Besluitnotitie Hervatting procedure SBOM
Content
| Vergadering | Forum Standaardisatie 8 april 2026 |
|---|---|
| Agendapunt | 2B |
| Documentnummer | FS-20260408.2B |
| Aan | Forum Standaardisatie |
| Van | Stuurgroep Open Standaarden |
| Bijlagen | 0 |
| Rechten | CC0 publieke domeinverklaring |
1. Aanleiding
Het Forum heeft op 25 juni 2025 besloten de intakeprocedure voor opname van SBOM-standaarden (Software Bill of Materials) op de “pas toe of leg uit”-lijst tijdelijk te pauzeren. Aanleiding daarvoor was onzekerheid over de Europese normontwikkeling in het kader van de Cyber Resilience Act (CRA) en de mogelijkheid dat een geharmoniseerde norm een specifieke SBOM-standaard zou gaan voorschrijven aan leveranciers.
Inmiddels is door NEN een draft gepubliceerd van een geharmoniseerde norm ter ondersteuning van de CRA. https://www.nen.nl/nen-en-40000-1-3-2025-ontw-en-346704
Deze draft bepaalt:
“The SBOM shall be assembled in a structured, machine-readable format. (…) Some of the widely used machine-readable formats by software ecosystem stakeholders to generate and consume SBOMs are, for example: CycloneDX and SPDX.”
Hieruit volgt dat het hanteren van een gestructureerd, machineleesbaar formaat verplicht wordt gesteld, waarbij CycloneDX en SPDX expliciet worden genoemd als gangbare formaten, en waarbij geen alternatieve of concurrerende standaard exclusief wordt voorgeschreven. Ook verwijst de draft naar een specifiek profiel op CycloneDX, zoals beschreven in de technische richtlijn TR-03183 van het Bundesamt für Sicherheit in der Informationstechnik (BSI), dat een vaste structuur oplegt aan een SBOM-standaard, met gedefinieerde eisen en verplichte velden, wat zorgt voor een consistentere en effectievere toepassing.
De grondslag voor de eerdere pauzering, onzekerheid over mogelijke normconflicten, is daarmee komen te vervallen.
2. Europese context en nationale standaardisatie
De CRA werkt met het systeem van geharmoniseerde normen die een vermoeden van conformiteit kunnen geven ten aanzien van essentiële cybersecurity-eisen. Bovendien kan een SBOM ook inzicht geven in de voor de eindgebruiker relevante gebruikslicenties die van toepassing zijn op de in een product of dienst gebruikte derdenprogrammatuur, zoals open source componenten. De thans beschikbare draft bevestigt het belang van SBOM, sluit inhoudelijk aan bij de bestaande marktpraktijk, en laat ruimte voor nationale standaardisatie-instrumenten.
Er is dus geen sprake van een exclusieve aanwijzing van een afwijkend formaat die nationale opname van de twee gangbare SBOM-specificaties zou doorkruisen. Hervatting van de intakeprocedure is derhalve verenigbaar met het Europese kader, en met de vier ontvankelijkheidscriteria waaraan het Bureau Forum Standaardisatie nieuwe aanmeldingen dient te toetsen.
Daarnaast bevestigt de recente opname van SBOM-verplichtingen in de nieuwe GIBIT (ICT inkoopvoorwaarden van de VNG) dat ook de bestuurlijke praktijk inmiddels vraagt om uniforme en machineleesbare standaardisatie op dit gebied.
Hervatting van de procedure is daarmee zowel juridisch als beleidsmatig gerechtvaardigd.
3. Functioneel toepassingsgebied
De standaard CycloneDX/SPDX ziet op het gestructureerd en machineleesbaar beschikbaar kunnen stellen van een Software Bill of Materials (SBOM) in het kader van de levering, het beheer en de beveiliging van ICT-prestaties.
Het door de indieners (MinVWS, Belastingdienst, en UWV) beoogde functioneel toepassingsgebied is:
- Het verkrijgen van inzicht in de aangeboden software, zodat beter gecontroleerd kan worden of het implementatievoorstel aan de (niet-) functionele eisen voldoet;
- Inzicht verkrijgen in de door de overheid ingekochte software, met als doel:
- Beter kunnen monitoren van en acteren op software kwetsbaarheden;
- Sturingsinformatie genereren over de aard en opbouw van het softwareportfolio.
- Het verkrijgen van inzicht in de opbouw van de door de overheid ontwikkelde software.
SBOMs kunnen daarbij op twee manieren worden verkregen:
- De SBOM wordt aangeleverd door de softwareleverancier. Dit kan zowel een commerciële softwareleverancier zijn als een open-source community. De leverancier of ontwikkelaar onderhoudt een SBOM en stelt deze periodiek en op afroep aan de opdrachtgever (al dan niet onder een geheimhoudingsbeding) beschikbaar. Indien levering of ontwikkeling onder open-sourcevoorwaarden is overeengekomen of beoogd dan maakt een SBOM onderdeel uit van de bij de software behorende (openbaar toegankelijke) documentatie.
- De SBOM wordt door de overheidsorganisatie zelf gegenereerd. Dit is nodig voor zelfontwikkelde software of voor software waar (nog) geen SBOM voor beschikbaar is.
Het gebruik van de twee specificaties CycloneDX en SPDX ondersteunt interoperabiliteit en herbruikbaarheid van een sbom en van software. Het faciliteert bovendien een consistente uitvoering van toekomstige CRA-verplichtingen die de leveranciers krijgen opgelegd.
4. Voorstel aan het Forum
Het Forum wordt voorgesteld om:
- Vast te stellen dat de grond voor de pauzering van de intakeprocedure voor SBOM (CycloneDX en SPDX) is komen te vervallen;
- Te besluiten de intakeprocedure te hervatten;
- Het Bureau Forum Standaardisatie opdracht te geven een expertadviestraject te starten ten aanzien van opname van CycloneDX en SPDX op de “pas toe of leg uit”-lijst.