Il 9 giugno, l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) ha pubblicato il rapporto “SBOM Adoption State of Play – 2026”, dedicato allo stato di adozione dei Software Bill of Materials (SBOM) nelle organizzazioni europee.
Uno SBOM è un inventario strutturato di tutti i componenti software che costituiscono un prodotto digitale: librerie, dipendenze, versioni, licenze, e sta diventando uno strumento centrale nella gestione della sicurezza della supply chain dei software.
Il tema è diventato urgente con l’entrata in scena del Cyber Resilience Act (CRA), il regolamento europeo che, a partire da dicembre 2027, renderà obbligatoria la produzione, il mantenimento e, su richiesta, la condivisione degli SBOM per tutti i prodotti con elementi digitali immessi sul mercato UE.
Il report di ENISA sull’adozione di Software Bill of Materials 2026 (SBOM)
Il report illustra i risultati di 334 risposte alla survey condotta dall’ENISA alla fine del 2025.
Per quanto riguarda il campione preso in esame, è specificato che il 65% degli intervistati opera principalmente nell’UE, l’87% proviene dal settore privato, ed oltre il 65% è costituito da grandi imprese con oltre 250 dipendenti.
Una composizione da tenere presente nella lettura dei dati: si tratta infatti principalmente di organizzazioni grandi, strutturate, con risorse dedicate alla compliance.
Le PMI, che nel tessuto produttivo europeo sono la stragrande maggioranza delle imprese, sono invece meno rappresentate.
In base ai risultati dell’indagine dell’Agenzia, il 72% delle organizzazioni ha aumentato gli investimenti in strumenti e automazione per gli SBOM, e il 43% degli intervistati dichiara che il CRA ha significativamente accelerato i propri piani di adozione di tali inventari.
Inoltre, il 79% delle organizzazioni si aspetta di raggiungere il livello di maturità richiesto dal CRA entro la fine del 2027.
Le organizzazioni si stanno quindi muovendo sul fronte dell’adozione, consapevoli che integrare gli SBOM nei processi esistenti richiede tempo e
che i cicli di sviluppo software non sono brevi.
Quanto agli utilizzi previsti, il 29% delle organizzazioni intende impiegare gli SBOM per l’identificazione e la correzione delle vulnerabilità, il 22% per verificare la corretta dichiarazione delle licenze open source, il 19% per soddisfare requisiti normativi, il 14% per valutare i rischi legati a software di terze parti e il 13% per mantenere un inventario aggiornato di tutti i componenti.
Gli standard per la supply chain security
Sul fronte dei formati, il 44% usa CycloneDX e il 29% SPDX, le due opzioni che il CRA e le linee guida tecniche tedesche (BSI TR-03183-2) indicano esplicitamente come riferimento.
Entrambi sono standard aperti ed elaborabili automaticamente che definiscono come strutturare le informazioni di uno SBOM.
Per contro, il restante 28% degli intervistati usa formati proprietari o non standard, elemento che, in un ecosistema dove l’interoperabilità è condizione necessaria per far funzionare la supply chain security – osserva il report stesso rappresenta una potenziale barriera all’interoperabilità nel mercato UE.
Il gap fra la produzione e l’uso dei Software Bill of Materials nel 2026
Una questione delicata è inoltre il divario rilevato tra la produzione e l’utilizzo effettivo degli SBOM, gap che il 44% degli intervistati segnala come “moderato”, mentre il 23% definisce “significativo”.
Solo il 7% ha chiuso questo divario completamente.
Ciò significa che moltissime organizzazioni producono un inventario dei componenti software, che non viene tuttavia integrato nei processi di vulnerability management, nella valutazione del rischio della supply chain, nelle decisioni di procurement, non rendendolo uno strumento operativo. Inoltre, i principali fruitori degli SBOM risultano essere i team di security e
sviluppo (34% ciascuno), mentre i team legali/compliance si fermano al 15% e il procurement addirittura al 5%.
Eppure sono proprio queste ultime funzioni – chi firma i contratti con i fornitori, chi gestisce il rischio legale – che dovrebbero essere i fruitori degli
SBOM in un’ottica di governance della supply chain.
I requisiti Software Bill of Materials nei contratti coi fornitori nel 2026
Sul versante dei fornitori, il report traccia la seguente situazione: il 39% delle
organizzazioni dichiara di non ricevere mai SBOM dai propri fornitori di software commerciale (COTS); un altro 39% li riceve solo raramente.
Solo il 2% ha standardizzato questa ricezione come parte del processo di procurement.
Le lacune principali negli inventari delle componenti software ricevuti riguardano la completezza (27%), l’accuratezza degli identificatori dei componenti (17%) e la qualità dei riferimenti alle vulnerabilità (12%): esattamente i tre elementi che rendono uno SBOM operativamente utile. Solo il 10% delle organizzazioni ha inserito requisiti SBOM obbligatori nei contratti con i propri fornitori, anche se il 55% sta lavorando sulla loro implementazione e il 27% la sta pianificando.
I 3 ostacoli all’adozione degli inventari
Quanto agli ostacoli all’adozione di tali inventari, il report ne identifica tre principali. Il primo è tecnico: il 62% degli intervistati considera molto o estremamente difficile raggiungere un
alto grado di completezza degli SBOM. Il secondo riguarda la qualità dei dati: il 37% cita
componenti incompleti, identificatori mancanti e informazioni sulle licenze errate. Il terzo è
organizzativo: il 28% indica la carenza di personale dedicato o competente.
Un’industria in movimento
Il report ENISA 2026 fotografa quindi un’industria in movimento, spinta da una regolamentazione che sta già producendo effetti tangibili.
L’adozione degli SBOM cresce, gli investimenti ci sono, le competenze si stanno sviluppando.
Il CRA diventa pienamente applicabile a dicembre 2027, tra poco meno di diciotto mesi.
Il lavoro da fare è chiaro: strumenti migliori, guida operativa concreta, pressione coordinata sui fornitori, e soprattutto adottare il Software Bill of Materials come uno strumento di sicurezza reale piuttosto che un semplice adempimento burocratico.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Maria Beatrice Versaci
Source link
