Für Betreiber kritischer Infrastrukturen gelten hohe Anforderungen an die IT-Sicherheit nach dem BSIG und branchenspezifischen Sicherheitsstandards. Obwohl diese Standards detaillierte Sicherheitsmaßnahmen vorgeben, gibt es keine explizite Verpflichtung zur Erstellung von SBOMs.