サイバーレジリエンス法（Cyber Resilience Act、略称CRA）（2024年10月成立）は、デジタル製品のサイバーセキュリティについて、製造業者、輸入業者、流通業者の義務やそれを執行する体制を定めたものですが（デジタル製品の定義や製造業者の各種義務についてはこちらのブログを参照）、その中にソフトウェア部品表（software bill of materials、略称SBOM）を作成・提出する義務も含まれます。

　SBOMとは、デジタル製品のソフトウェア要素に含まれるコンポーネントの詳細とサプライチェーンの関係を含む正式な記録を意味します（CRA3条(39)）。

　CRAでは、製造業者は、上市前及びサポート期間中にわたり、附属書I、Part IIの脆弱性取扱要件を遵守する必要があるところ、その遵守事項として、

(1) identify and document vulnerabilities and components contained in products with digital elements, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the products (1) デジタル要素を備えた製品に含まれる脆弱性とコンポーネントを特定し、文書化すること。これには、一般的に使用され機械可読な形式で、ソフトウェア部品表（少なくとも当該製品の最上位レベルの依存関係を網羅するものでなければならない。）を作成することが含まれる。

と記載されています（附属書I、Part II(1)）。

　また、製造業者は、製品や当局の要請によっては、SBOMを技術文書に含める必要があり、かつ、サポート期間中は継続的に更新する必要があります（31条、附属書VII・2項(b)、同8項）。

　そして、市場監視当局は、EUのソフトウェアコンポーネントへの依存度を評価するために、特定のカテゴリのデジタル製品について、製造業者に対してSBOMの提出を求めることができます（前文(22)、13条25項）。

　以上をまとめると、CRAにおけるSBOM対応義務は、以下のとおりと考えられます。

■　すべてのデジタル製品について、脆弱性取扱要件として、少なくとも当該製品の最上位レベルの依存関係を網羅するSBOMを、一般的に使用され機械可読な形式で作成すること ■　製品や市場監視当局の要請によっては、SBOMを技術文書に含め、サポート期間中は継続的に更新すること ■　特定のカテゴリのデジタル製品については、市場監視当局の求めに応じてSBOMを提出すること（その前提としてSBOMを保存・更新すること）

　SBOMの形式と要素については今後、実施法で定められるものと思われます。