Keysight SBOM Manager: Software-Transparenz wird Pflicht

Die globale Regulierungswelle für Software-Transparenz erreicht ihren Höhepunkt. Während die EU mit ihrem Cyber Resilience Act (CRA) verbindliche Fristen setzt, schwenken die USA auf ein risikobasiertes Modell um. Für Unternehmen wird die Verwaltung von Software Bills of Materials (SBOMs) damit zum unverzichtbaren Betriebsstandard – und ein neuer Markt für Management-Tools entsteht.

Die versteckte EU-Deadline im September 2026

Der Countdown läuft: Ab dem 11. September 2026 tritt eine erste, kritische Frist der EU-Cybersicherheitsverordnung in Kraft. Hersteller digitaler Produkte müssen dann aktiv ausgenutzte Sicherheitslücken innerhalb von nur 24 Stunden an die EU-Agentur für Cybersicherheit (ENISA) melden. Diese Meldepflicht macht SBOMs de facto schon jetzt zur Pflicht, obwohl die volle Umsetzung des CRA erst für Ende 2027 geplant ist.

Seit August 2024 gelten neue KI-Regeln – viele Unternehmen riskieren unwissentlich Bußgelder. Die EU-KI-Verordnung ist bereits in Kraft. Dieser kostenlose Leitfaden zeigt, was Sie jetzt beachten müssen. EU-KI-Verordnung kompakt: Pflichten für Ihr Unternehmen verstehen

Ohne eine vollständige, maschinenlesbare Inventarliste aller Software-Komponenten ist die Frist praktisch nicht einzuhalten. Bei Verstößen drohen empfindliche Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes. Die Industrie konzentriert sich daher nicht mehr nur auf das Erstellen, sondern auf die „Operationalisierung“ von SBOMs: Die Daten müssen laufend mit aktuellen Bedrohungsinformationen abgeglichen werden, um sofort reagieren zu können.

USA setzen auf flexible Risikobewertung

Während Europa einen klaren Rechtsrahmen schafft, vollzieht die US-Regierung einen strategischen Kurswechsel. Die neue nationale Cybersicherheitsstrategie vom 6. März 2026 setzt auf „gesunden Menschenverstand“ und Partnerschaft mit der Wirtschaft statt auf starre Vorgaben. Die Ära einheitlicher „Checkbox“-Compliance ist vorbei.

Doch bedeutet das weniger Transparenz? Keineswegs. Bundesbehörden behalten sich vor, SBOMs als Grundlage für individuelle Risikobewertungen in der Beschaffung einzufordern. Besonders streng bleibt die US-Arzneimittelbehörde FDA: Sie verlangt für die Zulassung medizinischer Geräte bereits detaillierte SBOMs in standardisierten Formaten. Der Druck durch Verträge und Haftungsfragen ist also unvermindert hoch – nur der Weg dorthin wird flexibler.

Neue Tools entlasten Sicherheitsteams

Auf diese regulatorische Doppelherausforderung reagiert die Tech-Branche mit spezialisierten Lösungen. Die Ankündigung des Keysight SBOM Managers am 18. März ist ein Beispiel für diese neue Generation von Management-Plattformen. Sie automatisieren die Erstellung und Pflege von SBOMs selbst für komplexe Produkte mit eingebetteter Firmware.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – neue Gesetze verschärfen die Lage und IT-Experten warnen vor teuren Konsequenzen. Dieser kostenlose Leitfaden zeigt, wie Sie Ihr Unternehmen mit einfachen Maßnahmen effektiv schützen. Experten-Report: Strategien gegen Cyberkriminelle ohne Budget-Explosion

Ein Schlüsselfeature ist die Integration des Vulnerability Exploitability eXchange (VEX). Dieses System erlaubt es Herstellern, klar zu kommunizieren, welche Schwachstellen in ihrer Software tatsächlich relevant sind – und welche nicht. So wird der „Lärm“ falscher Alarmmeldungen reduziert und Sicherheitsteams können sich auf echte Bedrohungen konzentrieren. Der Markt bewegt sich weg von statischen PDF-Listen hin zu dynamischen Workflows, die SBOMs mit jedem Update automatisch aktualisieren.

Globaler Wettlauf um Standards

Die unterschiedlichen Ansätze in Brüssel und Washington zwingen globale Konzerne zu einer strategischen Entscheidung. Experten erwarten einen „Brussels Effect“: Viele Unternehmen werden den strengeren EU-Standard als globalen Maßstab übernehmen, um den Zugang zum europäischen Binnenmarkt nicht zu gefährden. Das treibt die weltweite Standardisierung maschinenlesbarer Formate wie CycloneDX und SPDX voran.

Auch Open-Source-Software rückt in den Fokus der Aufsicht. Da bis zu 27 Prozent der KI-generierten Abhängigkeitsvorschläge fehlerhaft sein können, werden verifizierte SBOMs zur nationalen Sicherheitsfrage. Länder wie Japan, Australien und Südkorea ziehen mit eigenen Vorgaben nach. Software-Transparenz ist kein freiwilliges „Nice-to-have“ mehr, sondern die Grundlage für digitalen Handel.

Was jetzt auf Unternehmen zukommt

Das restliche Jahr 2026 wird vom Wettlauf zur September-Frist in Europa geprägt sein. Unternehmen ohne automatisierte SBOM- und Schwachstellen-Management-Systeme werden die 24-Stunden-Meldepflicht kaum erfüllen können. Gleichzeitig arbeiten europäische Normungsgremien an einem detaillierten technischen Standard für die CRA-Umsetzung.

Langfristig wird der SBOM-Begriff erweitert werden. Mit dem Aufstieg Künstlicher Intelligenz zeichnet sich die Einführung von „AI Bills of Materials“ (AIBOMs) ab, die Trainingsdaten und Modelle dokumentieren. Für heute steht jedoch eine Aufgabe im Vordergrund: der Übergang von manuellen Inventarlisten zu automatisierten, toolgestützten Prozessen. Die Fähigkeit, Transparenzdaten maschinenlesbar zu generieren und zu teilen, wird zum neuen Maßstab für Compliance und Kundenvertrauen.

boerse | 68971220 |