Digitale weerbaarheid staat hoog op de Europese agenda. Met de komst van de Cyber Resilience Act (CRA) en de implementatie van de NIS2-richtlijn in de Nederlandse Cyberbeveiligingswet (Cbw) verschuift de aandacht nadrukkelijk naar aantoonbare beheersing van software-risico’s. Organisaties moeten niet alleen veilig ontwikkelen en beheren, maar ook kunnen onderbouwen welke softwarecomponenten zij gebruiken, hoe kwetsbaarheden worden gemonitord en hoe snel updates worden doorgevoerd.
Daarom introduceren wij binnen 2LRN4 een nieuwe beheerdersfunctionaliteit: de Software Bill of Materials (SBOM).
Deze is direct beschikbaar via het beheerdersmenu en wordt automatisch bijgewerkt na iedere platformupdate.
Wat is een SBOM?
Een Software Bill of Materials is te vergelijken met een ingrediëntenlijst van software. Net zoals bij voedingsmiddelen inzichtelijk moet zijn welke ingrediënten zijn gebruikt, maakt een SBOM transparant uit welke open source libraries, frameworks, externe packages, en versies en afhankelijkheden een applicatie bestaat.
In moderne SaaS-omgevingen bestaat een groot deel van de software uit herbruikbare bouwstenen. Dat is efficiënt en innovatief, maar brengt ook afhankelijkheden met zich mee. Wanneer in een veelgebruikte library een kwetsbaarheid wordt ontdekt, moeten organisaties snel kunnen bepalen:
- gebruiken wij deze component?
- in welke versie?
- is deze al gepatcht?
- wat is het risico voor onze dienstverlening?
Een actuele SBOM geeft daar direct antwoord op.
Waarom is dit belangrijk onder de CRA?
De Cyber Resilience Act stelt strengere eisen aan producenten van digitale producten en software. Leveranciers moeten onder meer:
- veilige ontwikkelprocessen aantoonbaar hebben ingericht
- kwetsbaarheden actief monitoren
- updates tijdig beschikbaar stellen
- transparant zijn over gebruikte componenten
De SBOM is daarbij een essentieel instrument. Het maakt controleerbaar dat wij als leverancier inzicht hebben in onze softwareketen en structureel werken aan kwetsbaarhedenbeheer. Voor 2LRN4 betekent dit dat wij niet alleen compliant willen zijn, maar ook vooruitlopen op wat de markt van een security-platform mag verwachten: maximale transparantie over onze software-architectuur.
Relatie met de Cbw / NIS2
De NIS2-richtlijn/Cyberbeveiligingswet legt nadruk op:
- risicogebaseerde beveiliging
- supply chain security
- aantoonbare governance
- bestuurdersverantwoordelijkheid
Voor onze klanten met verhoogde zorgplicht, betekent dit dat zij leveranciers kritischer moeten beoordelen op softwarebeveiliging en ketenrisico’s.
Met de geïntegreerde SBOM in 2LRN4 kunnen beheerders:
- direct inzicht krijgen in gebruikte componenten
- onderbouwen hoe kwetsbaarheden worden gemonitord
- aantonen dat updates zijn doorgevoerd
- vragen van auditors sneller beantwoorden
Dit ondersteunt niet alleen technische teams, maar ook CISO’s, risk officers en bestuurders die verantwoording moeten afleggen.
Automatisch bijgewerkt na iedere update
De SBOM binnen 2LRN4 wordt automatisch gegenereerd en bijgewerkt na iedere release.
Dat betekent:
- geen handmatige administratie
- geen verouderde overzichten
- altijd actuele componentinformatie
- directe aansluiting op ons patch- en updateproces
Deze automatisering is cruciaal. Een statische SBOM verliest snel waarde. Door deze dynamisch te koppelen aan ons releaseproces blijft de informatie betrouwbaar en actueel.
Waarom dit belangrijk is voor 2LRN4
Als security awareness platform dragen wij zelf verantwoordelijkheid voor de digitale weerbaarheid van onze klanten. Dat betekent dat onze eigen softwareontwikkeling dezelfde principes moet volgen die wij onze klanten adviseren:
- security by design
- privacy by design
- transparantie
- aantoonbare beheersing
Met de SBOM laten wij zien dat wij onze supply chain serieus nemen. Het is een concrete stap richting structurele compliance met Europese regelgeving én een versterking van ons vertrouwen in de markt. Daarnaast ondersteunt het onze ambitie om 2LRN4 te positioneren als een volwassen, toekomstbestendig SaaS-platform dat voldoet aan de eisen van ISO-gebaseerde governance, NIS2 en de CRA.
Waarom dit belangrijk is voor onze klanten
Voor onze klanten betekent de SBOM:
1. Minder auditdruk
Bij vragen over gebruikte softwarecomponenten kan direct worden verwezen naar de actuele SBOM.
2. Snellere risicoanalyse
Bij publicatie van een nieuwe kwetsbaarheid kan snel worden vastgesteld of deze relevant is.
3. Ondersteuning bij compliance
De SBOM helpt bij het aantonen van leveranciersbeheersing binnen NIS2-, ISO 27001- of interne risicokaders.
4. Versterkt vertrouwen
Transparantie vergroot het vertrouwen tussen leverancier en klant. U hoeft niet te vertrouwen op verklaringen; u kunt het zelf verifiëren.
SBOM als onderdeel van digitale soevereiniteit
Digitale weerbaarheid draait niet alleen om techniek, maar om controle. Inzicht in softwarecomponenten betekent inzicht in afhankelijkheden. Dat is essentieel in een tijd waarin supply chain aanvallen toenemen en Europese regelgeving nadrukkelijk inzet op digitale autonomie.
Met de introductie van de SBOM zetten wij een volgende stap in het versterken van die controle.
De Software Bill of Materials binnen 2LRN4 is meer dan een technische toevoeging aan het beheerdersmenu. Het is een strategische stap richting:
- Europese compliance (CRA en NIS2/Cbw)
- aantoonbare supply chain security
- transparante softwareontwikkeling
- versterkt vertrouwen in onze dienstverlening
In een tijd waarin regelgeving en dreigingen gelijktijdig toenemen, geloven wij dat transparantie geen optie meer is, maar een basisvoorwaarde.
Met de SBOM maken wij dat concreet, automatisch, actueel en beschikbaar voor iedere beheerder.