Fabrikanten en leveranciers moeten bepaalde producten, zoals drones, bedrijfsapplicaties en industriële besturingssystemen, langer dan vijf jaar van beveiligingsupdates voorzien, zo vindt Nederland. Dat heeft hiervoor samen met Denemarken en Duitsland aanbevelingen naar de Europese Commissie gestuurd.

De Europese Commissie presenteerde afgelopen september de Cyber Resilience Act (CRA). Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates voor een periode van vijf jaar. De CRA moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software.

Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren.

Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen.

Volgens Nederland lijkt de voorgestelde maximale ondersteuningstermijn van vijf jaar te kort om betekenisvol te zijn in bijvoorbeeld het veilig blijven laten draaien van digitale industriële sturingssystemen, drones en bedrijfsapplicaties. Nederland heeft hiervoor nu samen met Denemarken en Duitsland aanbevelingen naar de Europese Commissie gestuurd.

Deze week kwamen Europese ministers bij elkaar om onder andere over de CRA te spreken. Zo blijkt dat Software-as-a-Service (SaaS) in een nieuwe versie van het wetsvoorstel is uitgesloten, zo meldt Euractiv.