Het kabinet verwacht dat producten met digitale elementen straks langer van beveiligingsupdates worden voorzien dan nu het geval is, waarbij dit mogelijk voor de gehele levenscyclus van het product gaat gelden. De bepaling die fabrikanten hiertoe verplicht zal naar verwachting in de Europese Cyber Resilience Act (CRA) worden opgenomen, zo stelt minister Adriaansens van Economische Zaken.
De Europese Commissie presenteerde afgelopen september de CRA, die voor veiligere hardware en software moet zorgen. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates voor een periode van vijf jaar. De CRA moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software. Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien.
Nederland en verschillende andere landen vinden dat producten langer moeten worden ondersteund dan vijf jaar en kwamen met een "non-paper" hierover (pdf). Daarin staat dat het voorstel van de Europese Commissie voor een negatieve prikkel kan zorgen, waarbij producenten hun producten slechts vijf jaar van beveiligingsupdates voorzien. Veel gebruikers blijven digitale producten die niet meer worden ondersteund echter gebruiken, omdat ze niet weten dat er geen updates meer verschijnen of dat ze hun product niet kunnen vervangen.
Een coalitie van Nederland, Denemarken, België, Oostenrijk, Italië en Finland stellen dat producenten gedurende de gehele levenscyclus van het product ook met beveiligingsupdates moeten blijven komen. Het door Nederland gepubliceerde non-paper heeft tijdens de onderhandelingen over de CRA geleid tot "gewenste aanpassingen" in het wetsvoorstel en een meerderheid van de landen lijken die te ondersteunen, aldus minister Adriaansens.
"Ook heeft het non-paper de rapporteur van het Europees Parlement geïnspireerd om in het conceptrapport dezelfde aanpassingen van de ondersteuningstermijn voor te stellen. Ik vertrouw er daarmee op dat deze verplichte ondersteuningstermijn in de uiteindelijke wettekst terecht zal komen", merkt Adriaansens op.
De minister stelt dat een langere updateplicht voor hogere kosten voor fabrikanten zorgt, maar dat aan de andere kant er ook een kostenbesparing is aan de kant van eindgebruikers en bedrijven. De schade door het gebruik van producten die geen updates meer ontvangen of door het uitblijven van updates moeten worden vervangen zal namelijk afnemen. "Deze noodzaak producten eerder dan de werkelijke levensduur te moeten vervangen om op een goede cybersecurity te kunnen rekenen zou bovendien ongewenste gevolgen veroorzaken met het oog op duurzaamheid", voegt de minister toe.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.