Med ökande krav på cybersäkerhet och transparens blir SBOM allt viktigare. Många branscher och myndigheter, inklusive EU och USA, arbetar nu för att göra SBOM till en standardpraxis. Det handlar inte längre bara om att vara proaktiv – det blir snart ett krav för att följa nya lagar och regler. Och precis som med GDPR är bötesbeloppen högt ställda, vilket gör det till ett dyrt misstag att ignorera kraven.
Några regelverk som driver behovet av SBOM
EO14028 (USA)
I maj 2021 undertecknade USA:s president Biden en exekutiv order (EO14028) som kräver att alla federala myndigheter och deras leverantörer använder SBOM. Syftet är att öka transparensen i mjukvaruutvecklingen och minska risken för cyberattacker.
SBOM är en central del av detta, eftersom det ger insyn i vilka komponenter som används och hur de hanteras.
NIS2 (EU)
EU:s nya direktiv för nät- och informationssäkerhet, NIS2, ställer högre krav på organisationer när det gäller cybersäkerhet. En viktig del är att företag måste kunna visa vilka komponenter som ingår i deras mjukvara och hur de hanterar sårbarheter. SBOM blir här ett viktigt verktyg för att uppfylla kraven.
CRA (Cyber Resilience Act, EU)
CRA är ett nytt förslag från EU som syftar till att stärka cybersäkerheten för hård- och mjukvaruprodukter. Enligt detta förslag måste tillverkare och utvecklare kunna visa att deras produkter är säkra och att de har en tydlig översikt över alla komponenter. SBOM är en nyckel för att möta dessa krav.
DORA (Digital Operational Resilience Act, EU)
DORA fokuserar på att stärka finanssektorns motståndskraft mot cyberhot. En del av detta är att organisationer måste kunna visa transparens och ansvar för de mjukvarukomponenter de använder. SBOM blir här en viktig del av att uppfylla kraven.
Varför SBOM blir en nödvändighet
Påverkan av sårbarheter i mjukvara har blivit så omfattande att lagstiftare och myndigheter inte längre kan ignorera problemet. Cyberattacker som utnyttjar sårbarheter i mjukvarukomponenter har orsakat stora skador, både ekonomiskt och för samhällsviktiga funktioner. Därför har man nu börjat reglera mjukvaruindustrin på ett sätt som inte skett tidigare.
SBOM är en central del av detta, eftersom det ger transparens och ansvar för de komponenter som används och levereras. Genom att använda SBOM kan organisationer inte bara förbättra sin säkerhet utan också bygga förtroende och möta framtida regelverk.
Framtiden med SBOM
Med dessa nya lagar och direktiv är det tydligt att SBOM inte längre är en frivillig "nice-to-have" – det blir en nödvändighet. Företag som inte anpassar sig riskerar inte bara stora böter utan också att förlora förtroende hos kunder och partners.
Att börja arbeta med SBOM nu är därför inte bara ett sätt att förbättra säkerheten, utan också en investering i att vara redo för framtiden.
SBOM är här för att stanna, och de som tar det på allvar kommer att vara bättre förberedda för de utmaningar som väntar. Om man inte börjat arbeta med SBOM än, är ett tips att börja på en gång.