Kabinet wil dat producten tijdens hele levenscyclus updates blijven ontvangen
Het kabinet wil dat producten met digitale elementen tijdens de hele levenscyclus beveiligingsupdates blijven ontvangen. Nederland zal zich tijdens de onderhandelingen over de Cyber Resilience Act (CRA) hier voor inspannen, zo stelt minister Adriaansens van Economische Zaken. De Europese Commissie presenteerde afgelopen september de CRA, die voor veiligere hardware en software moet zorgen.
Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates voor een periode van vijf jaar. De CRA moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software. Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien.
Volgens GroenLinks, de PvdA, de SP en de PvdD is dit een "ongelukkig gekozen" termijn, omdat dit mogelijk verspilling in de hand werkt. "Veel fysieke producten zijn immers afhankelijk van veilige software en moet langer dan vijf jaar mee kunnen gaan. Een langere termijn zou kunnen zorgen voor meer ambitie en zo resulteren in veiligere én duurzamere producten", zo stellen de partijen, die het kabinet vragen om de termijn waarin updates moeten worden verstrekt voor fysieke producten niet te begrenzen.
"Een argument voor het hanteren van een maximumtermijn kan zijn dat het voor producenten een lagere drempel geeft om nieuwe innovatieve producten op de markt te brengen omdat de hoeveelheid bijkomende verplichtingen dan voorspelbaar is en voor een beperkte duur is", reageert minister Adriaansens van Economische Zaken. Ze stelt dat het kabinet geen voorstander is van het maximeren van de ondersteuningstermijn.
Volgens de minister kan een maximale beschermingstermijn van vijf jaar namelijk een ongewenste prikkel geven voor producenten om hun producten niet langer mee te laten gaan dan deze vijf jaar. "Daarnaast is een termijn van vijf jaar onvoldoende om bescherming voor alle categorieën van digitale producten te waarborgen", aldus Adriaansens. Ze voegt toe dat er meerdere richtlijnen zijn die stellen dat updates geleverd moeten worden gedurende de periode die de consument redelijkerwijs kan verwachten, gezien de aard en het doel van het product.
Bij de onderhandelingen over het wetsvoorstel pleit Nederland voor een alternatief waarbij wordt aangesloten bij de verwachte productlevensduur, stelt Adriaansens. Daarbij wordt de periode waarin updateverplichtingen voor consumenten gelden ook meegenomen. "Het kabinet onderzoekt zoals gezegd mogelijkheden om tot een effectievere ondersteuningstermijn te komen zodat gedurende de hele levenscyclus van een product veiligheidsupdates beschikbaar worden gesteld. Dit zou in combinatie met de in het voorstel opgenomen bepalingen voor handhaving en sancties voldoende moeten zijn om digitale veiligheid van producten te garanderen", laat de minister verder weten.
Als de fabrikant de gebruiker in een gesloten wereldje wil vasthouden dan onderhoudt die dat wereldje ook maar zolang zo'n apparaat nog wordt gebruikt; als een fabrikant kiest om gebruikers dergelijke restricties niet op te leggen dan worden het ook voor de fabrikant zelf geen restricties.
Voor apparaten die helemaal geen netwerkverbindingen aangaan hoeft het allemaal niet te gelden. Pas als een fabrikant een apparaat "smart" maakt ontstaat de kwetsbaarheid voor beveiligingslekken en daarmee de verplichting daar updates voor uit te brengen.
Volgens mij is dit een prachtige gelegenheid om allerlei zaken die meer in het belang van de fabrikant dan van de klant gedaan worden om te buigen naar iets waarbij de fabrikant zelf nadelen ondervindt waar die hij nu bij de klant legt.
Zoals johanw al zegt: hardware krijgt nu een levensduur van 5 jaar. Punt. Hoezo een afvalhoop creëren?
Duidelijk is wel dat - zoals gebruikelijk - de overheid weer erg ver van de realiteit af staat.
ongetwijfeld boven water en dan komt niemand dat merk meer.
Zoals johanw al zegt: hardware krijgt nu een levensduur van 5 jaar. Punt. Hoezo een afvalhoop creëren?
Duidelijk is wel dat - zoals gebruikelijk - de overheid weer erg ver van de realiteit af staat.
er wat aan proberen te doen.
Anders krijg je nog dat consumenten maar een jaar support krijgen als deze al 4 jaar op de markt is.
Ja, de overheid heeft hiermee de killswitch gelegaliseerd...
De levensduur is immers vastgesteld op 5 jaar, dus product x komt 1 januari 2023 uit, op z'n laatst gaat 31 december 2028 het product uit.
Je kunt beter een verplichting opnemen dat na 5 jaar de bootloader eraf moet kunnen en alle software/licentie restricties verwijderd worden, immers het product is EOL, dus de fabrikant moet zijn omzet en IP hebben kunnen binnenharken...
Ik denk ook dat veel software naar de lease-structuur verhuist... Je koopt geen DOMDOM meer, maar een kastje die nog 5 jaar software krijgt a $$$ per maand... Nu is een DOMDOM een slecht voorbeeld omdat ze te traag waren voor gebruik toen ze nieuw waren, het geheugen al vol zal vanuit de fabriek, maar mijn Garmin van 20 jaar oud doet het nog steeds. Wel nieuwe tijd bestanden erop moeten zetten maar met de opensource kaarten werkt ie niet als een trein... mijn 10 jaar oude tomtom is niet meer mogelijk in gebruik... bij een afslag is het 'sla ... herberekenen... ga ... herberekenen... over 5 meter.. herberekenen'....
Precies maar laat ze dan ook meenemen dat ze de cloud diensten overeind houden anders kan men er nog steeds onderuit of een goed alternatief bieden naar locale opslag.
Dat is al het geval, alleen bij bananen of potten augurken heet zoiets een terugroepactie. Als er na levering een probleem wordt geconstateerd dan worden producten weer ingenomen, of bij producten zoals een auto worden ze gerepareerd.
Niemand zou het accepteren dat als bijvoorbeeld na drie of vier jaar blijkt dat de remmen of de wielophanging van een bepaald model auto ondeugelijk is door een ontwerpfout de fabrikant dan zegt "Koopt u maar een nieuwe". Nu is het wellicht onredelijk om van een telefoon te verwachten dat die net zo lang mee gaat als een auto, maar technisch gezien kunnen ze zeker langer mee dan hoe lang je nu updates krijgt.
hulde
Springplankje naar een hoge functie in het bedrijfsleven. Hebben die VVD'ers vaker last van zoals Cora van Nieuwenhuizen
Mijn wekkerradio doet het al jaren prima en ja er zijn vast wel dingen die beter kunnen maar de basis functies werken vanaf dag 1 tot dat in deze weg kan gooien omdat die (elektronisch) versleten is en dat voor de aanschaf prijs van 2 tientjes.
Als ik een ontwikkelaar moet betalen voor 5 jaar om dit model te blijven ondersteunen kost het zelfde ding straks 100 euro en gaat niets langer mee.
van een levendige community
en/of jou de broncode leveren zodat je zelf de updates kan leveren
Enne, is jouw wekkerradio dan aangesloten op internet?
Laat die wekkerradio maar 100 Euro gaan kosten. \Helemaal geen probleem. Er zullen vanzelf leveranciers komen die wél consument-vriendelijk zullen leveren. En ook nog eens voor een goede, net zo'n aantrekkelijke prijs als 2 tientjes.
Peter
De CRA moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software. Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien.
Best nog kans dat er nog wat power in de accu zit ;-)
Anders krijg je nog dat consumenten maar een jaar support krijgen als deze al 4 jaar op de markt is.
+1 !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.