Machen wir schon länger, aber in einer für uns angepassten Version, damit wir selbst wissen, was wir alles in den Projekten verwenden.

Zentrale Excel Liste in dem die Projekte mit den verwendeten extern bezogenen Bibliothekten und den Installationsanpassungen von Delphi. D.h. die Installationen von Getit.

Werden wir wohl in eine Datenbank zusammenfassen, damit man die so exportieren kann, wie das BSI das will.

In der EU Vorgabe und den US Vorgaben habe ich jetzt nichts gelesen, dass ein bestimmtes elektronische Format vorgegeben wird. Nur dass man CVEs mit den Bibliotheken zu prüfen hat. Hab ich da was überlesen.

Was Embarcadero so einsetzt wird wohl Embarcadero auflisten können/müssen, wenn Europa in absehbarer Zeit nicht als Kundenregion wegfallen soll.


Bei Lazarus und Pilotlogic düfte die Menge an verwendeten Freewarekomponenten problematisch sein. Wie will man hier alles auflisten. Kann man freie Compiler in Zukunft noch für kommerzielle Projekte nutzen? Anderes Problem: Was macht man mit eingesetzter Freeware im Unternehmen? Ohne Werbung zu machen fallen mir vier Produkte ein, die ein Risiko sein könnten (PDF24, Hmailserver, Multicommander, VNC).

Letztendlich wird es für Freewarecompiler und die freie Komponenten aufwendiger werden, die Regularien einzuhalten. Mal sehen, was alles in nächster Zeit vom Markt verschwinden wird.

NACHTRAG:
- Was macht man eigentlich mit alter Software/Maschinen, wenn der Cyber Resilence Act aktiv wird? Grade im Bereich von Produktionsmaschinen gibt es machmal alte Systeme, die nicht mehr seitens Hersteller gepflegt werden? Die mal einfach so austauschen kann grade bei Produktionsmaschinen sehr teuer werden.
- Microsoft Access mit ActiveX Komponenten kann auch ein Problem werden. Woher die Komponentenliste bekommen und die darin verwendeten Komponenten?
- Auch ist nicht aufgeführt, was Firmen mit alten Verwaltungsprogrammen wie z.B. Warenwirtschaft machen, die zwar noch ausreicht, aber mal individuell erstellt wurde oder wo der Hersteller das Produkt aufgegeben hat. Grade bei Firmen, die kaum Budget für aktuelle Software haben und Buchhaltung/Lohnabrechnung beim Steuerberater haben, kann das ein Problem werden.

Scheint so, dass da irgendwie noch einige Betrachtungspunkte in den Vorgaben für SBOM/Cyber Resilence fehlen. . .

gerade im Bereich OpenSource verbreitet. Damit kann man schneller feststellen, ob man von einer Sicherheitslücke wie log4j betroffen ist. Zudem kommen da auch die Lizenzen rein, damit man Inkompatibilitäten vermeidet.
Allerdings gibt es derzeit noch kein standardisirtes Format. Zu den gängigen SBOM-Formaten gehören:

• Software Package Data Exchange (SPDX)
• Software Identification (SWID) Tagging und
• OWASP CycloneDX

Ein guter Artikel auch hier: https://www.csoonline.com/de/a/die-8...-tools,3674056

Der CRA betrifft nur Hersteller (bzw. auch Vertreiber) der Produkte mit digitalen Elementen. Für die Anwender formuliert der CRA keine Verpflichtungen, nur Rechte. Vom Grundsatz her kannst Du also Deine alten Systeme weiterverwenden. Im CRA ist dafür sogar eine Ausnahme für die Hersteller gemacht, die dürfen weiterhin Ersatzteile gleicher Bauart für alte Produkte in den Verkehr bringen, auch wenn diese alten Produkte nicht die aktuellen Anforderungen zur Cybersicherheit erfüllen.

Ob man nun tatsächlich die alten Geräte / Software weiterverwenden kann oder sollte, hängt für Unternehmen z.B. auch davon ab, ob sie ggfflls. dem Anwendungsbereich NIS2-Richtlinie (bzw. aktuell noch BSI-Gesetz und Kritis-VO) unterfallen und somit verpflichtet wären, ihren IT-Betrieb nach dem Stand der Technik zu betreiben.

Im Falle von eigenen oder bei Dritten verursachten Cyberschäden steht man natürlich auch nicht so gut da, wenn man alte Hardware und Software einsetzt und somit evtl. allgemeine Sorgfaltsverpflichtungen verletzt hat...