Indiens SBOM-Anforderungen verstehen: CERT-In und SEBI

Angesichts der weltweit zunehmenden Risiken in der Software-Lieferkette hat auch Indien beschlossen, seine Regulierungsmaßnahmen zu verstärken. In den letzten Jahren haben zwei wichtige Aufsichtsbehörden, das Indian Computer Emergency Response Team (CERT-In) und die Securities and Exchange Board of India (SEBI), Richtlinien herausgegeben, die die Software Bill of Materials (SBOM) in den Mittelpunkt der Cybersicherheits-Governance stellen, insbesondere im Finanz- und öffentlichen Sektor. Zusammen stellen diese Vorgaben einen Paradigmenwechsel in der Art und Weise dar, wie Unternehmen ihre Software-Assets verfolgen, sichern und verwalten müssen.

SBOMs: Ein strategisches Instrument für Cybersicherheit und Compliance

Eine Software-Stückliste (SBOM) ist eine detaillierte Auflistung aller Komponenten – Open Source, von Drittanbietern und proprietär –, aus denen ein Softwaresystem besteht. SBOMs bieten Transparenz in der Software-Lieferkette und ermöglichen es, Schwachstellen zu identifizieren, Lizenzen zu verwalten und schnell auf Sicherheitsvorfälle zu reagieren. Da moderne Software oft aus hunderten von Bibliotheken und Paketen zusammengesetzt ist, wird die SBOM sowohl für die operative Ausfallsicherheit als auch für die Einhaltung gesetzlicher Vorschriften unverzichtbar.

Die Leitlinien von CERT-In unterstreichen dies, indem sie die SBOM als „entscheidendes Instrument in modernen Cybersicherheitsverfahren“ beschreiben. Für Entwickler, Integratoren und Verbraucher von Software ermöglicht die SBOM ein effektives Risikomanagement über den gesamten Software-Lebenszyklus hinweg – vom Entwurf und der Entwicklung bis hin zum Betrieb.

CERT-In-Richtlinien: SBOM als nationaler Standard

In seiner Leitlinie (v2.0) vom Juli 2025 hat CERT-In ein umfassendes SBOM-Rahmenwerk formalisiert, das für Regierungsbehörden, Anbieter essenzieller Dienste, Software-Exporteure und die gesamte Software-Dienstleistungsbranche gilt. Diese Leitlinien betonen, dass SBOMs als verbindliche Standardpraxis in allen Softwarebeschaffungs- und -entwicklungsworkflows erstellt, gepflegt und aktualisiert werden sollten.

Das CERT-In-Framework ermutigt Unternehmen, SBOMs nicht nur als statische Artefakte zu betrachten, sondern als lebendige Dokumente, die sich mit jedem Patch, Upgrade oder jeder Konfigurationsänderung weiterentwickeln. Es führt sechs SBOM-Klassen ein, die auf verschiedene Phasen des SDLC abgestimmt sind – Design, Source, Build, Analyzed, Deployed, and Runtime – und definiert mehrere SBOM-Typen wie Top-Level-, transitive, Liefer- und vollständige SBOMs.

CERT-In führt außerdem einen Stufenplan für die Umsetzung ein – START, PROGRESS und ADVANCE –, der Unternehmen von grundlegenden Praktiken zu ausgereiften, automatisierten SBOM-Ökosystemen führt. Das Framework deckt alles ab, von der sicheren Speicherung und Erfassung von SBOMs bis hin zur Korrelation von Schwachstellen und der Einhaltung von Lizenzen. Zur Verbesserung der Rückverfolgbarkeit und Interoperabilität werden eindeutige Identifikatoren (wie Paket-URLs) empfohlen.

Für Branchen wie das Bankwesen und Fintech stellt CERT-In klar, dass SBOMs ein proaktives Schwachstellenmanagement, die Bewertung von Lieferantenrisiken und die Fähigkeit zur Reaktion auf Vorfälle unterstützen müssen. Die Leitlinien verpflichten Software-Kunden, bei der Beschaffung aktiv SBOMs von den Anbietern einzufordern, und verlangen von Entwicklern, genaue und vollständige SBOMs zusammen mit ihren Softwareprodukten zu liefern.

SEBI-Vorgabe zur SBOM für Finanzinstitute

Parallel zu den technischen Empfehlungen von CERT-In gibt es eine regulatorische Anforderung der SEBI, der indischen Kapitalmarktaufsichtsbehörde. In ihrem Cybersecurity and Cyber Resilience Framework (CSCRF), das 2024 aktualisiert und 2025 präzisiert wurde, schreibt die SEBI die Erstellung und Pflege von SBOMs für alle regulierten Finanzunternehmen (REs) vor, darunter Banken, NBFCs, Investmentfonds, RTAs, Verwahrstellen und Clearinggesellschaften.

Die Anforderungen der SEBI gelten für alle kritischen IT-Systeme, darunter im weitesten Sinne internetbasierte Anwendungen, Kundendienste, zentrale Backend-Systeme und Systeme mit Zugriff auf sensible Infrastrukturen. Regulierte Unternehmen müssen nicht nur bei der Softwarebeschaffung eine SBOM einholen, sondern auch sicherstellen, dass diese bei jedem release, jedem Upgrade oder jeder Konfigurationsänderung auf dem neuesten Stand gehalten wird.

Die SEBI schreibt zwar kein bestimmtes SBOM-Format (wie SPDX oder CycloneDX) vor, verlangt jedoch die Aufnahme wichtiger Felder wie Lizenzinformationen, Namen von Lieferanten, Abhängigkeiten (einschließlich transitiver Abhängigkeiten), kryptografische Hashes, Verschlüsselungsstatus, Aktualisierungshäufigkeit und bekannte Unbekannte. Die Verordnung verlangt indirekt auch die Fähigkeit, SBOMs (Software Bill of Materials) einzulesen, sodass Responsible Entities (REs) Sicherheitslücken überwachen und Risiken in ihrem gesamten Anwendungssystem verfolgen können.

Unternehmen, die keine SBOMs für Altsysteme haben, müssen auf Führungsebene Risikomanagement-Bewertungen vorlegen. Das bedeutet, dass die Pflege genauer SBOMs nicht mehr nur eine technische Anforderung ist, sondern eine Verantwortung auf Vorstandsebene. Die SEBI kündigte das Cybersecurity and Cyber Resilience Framework (CSCRF) ursprünglich im August 2024 an und legte die Fristen für die Einhaltung der Vorschriften auf den 1. Januar 2025 für regulierte Unternehmen (REs), die bereits früheren Cybersicherheitsrundschreiben der SEBI unterliegen, und auf den 1. April 2025 für REs, die neu unter das Rahmenwerk fallen, fest.

Aufgrund mehrerer Anfragen aus der Branche nach einer Verlängerung der Frist hat die SEBI den Zeitplan jedoch überarbeitet. Nach dem letzten Stand hatten die meisten REs nun bis zum 31. August 2025 Zeit, um die CSCRF-Anforderungen zu erfüllen, einschließlich der Verpflichtungen zur Software-Stückliste (SBOM). Die einzigen Ausnahmen von dieser Verlängerung sind Marktinfrastrukturinstitutionen (MIIs), KYC-Registrierungsagenturen (KRAs) und qualifizierte Registrare für Emissionen und Aktienübertragungsagenten (QRTAs), die weiterhin die ursprünglichen Fristen einhalten müssen.

Angleichung der Praxis an die Politik

Zusammen bringen die Rahmenwerke von CERT-In und SEBI Indien in Einklang mit internationalen Bemühungen – wie beispielsweise der US-Verordnung 14028 und dem EU-Cyberresilienzgesetz, SBOMs als wichtiges Instrument für die Sicherheit der Lieferkette zu institutionalisieren. Beide Behörden betonen, dass die Einhaltung der Vorschriften nicht das Endziel ist, sondern dass SBOMs eine strategische Fähigkeit darstellen, die die Transparenz, Sicherheit und das Vertrauen in digitale Systeme verbessert.

Wir bei Bitsea wissen, dass die Erstellung und Pflege hochwertiger SBOMs in einer fragmentierten Codebasis ressourcenintensiv sein kann – insbesondere in Unternehmen, die hybride Umgebungen mit Open-Source-, kommerzieller und kundenspezifischer Software verwalten. Unsere Tools und Workflows sind darauf ausgelegt, die Erstellung von SBOMs zu automatisieren, die Verwaltung von Lizenzen und Schwachstellen zu unterstützen und auditfähige Einblicke über den gesamten Software-Lebenszyklus hinweg zu liefern.