Zum Inhalt springen
Resilience Platform Resilience Platform

Open Source & SBOM Resilience

OSS/SBOM-Nachweise

7 Evidenzkategorien decken die Nachweisführung für Open Source und SBOM unter DORA ab — von der Richtlinie über Komponenteninventar bis zu Schulungsnachweisen.

Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Management-Zusammenfassung

  • 7 Evidenzkategorien mit ID (EVD-OSS-001 bis EVD-OSS-007), Verantwortlichen und Review-Zyklen.
  • Jeder Nachweis ist mit DORA-Artikeln, MaRisk-Referenzen und ISO-Control-Ankern verknüpft.
  • Review-Zyklen von je Release über monatlich bis jährlich — passend zum Risiko und zur Änderungsfrequenz.
EVD-OSS-001

Open-Source-Richtlinie

Freigegebene Richtlinie zur Nutzung, Prüfung, Freigabe und Aktualisierung von Open Source Software.

Verantwortlich

Informationssicherheit / Architektur

Review-Zyklus

jährlich

DORA-Referenz

DORA Art. 8, 9, 10, 12, 13, 14, 24, 28, 30; ISO/IEC 5962:2021 (SPDX); CycloneDX 1.6

EVD-OSS-002

SBOM je Release

Maschinenlesbare Software Bill of Materials für relevante Anwendungen und Releases.

Verantwortlich

DevSecOps

Review-Zyklus

je Release

DORA-Referenz

DORA Art. 8, 9, 10, 12, 13, 14, 24, 28, 30; ISO/IEC 5962:2021 (SPDX); CycloneDX 1.6

EVD-OSS-003

OSS-Komponenteninventar

Zentrales Inventar aller relevanten OSS-Komponenten mit Anwendung, Version, Kritikalität und Eigentümer.

Verantwortlich

IT-Assetmanagement / DevSecOps

Review-Zyklus

monatlich

DORA-Referenz

DORA Art. 8, 9, 10, 12, 13, 14, 24, 28, 30; ISO/IEC 5962:2021 (SPDX); CycloneDX 1.6

EVD-OSS-004

OSS-Schwachstellenbericht

Bericht über erkannte Schwachstellen, Bewertung, Priorisierung und Behandlung.

Verantwortlich

IT-Sicherheit

Review-Zyklus

monatlich oder ereignisbezogen

DORA-Referenz

DORA Art. 8, 9, 10, 12, 13, 14, 24, 28, 30; ISO/IEC 5962:2021 (SPDX); CycloneDX 1.6

EVD-OSS-005

Patch- und Ausnahmeentscheidungen

Dokumentierte Entscheidungen zu Updates, Kompensationskontrollen oder Risikoakzeptanzen.

Verantwortlich

IT-Betrieb / Risikocontrolling

Review-Zyklus

monatlich

DORA-Referenz

DORA Art. 8, 9, 10, 12, 13, 14, 24, 28, 30; ISO/IEC 5962:2021 (SPDX); CycloneDX 1.6

EVD-OSS-006

Supplier SBOM Attestation

Nachweis, dass IKT-Dienstleister SBOMs und OSS-Steuerungsprozesse bereitstellen.

Verantwortlich

Auslagerungsmanagement / Einkauf

Review-Zyklus

jährlich oder bei Vertragsänderung

DORA-Referenz

DORA Art. 8, 9, 10, 12, 13, 14, 24, 28, 30; ISO/IEC 5962:2021 (SPDX); CycloneDX 1.6

EVD-OSS-007

OSS-Schulungsnachweise

Nachweis von Schulungen für Entwicklung, Architektur, Betrieb und Einkauf zu OSS unter DORA.

Verantwortlich

Personalentwicklung / Informationssicherheit

Review-Zyklus

jährlich

DORA-Referenz

DORA Art. 8, 9, 10, 12, 13, 14, 24, 28, 30; ISO/IEC 5962:2021 (SPDX); CycloneDX 1.6

Verknüpfte Module

Sollmaßnahmenkatalog DORA Evidence OSS Governance OSS Übersicht