Panduan Bersama CISA + G7: "Software Bill of Materials untuk AI – Elemen Minimum"

CISA, bersama mitra G7 dari Kanada, Prancis, Jerman, Italia, Jepang, Inggris Raya, dan Uni Eropa, menerbitkan panduan bersama berjudul 'Software Bill of Materials untuk AI – Elemen Minimum' pada 16 Juni 2026. Dokumen ini mendefinisikan tujuh 'cluster' informasi untuk AI SBOM: Metadata, System Level Properties, Models, Datasets Properties, Infrastructure, Security Properties, dan Key Performance Indicators. Panduan ini memperluas kerangka kerja SBOM yang ada (berakar pada EO 14028/NTIA 2021) untuk mencakup komponen khusus AI: model lineage, dataset training provenance, adversarial robustness controls, dan prompt-injection risk mitigations. Panduan ini bersifat sukarela dan tidak menciptakan persyaratan hukum baru, tetapi secara eksplisit memetakan ke kewajiban dokumentasi teknis EU AI Act Articles 11 dan 13/Annex IV.

Ini adalah definisi konsensus G7 pertama tentang apa yang harus dimuat dalam AI SBOM. Panduan ini menetapkan baseline internasional de-facto untuk transparansi supply-chain AI yang sudah membentuk kontrak vendor, kuesioner pengadaan, dan daftar periksa respons insiden. Organisasi yang menghasilkan atau mengadakan sistem AI — terutama mereka yang menjual ke pemerintah atau beroperasi di yurisdiksi EU — akan menghadapi tekanan yang terus meningkat untuk menghasilkan AI SBOM yang sesuai. Panduan ini juga menghilangkan elemen 'level of autonomy' (ditandai sebagai tertunda), menandakan celah standar terbuka untuk sistem agentic AI secara khusus.

Adopsi: mulai analisis celah terhadap tujuh cluster; prioritaskan model lineage, dataset provenance, dan security-properties elements karena elemen-elemen ini baru dibandingkan dengan SBOM konvensional. Tim vendor-risk harus segera menambahkan attestasi AI SBOM ke kuesioner pengadaan.