In Deutschland gibt es derzeit keine spezifischen gesetzlichen Verpflichtungen zur Erstellung von SBOMs. Zwar fordern verschiedene Gesetze IT-Sicherheit nach dem „Stand der Technik“, wie die DSGVO oder das BSIG, doch konkretisieren sie nicht die Nutzung von SBOMs. Die rechtliche Pflicht zur Verwendung von SBOMs hängt von der Sensibilität der Software und dem Risiko ihres Einsatzes ab.