EU verplicht minimaal vijf jaar beveiligingsupdates voor producten
De EU-lidstaten en het Europees Parlement hebben een voorlopig politiek akkoord bereikt over de Cyber Resilience Act (CRA), waardoor fabrikanten hun producten minimaal vijf jaar lang van beveiligingsupdates moeten voorzien. Daarnaast moeten digitale producten – zowel software, hardware als componenten – naar verwachting vanaf 2027 voldoen aan uitgebreide eisen en standaarden op het gebied van cyberveiligheid. Apparaten die als 'cyberonveilig' worden bestempeld mogen dan niet meer op de Europese markt worden aangeboden.
De CRA is een wettelijke uitbreiding op een eerder besluit om al per 2025 cybersecurityeisen te stellen aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen via de Radio Equipment Directive (RED). De CRA is straks breder dan de RED en geldt niet alleen voor draadloos verbonden apparaten, maar voor alle hard- en software. De veiligheidseisen gaan bijvoorbeeld over het automatisch installeren van beveiligingsupdates, het versleuteld opslaan van gebruikersgegevens en gebruikers de optie bieden om data permanent te verwijderen.
Minimaal vijf jaar updates
Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar. De minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden.Verder moeten fabrikanten incidenten en actief misbruikte kwetsbaarheden binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid. Voor ontwikkelaars en aanbieders van niet-commercieel aangeboden opensourcesoftware geldt dat zij niet aan de eisen voor fabrikanten hoeven te voldoen.
Met de inwerkingtredingstermijn van drie jaar is volgens het ministerie van Economische Zaken voldoende tijd geboden voor de implementatie en het opstellen van technische normen waarin de cybersecurityeisen aan fabrikanten worden uitgewerkt. Er komen bovendien voorzieningen om micro- en kleine fabrikanten te ondersteunen bij de implementatie van de eisen. Het voorlopige EU-akkoord moet hierna nog voor instemming worden voorgelegd aan de EU-lidstaten en het Europees Parlement.
Dat lijkt me een hele uitdaging. Tevens zal dit uiteraard allemaal betaald worden door uiteindelijk de consument.
Ik hoop dat dit in de wet preciezer omschreven wordt. Want ik vraag me nu af:
1) Gaat die 5 jaar in bij aankoop of vanaf het moment dat de fabriekant het laatste exemplaar verkocht heeft. Ik kan me b.v. voorstellen dat een product nog 2 jaar in de winkel ligt voordat het verkocht wordt, zodat de fabrikant nog 7 jaar na beëindiging van de fabrikage van een product hier nog ondersteuning voor moet geven.
2) Wat is 'het verwachte gebruik'? Ik weet van mijzelf dat ik apparaten lang blijf gebruiken. MIjn samsung galaxy S6 is b.v. 8 jaar oud en doet het nog prima. Mijn laptop is van 2011. Het probleem om zo'n smartphone weg te doen zijn de missende beveiligings updates. Maar als die verplicht worden, neemt ook de verwachte gebruiksperiode toe. (wordt een kip-ei probleem)
Dat lijkt me een hele uitdaging. Tevens zal dit uiteraard allemaal betaald worden door uiteindelijk de consument.
Je wilt toch veilig zijn, of niet soms?
gedurende de verwachte levensduur van het product of gedurende een periode van
vijf jaar vanaf het in de handel brengen van het product, indien dit korter is, zorgen
zij ervoor dat de kwetsbaarheden van dat product doeltreffend en in
overeenstemming met de essentiële eisen van afdeling 2 van bijlage I worden
aangepakt.
Maar in de huidige generatie panelen zit geen elektronica die gehackt kan worden. De omvormer mogelijk wel.
Een voorbeeld: een topmodel smartphone van Samsung wordt 5 jaar ondersteund. Maar dat geldt vanaf het introductiejaar dat de phone is uitgegeven. Als je de smartphone een jaar later na de introductie koopt, dan krijg je dus niet vijf, maar 4 jaar updates. Koop je nog later, dan word je phone echt niet 5 jaar ondersteund zoals de wetgever wil.
Dus mijn vraag is hoe deze maatregel moet worden geïnterpreteerd? Is het vijf naar na aankoop of vijf jaar na introductie van het product. Dat is een hemelsbreed verschil!
Ik kwam deze link tegen: https://commission.europa.eu/law/law-making-process/adopting-eu-law_nl maar met slechts 1 kop koffie op kom ik er niet echt uit.
beter dan niets, maar ik kan genoeg producten bedenken die wel 10+ jaar mee gaan (althans bij mij)
gaat er ook een toetsing of klachten punt komen voor als bedrijven dan alleen die minimum aanhouden?
Wat ik belangrijker vind is dat fabrikanten voor het op de markt brengen van producten verplicht zijn om de veiligheid van hun producten aan te tonen. Dat zou de grootste troep van de markt moeten houden.
We werkelijkheid is natuurlijk dat we wel producten willen, en dat de meesten ook functionele producten willen.
Maar in de huidige generatie panelen zit geen elektronica die gehackt kan worden. De omvormer mogelijk wel.
Maar in de huidige generatie panelen zit geen elektronica die gehackt kan worden. De omvormer mogelijk wel.
Die panelen zijn er wel. Er zijn panelen die individueel aangestuurd kunnen worden. Dit is vooral zinvol als er gedurende dag een schaduw over een deel van de panelen valt.
Maar de wet voorzien een langere tijd dan 5 jaar als de te verwachten levensduur langer is. Als dat 25 jaar is, dan wordt dat 25 jaar. Maar de levensduur zal nog veel langer zijn. De fabrikant gaat uit van een rendementsafname van 1% per jaar. Als ze dan na 50 jaar nog maar 50% rendement opleveren, is dan de levensduur voorbij? Beter 50% opbrengst dan helemaal geen. (Mijn panelen zijn inmiddels 13 jaar oud en vertonen nog geen verminderde opbrengst, dus die 1% per jaar is pessimistisch geschat)
beter dan niets, maar ik kan genoeg producten bedenken die wel 10+ jaar mee gaan (althans bij mij)
gaat er ook een toetsing of klachten punt komen voor als bedrijven dan alleen die minimum aanhouden?
Die toetsing vindt dan toch plaats door de consument die het product niet koopt?
Een voorbeeld: een topmodel smartphone van Samsung wordt 5 jaar ondersteund. Maar dat geldt vanaf het introductiejaar dat de phone is uitgegeven. Als je de smartphone een jaar later na de introductie koopt, dan krijg je dus niet vijf, maar 4 jaar updates. Koop je nog later, dan word je phone echt niet 5 jaar ondersteund zoals de wetgever wil.
Dus mijn vraag is hoe deze maatregel moet worden geïnterpreteerd? Is het vijf naar na aankoop of vijf jaar na introductie van het product. Dat is een hemelsbreed verschil!
Aangezien het gaat om ondersteuning voor de verwachte levensduur dan zal dit na aankoop zijn lijkt me.
gedurende de verwachte levensduur van het product of gedurende een periode van
vijf jaar vanaf het in de handel brengen van het product, indien dit korter is, zorgen
zij ervoor dat de kwetsbaarheden van dat product doeltreffend en in
overeenstemming met de essentiële eisen van afdeling 2 van bijlage I worden
aangepakt.
Zonnepanelen/omvormers hebben dus een langere te verwachten gebruiksduur dan 5 jaar. EN dan zullen beveiligingsupdates dus ook gewoon voor die gebruiksduur verplicht zijn.
Dat lijkt me een hele uitdaging. Tevens zal dit uiteraard allemaal betaald worden door uiteindelijk de consument.
Als dat de prijs is die betaald moet worden voor veilige producten, dan is dat maar zo.
Ergo: Als de prijzen voor consumenten uiteindelijk daadwerkelijk omhoog zouden gaan omdat fabrikanten zich beter in moeten spannen voro het verspreiden van beveiligingsupdates, dan zijn we in het verleden kennelijk daadwerkelijk belazerd met onveilige producten.
In het uiterste geval moeten fabrikanten van bv. smartphones dan maar stoppen met elk jaar 2x een hele lineup vervangen en dat bv. nog maar 1x in de 2 jaar doen. So be it. Of gewoon hun processen verbeteren (en bv. zoals Samsung geen belachelijke verbouwing van de gebruiksschil meer doen bij Android)
Bij het 'in de handel brengen' van een product ga jij er klakkeloos van uit dat hier de introductie van een model betreft. Maar mij lijkt het logischer dat het om een individueel product gaat. Als jij een bepaald iPhone model koopt dat 3 jaar na zijn introductie geproduceerd is, dan wordt die iPhone pas dan in de handel gebracht.
Als er 5 jaar ondersteuning moet zijn, dan is dat dus niet 5 jaar na de introductie van een model, maar 5 jaar jaar na het uitfaseren van zo'n model.
Lees het akkoord er maar op na:
Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar.
NB. Het gaat hier om consumentenrecht en dat wordt bij onduidelijkheden doorgaans altijd in het voordeel van de consument uitgelegd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.