Maßnahmen zur Umsetzung von HBOM & SBOM im Rahmen der EU-Regulierungen (NIS-2, CRA, Lieferkettengesetz)

Das Framework-Modul zu XBOM definiert eine einheitliche Methodik zur:

  • Erfassung sämtlicher Hard- und Softwarekomponenten eines Produkts oder Systems,

  • Abbildung von Abhängigkeiten, Versionen und Lieferketten,

  • Sicherstellung der Nachvollziehbarkeit, Authentizität und Herkunft von Komponenten,

  • Bereitstellung standardisierter Nachweise für Audits, Zertifizierungen und Behördenanforderungen.

Die XBOM-Struktur vereint die beiden Kernbestandteile – die Hardware Bill of Materials (HBOM) und die Software Bill of Materials (SBOM) – und bildet damit die Grundlage für die spätere Umsetzung regulatorischer Anforderungen aus der NIS-2-Richtlinie, dem Cyber Resilience Act (CRA) und dem EU-Lieferkettengesetz.

HBOM und SBOM bereiten diese Pflichten nicht nur technisch vor, sondern schaffen zugleich die strukturellen Voraussetzungen für Nachweisführung, Konformitätsbewertung und eine belastbare Lieferketten-Transparenz.

Die Verarbeitung erfolgt über standardisierte Schnittstellen – im Framework der HKM als Connectoren bezeichnet –, die den bidirektionalen Datenaustausch zwischen XBOM und anderen Systemen (z. B. CMDB, ERP, ITSM oder Entwicklungsplattformen) ermöglichen.
Für die strukturierte Erfassung und Aktualisierung der Komponenten-Daten kommen Kollektoren zum Einsatz, die Informationen entweder automatisiert aus Build-Pipelines, Asset-Scans und Versionsverwaltungen oder manuell durch autorisierte Fachstellen erfassen.
Diese Architektur stellt sicher, dass XBOM als lebendes System betrieben wird und jederzeit die aktuelle technische und organisatorische Realität abbildet.
Sie gewährleistet zugleich, dass HBOM und SBOM nicht als statische Listen geführt, sondern als integrale Bestandteile eines dynamischen Compliance- und Governance-Prozesses verstanden werden.

Im Folgenden wird eine strukturierte Roadmap zur Umsetzung der Anforderungen zu XBOM vorgestellt. Sie orientiert sich an den offiziellen Vorgaben, beschreibt die notwendigen Schritte zur Prüfung der Betroffenheit von Unternehmen und Produkten und bietet praxisnahe Leitlinien als Entscheidungshilfe.

Ziele und regulatorischer Hintergrund

Das XBOM-Framework orientiert sich an den maßgeblichen europäischen und internationalen Regelwerken und unterstützt Unternehmen dabei, regulatorische Pflichten aus NIS-2, CRA und Lieferkettengesetz frühzeitig und integriert zu erfüllen.

Bezug zu den wichtigsten Regelwerken:

Regelwerk / Norm Zielsetzung Relevanz für XBOM
NIS-2-Richtlinie Stärkung der Cybersicherheit und Meldepflichten in kritischen Sektoren. XBOM unterstützt die Schwachstellenverfolgung und koordinierte Meldungen (CVD). Durch die Kombination von HBOM, SBOM und automatisierten Kollektoren werden Transparenz, Incident-Response und Risiko-Reports systemisch unterstützt.
Cyber Resilience Act (CRA) Sicheres Produktdesign („security by design“) und transparente Komponenten-Dokumentation. XBOM bildet die technische Dokumentationsbasis und Nachweiskette. HBOM und SBOM liefern die strukturierten Komponenten- und Sicherheitsdaten, die für CRA-Konformität erforderlich sind. Über Connectoren werden diese Daten direkt in Audit- und Berichtssysteme eingespeist.
EU-Lieferkettengesetz Erweiterte Sorgfaltspflichten in der Liefer- und Wertschöpfungskette. XBOM ermöglicht den Nachweis regelkonformer Lieferanten- und Komponenteninformationen. Kollektoren stellen sicher, dass Lieferanten- und Materialdaten vollständig, prüfbar und revisionssicher dokumentiert werden.
ISO/IEC 5962 (SPDX) / ECMA-424 (CycloneDX) Standardisierte, interoperable Datenformate zur Software-/Hardware-Inventarisierung. Technische Grundlage für Austausch, Nachweisführung und Integration. Connectoren unterstützen die Nutzung dieser Formate in Echtzeit-Prozessen und automatisieren die XBOM-Synchronisation mit den Managementsystemen.

Damit wird XBOM zum verbindenden Element zwischen technischer Systemtransparenz, regulatorischer Nachweisführung und digitaler Automatisierung.
Es ermöglicht Unternehmen, die Anforderungen aus NIS-2, CRA und Lieferkettengesetz nicht isoliert, sondern integriert und datenbasiert umzusetzen.

Aufbau und Struktur der XBOM-Daten

  • HBOM: Identifikation physischer Komponenten (Baugruppen, Chips, Seriennummern, Firmware-Stände, Herkunft),

  • SBOM: Identifikation digitaler Komponenten (Pakete, Versionen, Abhängigkeiten, Lizenzen, Prüfsummen),

  • Beziehungen: Zuordnung, Abhängigkeit, Herkunft, Verwendungszweck (z. B. RUNTIME, BUILD, OPTIONAL),

  • Nachweise: Prüfsummen, Signaturen, Lizenz-Attributions, externe Referenzen (CVE, CPE, PURL),

  • Lebenszyklus: Versionierung, Gültigkeiten, Änderungsverfolgung, Archivierung.

Schnittstellen, Connectoren und Kollektoren

Connectoren sind standardisierte Schnittstellen für den bidirektionalen Austausch zwischen XBOM und CMDB, ERP, ITSM, PLM/ALM sowie Entwicklungs- und Build-Plattformen.
Sie stellen sicher, dass Versionen, Identitäten und Abhängigkeiten konsistent bleiben und Daten über alle Systeme hinweg synchronisiert werden.

Kollektoren erfassen Daten automatisiert aus Build-Pipelines, Asset-Scans, SBOM-Generatoren oder Lizenzinventaren und ergänzen diese um manuelle Eingaben autorisierter Fachstellen.
Alle Änderungen und Einträge werden versionssicher dokumentiert, um Audit- und Nachweispflichten zuverlässig zu erfüllen.

Unterstützte Austauschformate umfassen SPDX (ISO/IEC 5962) und CycloneDX (ECMA-424).
Durch diese Architektur wird XBOM als lebendes System geführt, das regulatorische und operative Transparenz gleichermaßen sicherstellt.

Integration in Managementsysteme

Die XBOM-Prozesse sind vollständig in bestehende Managementsysteme integrierbar:

  • QMS: Prozess- und Dokumentationssteuerung, Prüf- und Freigabeverfahren,

  • ISMS: Datenintegrität, Zugriffskontrolle, Schwachstellen- und Incident-Prozesse,

  • ITSM: Change-, Release- und Konfigurationsmanagement (CI-Bezug, CMDB-Abgleich),

  • DSMS: Datenklassifizierung, Datenschutz-Compliance, Nachweise.

Die Einbettung in diese Systeme ermöglicht eine normbasierte Governance und unterstützt Audits nach ISO 9001, ISO/IEC 27001 und ISO/IEC 20000-1.

Umsetzungs-Roadmap zu XBOM (HBOM und SBOM)

Teil 1: Phasenübersicht mit Zielen, Maßnahmen und Meilensteinen

Im Folgenden wird eine strukturierte Roadmap zur Umsetzung der XBOM-Anforderungen dargestellt.
Sie dient als praxisorientierte Handlungsanleitung für Unternehmen, die HBOM- und SBOM-Prozesse im Rahmen von NIS-2, CRA und Lieferkettengesetz aufbauen oder integrieren.

Phase Zeitraum Ziele Maßnahmen Ergebnisse / Meilensteine
1. Vorbereitung & Scoping Monat 1 – 3 Projektdefinition, Zuständigkeiten und erste Inventur – Betroffenheit und Produktumfang klären (Standard / Wichtig / Kritisch)
– Projektteam und Governance-Struktur (Rollen, Verantwortlichkeiten) festlegen
– Budget und Zeitplan freigeben		 Projektorganisation etabliert
Produkte klassifiziert
Ausgangsinventar dokumentiert
2. Analyse & Gap-Bewertung Monat 4 – 6 Bestehende Strukturen prüfen, regulatorische Lücken erkennen – Analyse bestehender Prozesse (QMS, ISMS, ITSM)
– Bewertung von Lieferanten und Drittkomponenten
– Risiko- und Reifegradanalyse durchführen		 GAP-Bericht und Risiko-Report liegen vor
Handlungsfelder priorisiert
3. Konzept & Datenmodell Monat 7 – 9 XBOM-Struktur planen und technische Grundlage schaffen – Datenmodell und Pflichtfelder (SPDX / CycloneDX) definieren
– Connectoren und Kollektoren konfigurieren
– Validierungs- und Updateprozesse entwerfen		 XBOM-Schema definiert
Schnittstellen spezifiziert
Validierungslogik dokumentiert
4. Implementierung & Integration Monat 10 – 15 Prozesse, Systeme und Tools technisch umsetzen – Aufbau der zentralen XBOM-Repository
– Anbindung an CMDB, ERP, ITSM, PLM/ALM
– Automatisierte Erfassung (Build-Pipelines, Asset-Scans)
– Integritäts- und Lizenzprüfungen aktivieren		 Technische Implementierung abgeschlossen
Connectoren und Kollektoren produktiv
Datenflüsse stabil
5. Überprüfung & Audit Monat 16 – 18 XBOM-Prozesse evaluieren, Konformität nachweisen – Interne Audits (XBOM ↔ technische Dokumentation ↔ Lieferantennachweise)
– Audit-Dossier und Compliance-Reports erstellen
– Korrekturmaßnahmen umsetzen		 Auditbericht genehmigt
Nachweise vollständig
CRA/NIS-2-Reife nachgewiesen
6. Betrieb & kontinuierliche Pflege Ab Monat 19 XBOM als lebendes System etablieren und fortlaufend aktualisieren – Monitoring neuer Releases und Versionen
– Automatisierte Aktualisierung durch Kollektoren
– Jährliche Review- und PDCA-Zyklen
– Kontinuierliche Verbesserung und Training		 XBOM im Dauerbetrieb
Daten stets aktuell und revisionssicher
Compliance fortlaufend gewährleistet

Werkzeuge, Datenformate und Automatisierung

  • Unterstützte Formate: SPDX (ISO/IEC 5962), CycloneDX (ECMA-424)

  • API-basierte Connectoren für CI/CD-Pipelines, Schwachstellenscanner, CMDB- und ITSM-Systeme

  • Kollektoren für Lieferantendaten, Asset-Inventare und Build-Artefakte

  • Validierung (Checksummen, Lizenzen, Beziehungen), Versionierung und Audit-Trail

Referenzdokumente und Vorlagen

  • XBOM-Datenschema (SPDX / CycloneDX)

  • Komponenten-Inventar (Vorlagen aus dem Framework)

  • Lieferanten-Compliance-Statement

  • Audit-Checkliste (XBOM-Compliance)

  • Governance-Policies

Zuständigkeitsmatrix

Teil 2: RACI-Matrix

Maßnahme / Aufgabe CISO / ISB IT-Abteilung Geschäftsführung DSB Recht / Compliance Externe Berater
Projektinitiierung und Scoping A R C I C I
Produktklassifizierung (Standard / Wichtig / Kritisch) R A C I C C
Erstellung der XBOM-Projektplanung A R C I C C
Definition von Governance-Rollen und Verantwortlichkeiten A C R C C I
Durchführung der Gap-Analyse R A I C C C
Bewertung von Lieferanten / Drittkomponenten R C I I A C
Definition des XBOM-Datenmodells (SPDX / CycloneDX) A R I I C C
Einrichtung von Connectoren und Kollektoren C A I I C R
Validierung der Datenintegrität und Nachweiskette A R I C C C
Integration in QMS / ISMS / ITSM / DSMS A R I C C C
Erstellung der Audit- und Compliance-Dokumentation A C I I R C
Durchführung interner Audits (XBOM ↔ Dokumentation ↔ Lieferanten) A R I C C C
Umsetzung von Korrekturmaßnahmen R A I C C C
Schulungen und Awareness-Programme A R C C C I
Berichtswesen und Management-Review A C R I C I
Rechtliche Bewertung und Datenweitergabe I I C C A C
Externe Audit-Vorbereitung und Begleitung C R I I C A
Monitoring und fortlaufende XBOM-Pflege A R I C C I

Legende:

  • R = Responsible (Durchführungsverantwortlich)
  • A = Accountable (Letztverantwortlich / Freigabe)
  • C = Consulted (Fachlich einzubinden)
  • I = Informed (Zu informieren)

Zusammenfassung

Das XBOM-Framework schafft nachweisbare Transparenz über alle digitalen und physischen Komponenten.
Es unterstützt die Umsetzung von NIS-2, CRA und Lieferkettengesetz, stärkt die operative Resilienz und integriert sich vollständig in bestehende Managementsysteme.

Durch die Verwendung standardisierter Formate, die Integration über Connectoren und die automatisierte Pflege über Kollektoren wird XBOM zu einem lebenden Governance-Instrument, das regulatorische Anforderungen mess- und steuerbar macht.

Transparenz wird zur Resilienz – XBOM ist der Schlüssel zu einer nachvollziehbaren, normbasierten und auditfähigen Lieferkette.