Is het koppelen van security updates aan een supportcontract in overeenstemming met de Cyber Resilience Act?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Bij het bestellen van een aantal switches van een grote leverancier kwam ik er achter dat de security updates alleen beschikbaar zijn als ik ook een jaarlijks supportcontract afsluit. Mogen fabrikanten nog wel geld vragen voor security updates? In de Cyber Resilience Act wordt het aanbieden van security updates voor de expected lifetime van het product toch verplicht gesteld?
Antwoord: De Cyber Resilience Act (Verordening 2024/2847) kent inderdaad een zorgplicht tot het leveren van security updates. Dit staat in Bijlage I deel II:
Fabrikanten van producten met digitale elementen moeten: ... in verband met de risico’s die verbonden zijn aan producten met digitale elementen, kwetsbaarheden onverwijld aanpakken en verhelpen, onder meer door beveiligingsupdates te verstrekken; indien technisch haalbaar moeten nieuwe beveiligingsupdates afzonderlijk van de functionaliteitsupdates worden verstrekt;
Daaronder (punt 8) wordt vermeldt dat die updates kosteloos moeten worden verspreid, vergezeld van adviezen. Deze plicht geldt gedurende de hele levensduur, en uitgegeven updates moeten tot tien jaar daarna beschikbaar blijven (artikel 13.9). Het maakt hierbij ook niet uit of de klant een consument of een ondernemer is.
Detail: de CRA treedt pas in 2027 in werking voor apparaten die vanaf dan op de markt komen. Bovendien moet het gaan om verkoop in de EU, dus wie bij een Amerikaanse of Aziatische groothandel bestelt, loopt het risico buiten de bescherming van de CRA te vallen.
Voor updates anders dan security-updates mag men nog wel een vergoeding vragen, net zoals voor ondersteuning die verder gaat dan "adviezen met relevante informatie voor gebruikers, onder meer over eventueel te nemen maatregelen."
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Sterker nog, het hele bedrijf kan je dan beter links laten liggen. Zo voorkom je narigheid in de toekomst.
Het is de leverancier die een bagger product gemaakt heeft, hier NULL verantwoordelijkheid voor neemt (terwijl we gewoon ook productverantwoordelijkheid hebben naar niet-consumenten) en als je dan een product wilt hebben dat enigszins aan internet te hangen is moet je er nog extra voor betalen ook.
De omgekeerde wereld, maar normaal in kapitalisme-central...
Dat een fabrikant onder water een kleurtje veranderd heeft en dan zegt dat het een upgrade is en geen security fix is natuurlijk de boel besodemieteren.
Maar, dat zou zomaar nog een keer kunnen verdubbelen de komende maanden. En hoe meer mensen in Linux zitten, hoe meer coders zich ergeren aan de "het is nooit af" situatie in de Linux desktop environment. En dat zal de kwaliteit verbeteren van Linux wat op zich weer mensen laat overstappen. Een sneeuwbal effect. Met als ultimate natte droom dat M$ volledig verdwijnt van het toneel. Maar goed, die droom heb ik al sinds M$-DOS 4.01. Helaas is dat bedrijf sindsdien alleen maar groter en groter geworden.
Ik vind het geweldig waar M$ mee bezig is. Ze graven hun graf met een bulldozer. Want het gaat niet alleen om updates. Het gaat ook om CoPilot en Recall natuurlijk. Mensen zijn niet allemaal even achterlijk gelukkig. Gelukkig bestaan er ook nog steeds een paar mensen met respect voor zichzelf. Alles is dus nog niet helemaal verloren in operatingsystemland.
Had ik het er al over gehad dat je in Linux zelf bepaalt wanneer je update? Nee? Ook niet dat je zelf bepaalt WAT je update? Ook niet? Dat forced reboots of accounts NOOIT zelfs maar op zouden komen in de hoofden van Linux developers? Dan vast ook niet dat alles transparant is? Jaja! Je mag gewoon weten wat nieuw is in je updates. Dat je niet de volgende obscure keylogger moet uitschakelen na updates etc. Is het niet wonderbaarlijk? En allemaal opensource ook nog. En geen telemetrie? Ja echt! GEEN telemetrie. Ook niet een beetje. Tenzij je daar voor kiest. Opt in ja. Niet out. Zoals dat bij M$ gaat.
Het gaat de grootste tijd worden dat het monopoly van M$ gebroken gaat worden anders zie ik grote donkere wolken boven de mensheid hangen. Want ik heb al heel lang het idee dat ze daar denken dat ze onverwoestbaar zijn en alles kunnen maken zonder daar ook maar de geringste consequentie aan te verbinden. En helaas is dat geen idee maar zijn dat feiten.
Dus rechtstreeks bestellen buiten europa: dan is het je eigen verantwoordelijkheid, maar via een importeur: dan is die aan de beurt.
Lijkt me een taaie voor een dropshipper die Temu-artikelen met een digitaal component dozenschuift.
Daarnaast geld de CRA ook voor software, en code. Dus een opensource OSje en daar wat zelfgeschreven code bovenop op een chinees printplaatje en in een dooje met knopjes, en dat verkopen: dan is de verkoper verantwoordelijk.
staat allemaal hier uitgelegd, in een zeer leesbare en overzichtelijke folder:
https://www.digitaltrustcenter.nl/sites/default/files/2025-05/Gids_Cyber_Resilience_Act_april_2025.pdf
Wat dat betreft doet Microsoft dit beter.
Daar kun je wel gewoon de updates downloaden zonder eerst te moeten inloggen.
"Marktaandeel" en de genoemde percentages gaan waarschijnlijk over de categorie desktop computers.
Die categorie is irrelevant. IoT en mobile draait voor het overgrote deel op linux(kernel) en Linux is daarmee verreweg het grootste en meest succesvolle computing platform ooit.
Desktops: 1.3 miljard totaal
https://stats.areppim.com/stats/stats_pcxfcst.htm
IoT: 20 miljard totaal
https://www.statista.com/statistics/1183457/iot-connected-devices-worldwide/
Mobile: 18 miljard
https://www.statista.com/statistics/245501/multiple-mobile-device-ownership-worldwide/
Denk je dat het gemiddelde bedrag dat ze kwijt zijn aan een auto bij recalls, niet wordt opgeteld bij het bedrag wat je betaalt. Uiteindelijk betalen we alles.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Functionaris Gegevensbescherming
Sigra zoekt een Functionaris Gegevens-bescherming (28-36 uur) die privacytoezicht houdt, adviseert en bijdraagt aan regionale samenwerking in zorg en welzijn. Je werkt deels gedetacheerd, krijgt opleidings-mogelijkheden (o.a. CAICO), en maakt deel uit van een deskundig team. Sterke com-municatie, juridische kennis en ervaring in de zorg zijn essentieel. Interesse? Lees dan snel verder.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?