Open Source & SBOM Resilience
Lieferanten-SBOM-Anforderungen
DORA Art. 28 verlangt, dass Finanzunternehmen IKT-Drittparteienrisiken als integralen Bestandteil ihres IKT-Risikomanagements steuern. IKT-Dienstleister müssen SBOMs, OSS-Prozesse und Schwachstelleninformationen bereitstellen.
Management-Zusammenfassung
- 9 Anforderungen an Lieferanten: SBOM-Format (SPDX/CycloneDX), Frequenz, Schwachstellen-SLA, Lizenz-Compliance und Auditrechte.
- Standard-Vertragsklausel verpflichtet IKT-Dienstleister zur Bereitstellung maschinenlesbarer SBOMs.
- Verbindliche Schwachstellen-Melde-SLA: Critical 24h, High 72h, Medium 5 Werktage.
Anforderungen an IKT-Dienstleister
| Anforderung | Sollwert |
|---|---|
| SBOM erforderlich | Ja, für alle vertragsgegenständliche Software |
| SBOM-Format | SPDX oder CycloneDX |
| SBOM-Frequenz | Je Release, mindestens quartalsweise |
| Schwachstellen-Meldung SLA | Critical: 24h, High: 72h, Medium: 5 Werktage |
| Patch-SLA (Critical) | Nach Verfügbarkeit, spätestens 30 Tage |
| Lizenz-Compliance-Attestation | Erforderlich |
| Open-Source-Richtlinie des Lieferanten | Auf Anforderung vorzulegen |
| Subunternehmer-Transparenz | Erforderlich für Software-Lieferkette |
| Auditrecht OSS-Prozesse | Vertraglich vereinbart |
Vertragsklausel (Muster)
Empfohlene Standardklausel für IKT-Verträge:
„Der IKT-Dienstleister stellt für die vertragsgegenständliche Software und wesentliche Releases eine aktuelle Software Bill of Materials in einem gängigen maschinenlesbaren Format (z. B. SPDX oder CycloneDX) bereit. Die SBOM muss direkte und transitive Open-Source-Komponenten, Versionen, Lizenzinformationen und bekannte sicherheitsrelevante Hinweise enthalten, soweit diese dem Dienstleister bekannt oder durch zumutbare Prüfprozesse ermittelbar sind.“