Es gibt vom BSI die TR-03183 (V2.0.0). Diese ist derzeit nicht verpfichtend. Da die Umsetzung der CRA bis 2027 von neuen Produkten erforderlich ist, könnte sich möglicherweise (in einer späteren Version) ein verpflichtender Character ergeben.

In Deutschland gibt es derzeit keine spezifischen gesetzlichen Verpflichtungen zur Erstellung von SBOMs. Zwar fordern verschiedene Gesetze IT-Sicherheit nach dem „Stand der Technik“, wie die DSGVO oder das BSIG, doch konkretisieren sie nicht die Nutzung von SBOMs. Die rechtliche Pflicht zur Verwendung von SBOMs hängt von der Sensibilität der Software und dem Risiko ihres Einsatzes ab.