 %

des Codes in kommerzieller Software besteht aus Open-Source-Komponenten (Synopsys OSSRA 2024)

24 h

ENISA-Erstmeldefrist bei aktiv ausgenutzten Schwachstellen in CRA-Produkten

Was ist eine SBOM?

Die Zutatenliste Ihrer Software.

Eine Software Bill of Materials (SBOM) ist ein maschinenlesbares Verzeichnis aller Softwarekomponenten: Bibliotheken, Open-Source-Pakete, Frameworks und deren Versionen. Sie ist das digitale Äquivalent zur Zutatenliste bei Lebensmitteln. Wenn eine neue Schwachstelle bekannt wird, können Hersteller und Betreiber anhand der SBOM sofort prüfen, ob und in welchen Produktversionen die betroffene Komponente steckt.

Laut Synopsys Open Source Security and Risk Analysis (OSSRA) 2024 besteht 87 Prozent des Codes in kommerzieller Software aus Open-Source-Komponenten. Ohne systematisches Inventar ist Schwachstellenmanagement nicht möglich. Der Cyber Resilience Act macht die SBOM daher zur gesetzlichen Pflicht.

BSI-Leitlinien 2026

Das BSI hat am 12. Mai 2026 im Rahmen der G7-Präsidentschaft Leitlinien für SBOM bei KI-Systemen veröffentlicht. Sie empfehlen, SBOM auch für KI-Modellabhängigkeiten und Trainings-Pipelines zu erstellen. Damit wird SBOM zum verbindenden Element zwischen CRA und KI-Risikomanagement nach ISO 42001.

Auf dieser Seite

Was eine SBOM ist und warum sie wichtig ist
Was der Cyber Resilience Act konkret verlangt
Anerkannte Formate: SPDX und CycloneDX
BSI G7-Leitlinien für SBOM bei KI-Systemen
Praktische Umsetzung: Tooling, Governance, Dokumentation
Was SBOM mit Schwachstellenmanagement verbindet

CRA-Pflichten im Überblick

Was der Cyber Resilience Act konkret verlangt.

SBOM erstellen & pflegen

Hersteller müssen eine maschinenlesbare SBOM für jedes Produkt mit digitalen Elementen erstellen und über die gesamte Produktlebensdauer aktuell halten.

Schwachstellen-Monitoring

Aktive Überwachung von Schwachstellen in verwendeten Komponenten. Beim Bekanntwerden einer Schwachstelle muss innerhalb von 24 Stunden eine Erstmeldung an die ENISA erfolgen.

Sicherheitsupdates bereitstellen

Kritische Schwachstellen müssen innerhalb von 24 Stunden gepatcht werden. Updates sind mindestens 10 Jahre nach Markteinführung oder bis zum Ende des Produktlebenszyklus bereitzustellen.

Technische Dokumentation

Die SBOM ist Teil der technischen Dokumentation nach CRA-Anhang I. Sie muss für Marktüberwachungsbehörden verfügbar sein und ist Bestandteil der CE-Konformitätserklärung.

Praktische Umsetzung

Was eine SBOM-Strategie umfasst.

Inventarisierung & Tooling

Bestandsaufnahme aller Softwarekomponenten
Toolauswahl: Syft, Trivy, FOSSA oder Snyk
Integration in Build-Pipeline und CI/CD
Automatisierte SBOM-Erzeugung bei jedem Release

Schwachstellenmanagement

Abgleich mit CVE- und NVD-Datenbanken
Risikobasierte Priorisierung nach CVSS
Patch-Workflows und Eskalationsprozesse
ENISA-Meldeprozess bei aktiv ausgenutzten Lücken

Governance & Dokumentation

SBOM-Richtlinie und Verantwortlichkeiten
Technische Dokumentation nach CRA-Anhang I
Versionierung und Archivierung der SBOM
Einbettung in das ISMS und die IS-Policy

SBOM für KI-Systeme

Modellabhängigkeiten und Framework-Versionen
Datenquellen und Trainings-Pipeline-Komponenten
Umsetzung der BSI G7-Leitlinien vom 12. Mai 2026
Verknüpfung mit ISO 42001 Risikomanagement

FAQ

Häufige Fragen zur SBOM und CRA-Compliance.

Verwandte Themen

Was ist eine SBOM?+

Eine Software Bill of Materials (SBOM) ist ein maschinenlesbares Verzeichnis aller Softwarekomponenten eines Produkts: Bibliotheken, Abhängigkeiten, Open-Source-Pakete und deren Versionen. Sie ist das Äquivalent zur Zutatenliste bei Lebensmitteln. Mit einer SBOM können Hersteller und Betreiber bei bekannt gewordenen Schwachstellen (CVEs) sofort prüfen, ob ihre Produkte betroffen sind.

Warum schreibt der Cyber Resilience Act eine SBOM vor?+

Der CRA verpflichtet Hersteller von Produkten mit digitalen Elementen, eine SBOM als Teil der technischen Dokumentation zu erstellen und auf dem neuesten Stand zu halten. Ziel ist Transparenz über Softwareabhängigkeiten, damit Schwachstellen in verwendeten Bibliotheken schnell identifiziert und gepatcht werden können. Die volle SBOM-Pflicht gilt ab dem 11. Dezember 2027.

Welche Formate sind für SBOMs anerkannt?+

Die beiden verbreitetsten Formate sind SPDX (Software Package Data Exchange, ISO/IEC 5962) und CycloneDX (OWASP-Standard). Beide sind maschinenlesbar und unterstützen automatische Schwachstellenabgleiche mit CVE-Datenbanken. Das BSI empfiehlt CycloneDX in seinen SBOM-Leitlinien. Entscheidend ist nicht nur das Format, sondern die Vollständigkeit und regelmäßige Aktualisierung.

Was hat die BSI G7-Richtlinie mit SBOM zu tun?+

Das BSI hat am 12. Mai 2026 im Rahmen der deutschen G7-Präsidentschaft Leitlinien für den Einsatz von SBOM bei KI-Systemen veröffentlicht. Die Leitlinien empfehlen, SBOM nicht nur für klassische Software, sondern auch für KI-Modelle und Trainingsdaten-Abhängigkeiten zu erstellen. Damit wird SBOM zum verbindenden Element zwischen CRA-Compliance und KI-Risikomanagement.

Gilt die SBOM-Pflicht auch für kleine Unternehmen?+

Ja, der CRA gilt grundsätzlich für alle Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Binnenmarkt in Verkehr gebracht werden, unabhängig von der Unternehmensgröße. Kleinstunternehmen profitieren von vereinfachten Konformitätspfaden, sind aber nicht vollständig ausgenommen. Entscheidend ist, ob das Unternehmen als Hersteller, Importeur oder Händler agiert.

Wie aufwendig ist die SBOM-Erstellung?+

Bei modernen Softwareprojekten kann ein Großteil der SBOM automatisiert erzeugt werden, etwa durch Tools wie Syft, Trivy oder integrierte CI/CD-Plugins. Der eigentliche Aufwand liegt in der Governance: Wer ist verantwortlich, wie wird die SBOM aktualisiert, wer prüft sie auf Vollständigkeit? Wir helfen Ihnen, diesen Prozess effizient aufzusetzen und CRA-konform zu dokumentieren.

Ratgeber Cyber Resilience Act Zum Ratgeber Leistung ISMS aufbauen & betreiben Zur Leistung Ratgeber ISO 27001 Zum Ratgeber

CRA-Compliance strukturiert umsetzen.

SBOM ist ein Baustein der CRA-Umsetzung. Wir begleiten Sie durch alle Anforderungen des Cyber Resilience Act.

Zum Cyber Resilience Act