01-07-2025: Het Forum Standaardisatie heeft op woensdag 25 juni 2025 besloten om de aangemelde standaarden CycloneDX en SPDX onder de noemer SBOM voor nu niet in procedure te nemen zolang Europese harmonisatie nog gaande is. 

De Europese Unie ontwikkelt via de Cyber Resilience Act (CRA) en bijbehorende standaardisatieverzoeken geharmoniseerde eisen voor Software Bills of Materials (SBOMs). Het verplichten (‘Pas toe of leg uit’) of het aanbevelen van een specifieke SBOM-standaard brengt het risico met zich mee dat de EU op termijn een andere standaard voorschrijft dan die in Nederland door het Forum Standaardisatie reeds wordt verplicht (‘Pas toe of leg uit’) of aanbevolen. Dit kan leiden tot dubbele implementatiekosten en belemmerde interoperabiliteit.

SBOM

De standaarden CycloneDX en SPDX zijn beide SBOM-standaarden. Een SBOM is een document dat alle onderdelen (componenten, bibliotheken en frameworks) beschrijft waaruit een softwareproduct bestaat.

Inhoudsopgave

Content

Status

Status
  • ‘Verplicht ('Pas toe of leg uit’)' betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.
  • ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt.
  • ‘In behandeling’ betekent dat de standaard wordt getoetst voor opname op een van de lijsten.
  • ‘Archief’ betekent dat de standaard in het verleden op de lijst heeft gestaan of in behandeling is geweest en nu niet (meer) verplicht of aanbevolen wordt.

Gearchiveerd

Nut en werking

Nut

Als SBOM-standaarden bieden CycloneDX en SPDX inzicht in de samenstelling van een softwareproduct, wat bijdraagt aan transparantie, hergebruik, veiligheid en beheer van deze producten. Het stelt organisaties in staat om naleving van licenties en regelgeving beter te waarborgen, mogelijk hergebruik van componenten te beoordelen, afhankelijkheden in kaart te brengen en sneller te reageren op veiligheidsincidenten rond componenten. 
Werking

Beide standaarden specificeren de manier waarop softwarecomponenten, licenties, versies en relaties in een softwareproduct vastgelegd kunnen worden. Hierdoor is integratie en uitwisseling tussen verschillende systemen eenvoudiger en wordt het beheer van het softwarelandschap verbeterd.

Detailinformatie

Volledige naam

CycloneDX
System Package Data Exchange
Versie

CycloneDX: 1.5
SPDX: 3.0
Specificatiedocument

De specificaties van CycloneDX zijn vrij beschikbaar via de CycloneDX Specification Overview.
De specificaties van SPDX zijn vrij beschikbaar, met toegang via de Specifications - SPDX.
Beheerorganisatie

CycloneDX: OWASP
SPDX: The Linux Foundation

Toetsingsinformatie

Datum van aanmelding

Datum waarop een organisatie de standaard heeft aangemeld voor verplichten aan de overheid ('Pas toe of leg uit') of aanbevelen aan de overheid door plaatsing op een van de lijsten. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer zeven maanden.

25 juni 2024
intakeadvies

20250625-Intakeadvies-SBOM.pdf

PDF Document | 214.96 KB

Overig

Additionele adviezen

Deze zijn als volgt (bron: intakeadvies SBOM 25 juni 2025):

  • Aan de indiener en Forum Standaardisatie om het Europese standaardisatieproces voor SBOM-standaarden actief te monitoren. Heroverweeg het intakeadvies zodra geharmoniseerde EU-normen beschikbaar komen. Tot die tijd moet het Forum Standaardisatie terughoudend zijn met het adviseren tot verplichten (‘Pas toe of leg uit’) of aanbevelen van een specifieke SBOM-standaard.
  • Betrokken partijen zoals het Nationaal Cyber Security Centrum (NCSC), het Ministerie van Economische Zaken en het Nederlands Normalisatie Instituut (NEN) zouden niet alleen een volgende rol moeten hebben, maar ook een actieve rol kunnen pakken in het behartigen van de Nederlandse belangen binnen de Europese normontwikkeling. Door vroegtijdige en inhoudelijke betrokkenheid kunnen Nederlandse praktijkervaringen worden ingebracht in het Europese proces. Het is van belang dat deze partijen actief deelnemen aan werkgroepen, consultaties en afstemmingsoverleggen binnen de Europese normalisatie-instellingen om zo invloed uit te kunnen oefenen op de totstandkoming van werkbare en toepasbare normen.