Panduan Bersama CISA + G7: "Software Bill of Materials untuk AI – Elemen Minimum"

CISA, bersama mitra G7 dari Kanada, Prancis, Jerman, Italia, Jepang, Inggris, dan Uni Eropa, menerbitkan panduan bersama berjudul 'Software Bill of Materials untuk AI – Elemen Minimum' pada 16 Juni 2026. Dokumen tersebut mendefinisikan tujuh 'klaster' informasi untuk AI SBOM: Metadata, System Level Properties, Models, Datasets Properties, Infrastructure, Security Properties, dan Key Performance Indicators. Panduan ini memperluas kerangka kerja SBOM yang sudah ada (berakar pada EO 14028/NTIA 2021) untuk mencakup komponen khusus AI: model lineage, provenance dataset pelatihan, kontrol ketangguhan adversarial, dan mitigasi risiko prompt-injection. Panduan ini bersifat sukarela dan tidak menciptakan persyaratan hukum baru, tetapi secara eksplisit memetakan obligasi dokumentasi teknis EU AI Act Pasal 11 dan 13/Annex IV.

Ini adalah definisi konsensus G7 pertama tentang apa yang harus dimuat oleh AI SBOM. Panduan ini menetapkan baseline internasional de-facto untuk transparansi rantai pasokan AI yang sudah membentuk kontrak vendor, kuesioner pengadaan, dan daftar periksa respons insiden. Organisasi yang memproduksi atau mengadakan sistem AI — terutama yang menjual ke pemerintah atau beroperasi dalam yurisdiksi EU — akan menghadapi tekanan yang semakin besar untuk menghasilkan AI SBOM yang sesuai. Panduan juga menghilangkan elemen 'level of autonomy' (ditandai sebagai ditangguhkan), menandakan celah standar terbuka untuk sistem AI agentic secara khusus.

Adopsi: mulai analisis celah terhadap tujuh klaster; prioritaskan model lineage, dataset provenance, dan elemen security-properties karena ini baru relatif terhadap SBOM konvensional. Tim vendor-risk harus segera menambahkan attestasi AI SBOM ke kuesioner pengadaan.