Ende Juni 2026 in den Medien: Autobauer Polestar muss sich aus dem US-amerikanischen Markt zurückziehen, weil seine Fahrzeuge bestimmte Hard- oder Software mit Bezügen zu China enthalten und damit gegen die noch relative neue Connected Vehicle Rule (15 CFR Subpart 791 D) verstoßen. Ganz unabhängig von den diversen anderen spannenden Feinheiten der Connected Vehicle Rule ist diese Regelung auch deswegen interessant, weil sie Hersteller und Importeure von Fahrzeugen faktisch dazu zwingt, die Zusammensetzung der in den Fahrzeugen enthaltenen Software jedenfalls intern (aber nicht gegenüber den Behörden: „.. either through an SBOM or otherwise..“, 15 CFR § 791.305 (a) (2) (iv)) mittels einer Stückliste (Software Bill of Materials – SBOM) zu dokumentieren. Definiert ist das in 15 CFR § 791.301 so:
Software Bill of Materials (SBOM) means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product.
Woran erinnert Sie das? Genau, an Anhang I, Teil II (Anforderungen an die Behandlung von Schwachstellen) der EU-Cyberresilienz-Verordnung (CRA), wo es in (1) heißt:
Die Hersteller von Produkten mit digitalen Elementen müssen
(1) Schwachstellen und Komponenten der Produkte mit digitalen Elementen ermitteln und dokumentieren, u. a. durch Erstellung einer Software-Stückliste in einem gängigen maschinenlesbaren Format, aus der zumindest die obersten Abhängigkeiten der Produkte hervorgehen;
Eine Pflicht zu einer solchen Dokumentation besteht zwar erst ab Dezember 2027 (siehe Art. 71 CRA), aber schon jetzt ist es doch sinnvoll, aktuelle SBOMs zu haben und zu pflegen: Wenn in verwendeten Software-Komponenten Sicherheitslücken vorhanden sind und ausgenutzt werden, kann damit einfach ermittelt werden, welche eigene Software ebenfalls betroffen sein könnte.