image

Is het koppelen van security updates aan een supportcontract in overeenstemming met de Cyber Resilience Act?

woensdag 21 mei 2025, 10:19 door Arnoud Engelfriet, 9 reacties
Laatst bijgewerkt: 21-05-2025, 11:53

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Bij het bestellen van een aantal switches van een grote leverancier kwam ik er achter dat de security updates alleen beschikbaar zijn als ik ook een jaarlijks supportcontract afsluit. Mogen fabrikanten nog wel geld vragen voor security updates? In de Cyber Resilience Act wordt het aanbieden van security updates voor de expected lifetime van het product toch verplicht gesteld?

Antwoord: De Cyber Resilience Act (Verordening 2024/2847) kent inderdaad een zorgplicht tot het leveren van security updates. Dit staat in Bijlage I deel II:
Fabrikanten van producten met digitale elementen moeten: ... in verband met de risico’s die verbonden zijn aan producten met digitale elementen, kwetsbaarheden onverwijld aanpakken en verhelpen, onder meer door beveiligingsupdates te verstrekken; indien technisch haalbaar moeten nieuwe beveiligingsupdates afzonderlijk van de functionaliteitsupdates worden verstrekt;

Daaronder (punt 8) wordt vermeldt dat die updates kosteloos moeten worden verspreid, vergezeld van adviezen. Deze plicht geldt gedurende de hele levensduur, en uitgegeven updates moeten tot tien jaar daarna beschikbaar blijven (artikel 13.9). Het maakt hierbij ook niet uit of de klant een consument of een ondernemer is.

Detail: de CRA treedt pas in 2027 in werking voor apparaten die vanaf dan op de markt komen. Bovendien moet het gaan om verkoop in de EU, dus wie bij een Amerikaanse of Aziatische groothandel bestelt, loopt het risico buiten de bescherming van de CRA te vallen.

Voor updates anders dan security-updates mag men nog wel een vergoeding vragen, net zoals voor ondersteuning die verder gaat dan "adviezen met relevante informatie voor gebruikers, onder meer over eventueel te nemen maatregelen."

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (9)
21-05-2025, 10:54 door Named
Opinie: Als security updates niet gratis (publiekelijk) beschikbaar zijn, dan kan je het product beter niet aanschaffen.
Sterker nog, het hele bedrijf kan je dan beter links laten liggen. Zo voorkom je narigheid in de toekomst.
21-05-2025, 11:27 door Anoniem
Voor mij voelt het alsof ik moet betalen voor een terugroepactie van mijn auto...
Het is de leverancier die een bagger product gemaakt heeft, hier NULL verantwoordelijkheid voor neemt (terwijl we gewoon ook productverantwoordelijkheid hebben naar niet-consumenten) en als je dan een product wilt hebben dat enigszins aan internet te hangen is moet je er nog extra voor betalen ook.
De omgekeerde wereld, maar normaal in kapitalisme-central...

Dat een fabrikant onder water een kleurtje veranderd heeft en dan zegt dat het een upgrade is en geen security fix is natuurlijk de boel besodemieteren.
22-05-2025, 04:04 door Anoniem
Het Linux marktaandeel is ongeveer VERDUBBELD sinds bekend is dat Redmond hun users enkel nog ziet als geld en data generatoren. Dat klinkt helaas beter dan dat het is (even een staaltje CBS kunsten presenteren) want Linux had krap 2% en nu dus krap 4%. Dat is veel te weinig om impact te maken bij M$. Dus nu lachen ze daar nog om.

Maar, dat zou zomaar nog een keer kunnen verdubbelen de komende maanden. En hoe meer mensen in Linux zitten, hoe meer coders zich ergeren aan de "het is nooit af" situatie in de Linux desktop environment. En dat zal de kwaliteit verbeteren van Linux wat op zich weer mensen laat overstappen. Een sneeuwbal effect. Met als ultimate natte droom dat M$ volledig verdwijnt van het toneel. Maar goed, die droom heb ik al sinds M$-DOS 4.01. Helaas is dat bedrijf sindsdien alleen maar groter en groter geworden.

Ik vind het geweldig waar M$ mee bezig is. Ze graven hun graf met een bulldozer. Want het gaat niet alleen om updates. Het gaat ook om CoPilot en Recall natuurlijk. Mensen zijn niet allemaal even achterlijk gelukkig. Gelukkig bestaan er ook nog steeds een paar mensen met respect voor zichzelf. Alles is dus nog niet helemaal verloren in operatingsystemland.

Had ik het er al over gehad dat je in Linux zelf bepaalt wanneer je update? Nee? Ook niet dat je zelf bepaalt WAT je update? Ook niet? Dat forced reboots of accounts NOOIT zelfs maar op zouden komen in de hoofden van Linux developers? Dan vast ook niet dat alles transparant is? Jaja! Je mag gewoon weten wat nieuw is in je updates. Dat je niet de volgende obscure keylogger moet uitschakelen na updates etc. Is het niet wonderbaarlijk? En allemaal opensource ook nog. En geen telemetrie? Ja echt! GEEN telemetrie. Ook niet een beetje. Tenzij je daar voor kiest. Opt in ja. Niet out. Zoals dat bij M$ gaat.

Het gaat de grootste tijd worden dat het monopoly van M$ gebroken gaat worden anders zie ik grote donkere wolken boven de mensheid hangen. Want ik heb al heel lang het idee dat ze daar denken dat ze onverwoestbaar zijn en alles kunnen maken zonder daar ook maar de geringste consequentie aan te verbinden. En helaas is dat geen idee maar zijn dat feiten.
22-05-2025, 08:33 door Anoniem
De CRA heeft ook iets te vertellen over importeurs: Die zijn verantwoordelijk voor de patches, en het gratis aspect daarvan.

Dus rechtstreeks bestellen buiten europa: dan is het je eigen verantwoordelijkheid, maar via een importeur: dan is die aan de beurt.

Lijkt me een taaie voor een dropshipper die Temu-artikelen met een digitaal component dozenschuift.

Daarnaast geld de CRA ook voor software, en code. Dus een opensource OSje en daar wat zelfgeschreven code bovenop op een chinees printplaatje en in een dooje met knopjes, en dat verkopen: dan is de verkoper verantwoordelijk.

staat allemaal hier uitgelegd, in een zeer leesbare en overzichtelijke folder:

https://www.digitaltrustcenter.nl/sites/default/files/2025-05/Gids_Cyber_Resilience_Act_april_2025.pdf
22-05-2025, 13:39 door Anoniem
Ik vind het zo bie zo al belachelijk dat je vaak een account moet hebben om updates te kunnen download (VMware, Citrix, Oracle).
Wat dat betreft doet Microsoft dit beter.
Daar kun je wel gewoon de updates downloaden zonder eerst te moeten inloggen.
22-05-2025, 13:53 door Anoniem
Door Anoniem: Het Linux marktaandeel is ongeveer VERDUBBELD sinds bekend is dat Redmond hun users enkel nog ziet als geld en data generatoren. Dat klinkt helaas beter dan dat het is (even een staaltje CBS kunsten presenteren) want Linux had krap 2% en nu dus krap 4%.

"Marktaandeel" en de genoemde percentages gaan waarschijnlijk over de categorie desktop computers.
Die categorie is irrelevant. IoT en mobile draait voor het overgrote deel op linux(kernel) en Linux is daarmee verreweg het grootste en meest succesvolle computing platform ooit.

Desktops: 1.3 miljard totaal
https://stats.areppim.com/stats/stats_pcxfcst.htm
IoT: 20 miljard totaal
https://www.statista.com/statistics/1183457/iot-connected-devices-worldwide/
Mobile: 18 miljard
https://www.statista.com/statistics/245501/multiple-mobile-device-ownership-worldwide/
22-05-2025, 16:21 door Anoniem
Voor mij voelt het alsof ik moet betalen voor een terugroepactie van mijn auto...

Denk je dat het gemiddelde bedrag dat ze kwijt zijn aan een auto bij recalls, niet wordt opgeteld bij het bedrag wat je betaalt. Uiteindelijk betalen we alles.
23-05-2025, 10:49 door Anoniem
Door Anoniem:
Door Anoniem: Het Linux marktaandeel is ongeveer VERDUBBELD sinds bekend is dat Redmond hun users enkel nog ziet als geld en data generatoren. Dat klinkt helaas beter dan dat het is (even een staaltje CBS kunsten presenteren) want Linux had krap 2% en nu dus krap 4%.

"Marktaandeel" en de genoemde percentages gaan waarschijnlijk over de categorie desktop computers.
En verder is marktaandeel een rare term omdat het economische begrip "markt" over handel en prijsvorming gaat, en het gaat hier over software die je gratis krijgt en waar ook aan de achterkant geen advertentiemarkt aanwezig is om het te bekostigen. Debian en Mint bijvoorbeeld worden zelfs niet, zoals Ubuntu, door een commercieel bedrijf samengesteld maar door organisaties van vrijwilligers. Als ze niet deelnemen aan een markt hebben ze daar ook geen aandeel in. Ik zou liever van gebruiksaandeel spreken daarom.
23-05-2025, 15:16 door Anoniem
Door Named: Opinie: Als security updates niet gratis (publiekelijk) beschikbaar zijn, dan kan je het product beter niet aanschaffen.
Sterker nog, het hele bedrijf kan je dan beter links laten liggen. Zo voorkom je narigheid in de toekomst.
Dat is bijna de gehele enterprise kant die je dan links laat liggen. Want zowat elke Enterprise leverancier heeft zijn dedicated security patching team specifiek voor hun OS, software. En dit zagen ze al mijlen ver aankomen dus wat doet men ze maken service packs, addon software abonnementen en daar krijg je dan gratis de security patching bij. Maar je betaalt er eigenlijk wel voor omdat je een abbonement hebt op de software.

En omdat het abonnement diensten zijn heb je recht op de onderliggende software tot je abbonement verloopt en ook dus de security updates tot je niet meer betaalt en dan valt het niet onder CRA. Dus je kan het wel leuk links laten liggen maar je concurenten doen dat niet.

Daarnaast hoe vaak worden projecten die succesvol zijn als gratis opensource niet opgekocht om als product later te verkopen met nieuwe versies waar dan geen opensource verplichting meer aan zit of inperking van opties.

Opinie is prima maar businesswise houdt echt het niet lang stand.
Sterker nog meeste bedrijfs management overtuig je tegenwoordig juist door dat er een betaald pakket achterhangt omdat het de indruk wekt dat het product serieus doorontwikkelt en beschermd wordt. Je gaat heel lastig krijgen om mensen te overtuigen van een gratis product in bedrijven. Waar je mensen wel overtuigt met een betaald product waar je een korting hebt op afgedongen. We zijn abonnement verslaafd geworden en dat is een realiteit die we zelf hebben gemaakt. En ze hebben groot gelijk met die kijk erop.

Ik deel die mening ik heb tig projecten gezien die zogenaamd het gratis alternatief moesten worden van betaalde prodcuten en veel van die projecten stranden na paar jaar krijgen geen ontwikkel updates meer en zijn voor all intent and purpose non viable voor business. En als bedrijf moet jet 5 tot 10 jaar vooruit plannen dan ga je echt niet voor de new kid on the block tenzij je hele goede business inlichtingen hebt en een risico analyse hebt gedraaid met nog een plan B ernaast.

Zelfde reden waarom veel bedrijven niet om de paar jaar leverancier jumpen als er een nieuw hot product rond gaat ook al zijn er klachten of beperkingen met de huidige leverancier. Stabiliteit levert vaker meer kostenbesparing op dan het verlagen van de kosten door software en hardware veranderingen ongeacht of het nieuwe software pakket of hardware de efficiëntie verhoogt.

Een les waar je rookie ITers makkelijk in een bedrijf mee kan detecteren die laten hun passie en enthousiasme voor projecten gaan voor hun business sense. Die komen met allemaal optimalisatie oplossingen door software en hardware te vervangen of uit te breiden zodra er ergens een probleem in zit in plaats van de bestaande software workflows te verbeteren door beter inzicht in de bestaande gebruikte producten te verkrijgen.

Hoevaak men wel niet vergeet dat naast Google, zoekmachines gebruiken de snelste en beste optie is gewoon de leverancier direct te vragen naar een oplossing voor een probleem in een product. En snelste betekend niet de snelste oplossing aandragen het betekend het snelste veilig en stabiel geimplementeerd in een bedrijf. En daar betalen bedrijven graag voor.

Door Anoniem: Het Linux marktaandeel is ongeveer VERDUBBELD sinds bekend is dat Redmond hun users enkel nog ziet als geld en data generatoren. Dat klinkt helaas beter dan dat het is (even een staaltje CBS kunsten presenteren) want Linux had krap 2% en nu dus krap 4%. Dat is veel te weinig om impact te maken bij M$. Dus nu lachen ze daar nog om.

Maar, dat zou zomaar nog een keer kunnen verdubbelen de komende maanden. En hoe meer mensen in Linux zitten, hoe meer coders zich ergeren aan de "het is nooit af" situatie in de Linux desktop environment. En dat zal de kwaliteit verbeteren van Linux wat op zich weer mensen laat overstappen. Een sneeuwbal effect. Met als ultimate natte droom dat M$ volledig verdwijnt van het toneel. Maar goed, die droom heb ik al sinds M$-DOS 4.01. Helaas is dat bedrijf sindsdien alleen maar groter en groter geworden.

Ik vind het geweldig waar M$ mee bezig is. Ze graven hun graf met een bulldozer. Want het gaat niet alleen om updates. Het gaat ook om CoPilot en Recall natuurlijk. Mensen zijn niet allemaal even achterlijk gelukkig. Gelukkig bestaan er ook nog steeds een paar mensen met respect voor zichzelf. Alles is dus nog niet helemaal verloren in operatingsystemland.

Had ik het er al over gehad dat je in Linux zelf bepaalt wanneer je update? Nee? Ook niet dat je zelf bepaalt WAT je update? Ook niet? Dat forced reboots of accounts NOOIT zelfs maar op zouden komen in de hoofden van Linux developers? Dan vast ook niet dat alles transparant is? Jaja! Je mag gewoon weten wat nieuw is in je updates. Dat je niet de volgende obscure keylogger moet uitschakelen na updates etc. Is het niet wonderbaarlijk? En allemaal opensource ook nog. En geen telemetrie? Ja echt! GEEN telemetrie. Ook niet een beetje. Tenzij je daar voor kiest. Opt in ja. Niet out. Zoals dat bij M$ gaat.

Het gaat de grootste tijd worden dat het monopoly van M$ gebroken gaat worden anders zie ik grote donkere wolken boven de mensheid hangen. Want ik heb al heel lang het idee dat ze daar denken dat ze onverwoestbaar zijn en alles kunnen maken zonder daar ook maar de geringste consequentie aan te verbinden. En helaas is dat geen idee maar zijn dat feiten.
Niemand in een hogere positie binnen een bedrijf dat Linux gebaseerde software gebruikt denkt dat Linux een concurent is van Microsoft. Nog andersom. Niemand neemt je serieus als dat je opvatting is. Bedrijven geven weinig om marktaandeel verandering van leveranciers enkel hun eigen en branche concurenten. Marktaandeel buiten je eigen branche is een marketing tool het zegt niks en het doet niks. Net als statistieken niks waard zijn zonder de bronnen erachter en dan nog steeds met een flinke korrel zout genomen moeten worden omdat de manier dat je berekend ook het narratief bepaalt en niet zozeer de data zelf. Ik kan met dezelfde databron meerdere uitkomsten creeeren en de perceptie ervan naar mensen met geen jota verstand van achterliggende cijfers.

Je hele tirade over Microsoft toont dat je emoties te veel je beslissingen laat leiden. Een goede ITer gaat niet wensen dat een bedrijf omvalt. Die denkt namelijk aan de gebruikers achter een product niet aan de leverancier.

Hoe leuk zou jij het vinden als van de een op andere dag bijvoorbeeld Canonical of een ander bedrijf achter een populaire Linux gebaseerd systeem dreigt om te vallen. Denk je dat je staat te juichen of in crisis mode staat om te zorgen dat de impact minimaal is en voor de boel uitvalt een alternatief hebt geimplementeerd? En je wenst dat anderen omdat je een leverancier niet persoonlijk mag of hun kijk op zaken doen niet aan staat?

Skip de drama niemand hier zit te wachten op een influx aan laten we zeggen software refugees van Microsoft naar Linux ieder is welkom maar niemand zit te wachten op een ramp om mensen over de sloot te krijgen. En als ik zeg iedereen is welkom dan betekend dat ook dat Microsoft welkom is. En oh dat zijn ze absoluut.

Want Microsoft heeft daarnaast en doet nog steeds grote bijdragen aan Linux ontwikkeling. Je weet vast ook niet dat Microsoft actief mee helpt aan de kernel ontwikkeling van Linux right? Dat ze in de top vijf zijn van kernel contribution bedrijven. Voornamelijk op de virtualisatie gericht.

Dat ze Linux integratie in Windows hebben zitten en zelfs nu opensourced hebben. Ook wel linux kernel in Microsoft hypervisor genoemd onder de afkorting WSL2.

Of dat ze actief bijdragen aan de veiligheid van Linux door vulnerability hunting?
We zijn door het oog van de naald in 2024 gegaan was het niet voor een Microsoft software engineer die een backdoor attempt had opgemerkt in prominente Linux code en dat was niet eens een gericht onderzoek naar een probleem. Het had een grotere ramp dan Mirai kunnen worden was het niet voor Andres Freund oplettendheid.
https://www.pcmag.com/news/software-engineer-stops-attempt-to-add-backdoor-to-linux-operating-systems

En dit is een van die gevallen er zijn genoeg waar de meeste gebruikers nooit iets van mee krijgen die stilletjes opgelost worden omdat ze te gevoelig liggen qua impact. Daar komen dan decenia later snippets van aan het ligt pas vaak. Net als dat we zelden krijgen te horen hoe we bijna aan een ramp zijn ontsnapt in de wereld buiten IT.

En hier is de kicker ik heb niks met Microsoft ik mag hun bedrijfsvoering ook niet maar ik respecteer ze voor de hussle ik respecteer ze voor wat ze bijdragen en ik zie hoe belangrijk dat is voor mijn gebruikers die ik moet ondersteunen. Ook al zien die gebruikers dat zelf niet. Ik hoef een bedrijf, product niet te mogen om er de waarde van in te zien.


Dus congrats als Microsoft om zou vallen schiet je ook rechtstreeks de Linux Foundation in de voet en daarmee voor ieder die er al mee werkt of wil gaan werken. Jou droom zou voor vele een nachtmerrie zijn maar gelukkig voor ons dromers maken niet de beslissingen in deze wereld.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.