image

EU verplicht minimaal vijf jaar beveiligingsupdates voor producten

vrijdag 1 december 2023, 17:23 door Redactie, 19 reacties

De EU-lidstaten en het Europees Parlement hebben een voorlopig politiek akkoord bereikt over de Cyber Resilience Act (CRA), waardoor fabrikanten hun producten minimaal vijf jaar lang van beveiligingsupdates moeten voorzien. Daarnaast moeten digitale producten – zowel software, hardware als componenten – naar verwachting vanaf 2027 voldoen aan uitgebreide eisen en standaarden op het gebied van cyberveiligheid. Apparaten die als 'cyberonveilig' worden bestempeld mogen dan niet meer op de Europese markt worden aangeboden.

De CRA is een wettelijke uitbreiding op een eerder besluit om al per 2025 cybersecurityeisen te stellen aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen via de Radio Equipment Directive (RED). De CRA is straks breder dan de RED en geldt niet alleen voor draadloos verbonden apparaten, maar voor alle hard- en software. De veiligheidseisen gaan bijvoorbeeld over het automatisch installeren van beveiligingsupdates, het versleuteld opslaan van gebruikersgegevens en gebruikers de optie bieden om data permanent te verwijderen.

Minimaal vijf jaar updates

Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar. De minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden.

Verder moeten fabrikanten incidenten en actief misbruikte kwetsbaarheden binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid. Voor ontwikkelaars en aanbieders van niet-commercieel aangeboden opensourcesoftware geldt dat zij niet aan de eisen voor fabrikanten hoeven te voldoen.

Met de inwerkingtredingstermijn van drie jaar is volgens het ministerie van Economische Zaken voldoende tijd geboden voor de implementatie en het opstellen van technische normen waarin de cybersecurityeisen aan fabrikanten worden uitgewerkt. Er komen bovendien voorzieningen om micro- en kleine fabrikanten te ondersteunen bij de implementatie van de eisen. Het voorlopige EU-akkoord moet hierna nog voor instemming worden voorgelegd aan de EU-lidstaten en het Europees Parlement.

Reacties (19)
01-12-2023, 17:30 door pojjo73
Quote:
Verder moeten fabrikanten incidenten en actief misbruikte kwetsbaarheden binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid.

Dat lijkt me een hele uitdaging. Tevens zal dit uiteraard allemaal betaald worden door uiteindelijk de consument.
01-12-2023, 17:47 door Briolet - Bijgewerkt: 01-12-2023, 17:49
De minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden.

Ik hoop dat dit in de wet preciezer omschreven wordt. Want ik vraag me nu af:

1) Gaat die 5 jaar in bij aankoop of vanaf het moment dat de fabriekant het laatste exemplaar verkocht heeft. Ik kan me b.v. voorstellen dat een product nog 2 jaar in de winkel ligt voordat het verkocht wordt, zodat de fabrikant nog 7 jaar na beëindiging van de fabrikage van een product hier nog ondersteuning voor moet geven.

2) Wat is 'het verwachte gebruik'? Ik weet van mijzelf dat ik apparaten lang blijf gebruiken. MIjn samsung galaxy S6 is b.v. 8 jaar oud en doet het nog prima. Mijn laptop is van 2011. Het probleem om zo'n smartphone weg te doen zijn de missende beveiligings updates. Maar als die verplicht worden, neemt ook de verwachte gebruiksperiode toe. (wordt een kip-ei probleem)
01-12-2023, 17:52 door Anoniem
Door pojjo73: Quote:
Verder moeten fabrikanten incidenten en actief misbruikte kwetsbaarheden binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid.

Dat lijkt me een hele uitdaging. Tevens zal dit uiteraard allemaal betaald worden door uiteindelijk de consument.

Je wilt toch veilig zijn, of niet soms?
01-12-2023, 23:27 door Hyper
Vijf jaar nadat de consument het product nieuw heeft aangeschaft of vijf jaar nadat de fabrikant het product voor het eerst op de markt gebracht heeft?
02-12-2023, 10:17 door Anoniem
Door Hyper: Vijf jaar nadat de consument het product nieuw heeft aangeschaft of vijf jaar nadat de fabrikant het product voor het eerst op de markt gebracht heeft?
En daarna dan? Zonnepanelen gaan wel 25 jaar mee. Maar na 5 jaar zo lek als een mandje?
02-12-2023, 12:00 door MathFox
Door Hyper: Vijf jaar nadat de consument het product nieuw heeft aangeschaft of vijf jaar nadat de fabrikant het product voor het eerst op de markt gebracht heeft?
In de verordening staat:
Wanneer fabrikanten een product met digitale elementen in de handel brengen en
gedurende de verwachte levensduur van het product of gedurende een periode van
vijf jaar vanaf het in de handel brengen van het product, indien dit korter is, zorgen
zij ervoor dat de kwetsbaarheden van dat product doeltreffend en in
overeenstemming met de essentiële eisen van afdeling 2 van bijlage I worden
aangepakt.
Wat ik belangrijker vind is dat fabrikanten voor het op de markt brengen van producten verplicht zijn om de veiligheid van hun producten aan te tonen. Dat zou de grootste troep van de markt moeten houden.
02-12-2023, 21:16 door MathFox
Door Anoniem: En daarna dan? Zonnepanelen gaan wel 25 jaar mee. Maar na 5 jaar zo lek als een mandje?
Als zonnepanelen lek raken komt er water in. En de combinatie water en elektriciteit is gevaarlijk.
Maar in de huidige generatie panelen zit geen elektronica die gehackt kan worden. De omvormer mogelijk wel.
03-12-2023, 07:53 door Anoniem
Ik vind het verhaal behoorlijk vaag tot nu toe.

Een voorbeeld: een topmodel smartphone van Samsung wordt 5 jaar ondersteund. Maar dat geldt vanaf het introductiejaar dat de phone is uitgegeven. Als je de smartphone een jaar later na de introductie koopt, dan krijg je dus niet vijf, maar 4 jaar updates. Koop je nog later, dan word je phone echt niet 5 jaar ondersteund zoals de wetgever wil.

Dus mijn vraag is hoe deze maatregel moet worden geïnterpreteerd? Is het vijf naar na aankoop of vijf jaar na introductie van het product. Dat is een hemelsbreed verschil!
03-12-2023, 10:35 door Anoniem
Positief nieuws, maar wat betekent "Het voorlopige EU-akkoord moet hierna nog voor instemming worden voorgelegd aan de EU-lidstaten en het Europees Parlement."? En wanneer gaat het dan in Nederland in?

Ik kwam deze link tegen: https://commission.europa.eu/law/law-making-process/adopting-eu-law_nl maar met slechts 1 kop koffie op kom ik er niet echt uit.
03-12-2023, 10:58 door Anoniem
5 jaar is erg weinig voor sommige producten

beter dan niets, maar ik kan genoeg producten bedenken die wel 10+ jaar mee gaan (althans bij mij)

gaat er ook een toetsing of klachten punt komen voor als bedrijven dan alleen die minimum aanhouden?
03-12-2023, 12:17 door Anoniem
Door MathFox:
Wat ik belangrijker vind is dat fabrikanten voor het op de markt brengen van producten verplicht zijn om de veiligheid van hun producten aan te tonen. Dat zou de grootste troep van de markt moeten houden.
Sterker nog, dat houdt ALLE producten van de markt. Dus dat gaat heel goed werken denk je dan.
We werkelijkheid is natuurlijk dat we wel producten willen, en dat de meesten ook functionele producten willen.
Als zonnepanelen lek raken komt er water in. En de combinatie water en elektriciteit is gevaarlijk.
Maar in de huidige generatie panelen zit geen elektronica die gehackt kan worden. De omvormer mogelijk wel.
Verzin je dat hier nou ter plekke of heb je kennis van die materie?
03-12-2023, 23:48 door Briolet - Bijgewerkt: 03-12-2023, 23:51
Door MathFox:
Door Anoniem: En daarna dan? Zonnepanelen gaan wel 25 jaar mee. Maar na 5 jaar zo lek als een mandje?
Als zonnepanelen lek raken komt er water in. En de combinatie water en elektriciteit is gevaarlijk.
Maar in de huidige generatie panelen zit geen elektronica die gehackt kan worden. De omvormer mogelijk wel.

Die panelen zijn er wel. Er zijn panelen die individueel aangestuurd kunnen worden. Dit is vooral zinvol als er gedurende dag een schaduw over een deel van de panelen valt.

Maar de wet voorzien een langere tijd dan 5 jaar als de te verwachten levensduur langer is. Als dat 25 jaar is, dan wordt dat 25 jaar. Maar de levensduur zal nog veel langer zijn. De fabrikant gaat uit van een rendementsafname van 1% per jaar. Als ze dan na 50 jaar nog maar 50% rendement opleveren, is dan de levensduur voorbij? Beter 50% opbrengst dan helemaal geen. (Mijn panelen zijn inmiddels 13 jaar oud en vertonen nog geen verminderde opbrengst, dus die 1% per jaar is pessimistisch geschat)
04-12-2023, 07:31 door Anoniem
Door Anoniem: 5 jaar is erg weinig voor sommige producten

beter dan niets, maar ik kan genoeg producten bedenken die wel 10+ jaar mee gaan (althans bij mij)

gaat er ook een toetsing of klachten punt komen voor als bedrijven dan alleen die minimum aanhouden?

Die toetsing vindt dan toch plaats door de consument die het product niet koopt?
04-12-2023, 08:50 door Anoniem
Door Anoniem: Ik vind het verhaal behoorlijk vaag tot nu toe.

Een voorbeeld: een topmodel smartphone van Samsung wordt 5 jaar ondersteund. Maar dat geldt vanaf het introductiejaar dat de phone is uitgegeven. Als je de smartphone een jaar later na de introductie koopt, dan krijg je dus niet vijf, maar 4 jaar updates. Koop je nog later, dan word je phone echt niet 5 jaar ondersteund zoals de wetgever wil.

Dus mijn vraag is hoe deze maatregel moet worden geïnterpreteerd? Is het vijf naar na aankoop of vijf jaar na introductie van het product. Dat is een hemelsbreed verschil!

Aangezien het gaat om ondersteuning voor de verwachte levensduur dan zal dit na aankoop zijn lijkt me.
04-12-2023, 09:05 door Anoniem
Door MathFox: In de verordening staat:
Wanneer fabrikanten een product met digitale elementen in de handel brengen en
gedurende de verwachte levensduur van het product of gedurende een periode van
vijf jaar vanaf het in de handel brengen van het product, indien dit korter is, zorgen
zij ervoor dat de kwetsbaarheden van dat product doeltreffend en in
overeenstemming met de essentiële eisen van afdeling 2 van bijlage I worden
aangepakt.
Hm, "indien dit korter is". Lees ik het nou helemaal verkeerd of staat daar niet minimaal vijf jaar maar maximaal vijf jaar? En "vanaf het in de handel brengen" is vanaf het moment dat het voor het eerst te koop is, het gaat niet over zoveel jaar na de aankoop. Zoals ik deze tekst lees denk ik dat er staat dat als je 4 jaar en 11 maanden na het in de handel brengen van een product er een koopt het wat deze wet betreft mogelijk is dat de ondersteuning na een maand afgelopen kan zijn.
04-12-2023, 10:52 door Anoniem
Door Anoniem:
Door Hyper: Vijf jaar nadat de consument het product nieuw heeft aangeschaft of vijf jaar nadat de fabrikant het product voor het eerst op de markt gebracht heeft?
En daarna dan? Zonnepanelen gaan wel 25 jaar me\Ze. Maar na 5 jaar zo lek als een mandje?

Zonnepanelen/omvormers hebben dus een langere te verwachten gebruiksduur dan 5 jaar. EN dan zullen beveiligingsupdates dus ook gewoon voor die gebruiksduur verplicht zijn.
04-12-2023, 10:55 door Anoniem
Door pojjo73: Quote:
Verder moeten fabrikanten incidenten en actief misbruikte kwetsbaarheden binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid.

Dat lijkt me een hele uitdaging. Tevens zal dit uiteraard allemaal betaald worden door uiteindelijk de consument.

Als dat de prijs is die betaald moet worden voor veilige producten, dan is dat maar zo.

Ergo: Als de prijzen voor consumenten uiteindelijk daadwerkelijk omhoog zouden gaan omdat fabrikanten zich beter in moeten spannen voro het verspreiden van beveiligingsupdates, dan zijn we in het verleden kennelijk daadwerkelijk belazerd met onveilige producten.

In het uiterste geval moeten fabrikanten van bv. smartphones dan maar stoppen met elk jaar 2x een hele lineup vervangen en dat bv. nog maar 1x in de 2 jaar doen. So be it. Of gewoon hun processen verbeteren (en bv. zoals Samsung geen belachelijke verbouwing van de gebruiksschil meer doen bij Android)
04-12-2023, 10:59 door Anoniem
Nu nog producten van de markt halen als blijkt dat patchen niet helpt en het dus continue kritiek lek is zoals een bekend OS.
04-12-2023, 14:19 door Briolet - Bijgewerkt: 04-12-2023, 14:28
Door Anoniem: … En "vanaf het in de handel brengen" is vanaf het moment dat het voor het eerst te koop is, het gaat niet over zoveel jaar na de aankoop. Zoals ik deze tekst lees denk ik dat er staat dat als je 4 jaar en 11 maanden na het in de handel brengen van een product er een koopt het wat deze wet betreft mogelijk is dat de ondersteuning na een maand afgelopen kan zijn.

Bij het 'in de handel brengen' van een product ga jij er klakkeloos van uit dat hier de introductie van een model betreft. Maar mij lijkt het logischer dat het om een individueel product gaat. Als jij een bepaald iPhone model koopt dat 3 jaar na zijn introductie geproduceerd is, dan wordt die iPhone pas dan in de handel gebracht.

Als er 5 jaar ondersteuning moet zijn, dan is dat dus niet 5 jaar na de introductie van een model, maar 5 jaar jaar na het uitfaseren van zo'n model.

Lees het akkoord er maar op na:

Ondersteuningstermijn voor gehele levensduur producten
Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar.
Die 5 jaar heeft betrekking op de periode na aanschaf. Dat lees ik dan zo dat zelfs als een product al een jaar in de winkel ligt er nog 5 jaar updates beschikbaar moeten komen. Zo niet heeft de verkoper een probleem. Gevolg zal zijn dat een verkoper nog minder op voorraad zal houden en liever iets gaan bestellen bij de fabriek als hij al een koper heeft.

NB. Het gaat hier om consumentenrecht en dat wordt bij onduidelijkheden doorgaans altijd in het voordeel van de consument uitgelegd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.