Transparenz in Software und Hardware  – Extended Bill of Materials (HBOM & SBOM)

Der Begriff XBOM („Extended Bill of Materials“) beschreibt den erweiterten Ansatz zur systematischen Erfassung und Dokumentation aller Software- und Hardware-Bestandteile, die in einem Produkt oder System eingesetzt werden.
Er vereint die bekannten Strukturen der Software Bill of Materials (SBOM) und der Hardware Bill of Materials (HBOM) und trägt damit den gestiegenen regulatorischen und sicherheitstechnischen Anforderungen in der Europäischen Union Rechnung.

XBOM ist ein zentrales Instrument, um Transparenz über digitale und physische Komponenten zu schaffen.
Mit der zunehmenden Bedeutung von Vorschriften wie der NIS-2-Richtlinie, dem Cyber Resilience Act (CRA) und dem Lieferkettengesetz wird eine nachvollziehbare Dokumentation der eingesetzten Komponenten zur Pflicht – nicht nur für Hersteller, sondern auch für Integratoren, Betreiber und Dienstleister.

Anforderungen an Unternehmen

Unternehmen stehen vor der Herausforderung, die Herkunft, Sicherheit und Wartbarkeit ihrer eingesetzten Komponenten vollständig nachvollziehbar zu dokumentieren.
Die Einführung einer XBOM-Struktur hilft, regulatorische Anforderungen zu erfüllen und zugleich Risiken in Lieferketten frühzeitig zu erkennen.

Zentrale Anforderungen:

  • Komponenten-Transparenz:
    Alle Hard- und Softwarekomponenten müssen identifizierbar sein – inklusive Versionen, Herkunft, Hersteller und Sicherheitsstatus.

  • Sicherheitsnachweise:
    Für jede Komponente sind Nachweise über Sicherheitsprüfungen, Zertifizierungen oder bekannte Schwachstellen vorzuhalten.

  • Lebenszyklus-Management:
    XBOM muss kontinuierlich gepflegt und aktualisiert werden, um Änderungen im Produktlebenszyklus abzubilden.

  • Lieferketten-Verantwortung:
    Unternehmen müssen sicherstellen, dass auch Zulieferer ihre Komponenten transparent dokumentieren und Änderungen melden.

  • Datenformat und Nachvollziehbarkeit:
    Empfohlen wird die Nutzung international standardisierter Formate wie SPDX (ISO/IEC 5962:2021) oder CycloneDX (ECMA-424).

 

Notwendige Schritte zur Umsetzung

Die Einführung einer XBOM-Struktur erfordert Planung, Verantwortlichkeiten und Integration in bestehende Managementsysteme (z. B. Qualitäts-, Informationssicherheits- und IT-Service-Managementsysteme).
Ein praxisgerechter Fahrplan umfasst folgende Schritte:

  1. Bestandsaufnahme
    Erfassung vorhandener Software- und Hardware-Inventare (z. B. CMDB, Asset-Management, Lizenzmanagement).

  2. Strukturierung der Daten
    Zuordnung der Komponenten zu Produkten, Systemen oder Services; Identifikation von Versionen und Abhängigkeiten.

  3. Definition der Formate
    Auswahl geeigneter Austauschformate (SPDX, CycloneDX); Festlegung der Felder und Datentiefe.

  4. Prozessintegration
    Verankerung der XBOM-Erstellung in Entwicklungs-, Beschaffungs- und Änderungsprozessen (Change-/Release-Management).

  5. Automatisierung und Pflege
    Einsatz von Tools oder Kollektoren zur automatischen Erfassung von Komponenten und Versionen.
    Im HKM Framework stehen hierfür definierte Connectoren und Kollektoren bereit.

  6. Überprüfung und Nachweisführung
    Regelmäßige Prüfung der XBOM-Daten auf Aktualität, Integrität und Konformität mit regulatorischen Vorgaben.

 

Welche Unternehmen müssen die Anforderungen umsetzen und ab wann?

Die Einführung von XBOM betrifft zunehmend alle Unternehmen, die digitale Produkte entwickeln, integrieren oder betreiben.
Insbesondere folgende Sektoren sind direkt betroffen:

  • Hersteller von Hardware-, Software- oder kombinierten Produkten,

  • Dienstleister und Betreiber kritischer Infrastrukturen nach NIS-2,

  • Systemintegratoren und Zulieferer, die Komponenten in sicherheitsrelevanten Umgebungen bereitstellen,

  • Unternehmen mit Berichtspflichten nach dem Cyber Resilience Act (CRA) oder dem Lieferkettengesetz.

Zeitliche Perspektive:

Die regulatorischen Anforderungen aus NIS-2 und dem Cyber Resilience Act (CRA) treten stufenweise in Kraft, wobei NIS-2 ab Oktober 2025 und die Hauptpflichten des CRA bis Dezember 2027 verbindlich umzusetzen sind.
Unternehmen sollten daher bereits im Laufe des Jahres 2024 mit der Einführung einer XBOM-Struktur beginnen.

Diese frühe Vorbereitung ermöglicht den Aufbau der erforderlichen technischen und organisatorischen Grundlagen – und minimiert das Risiko von Verzögerungen, Bußgeldern oder Audit-Abweichungen.

Ein Abgleich mit bestehenden Managementsystemen wie Qualitätsmanagement (QMS), Informationssicherheitsmanagement (ISMS), IT-Service-Management (ITSM) und Datenschutzmanagement (DSMS) ist unerlässlich, bevor Integrationen in die neuen Regulierungsrahmen nach CRA und NIS-2 erfolgen.
So wird sichergestellt, dass XBOM nahtlos in die vorhandenen Strukturen eingebettet und als Teil einer normbasierten Gesamt-Governance betrieben wird.

 

Vorteile einer XBOM-Struktur – Kombination aus SBOM und HBOM

  • Transparenz und Nachvollziehbarkeit über die gesamte Lieferkette

  • Risikoreduktion durch frühzeitige Erkennung von Schwachstellen und Abhängigkeiten

  • Schnellere Audit- und Compliance-Fähigkeit (CRA, NIS-2, ISO-Normen)

  • Effizientes Lifecycle-Management bei Produktänderungen

  • Stärkung des Vertrauens bei Kunden und Behörden durch dokumentierte Sicherheit

XBOM ist kein theoretisches Konzept, sondern eine praktische Grundlage für digitale Resilienz.
Die Kombination aus SBOM (Software) und HBOM (Hardware) schafft eine durchgängige Transparenz über alle Ebenen hinweg – von der Entwicklung bis zur Inbetriebnahme.
Unternehmen, die frühzeitig Strukturen schaffen, schaffen zugleich Vertrauen, Nachvollziehbarkeit und einen klaren Wettbewerbsvorteil.