Een lezer vroeg me:
Bij het bestellen van een aantal switches van een grote leverancier kwam ik er achter dat de security updates alleen beschikbaar zijn als ik ook een jaarlijks supportcontract afsluit. Mogen fabrikanten nog wel geld vragen voor security updates? In de Cyber Resilience Act wordt het aanbieden van security updates voor de expected lifetime van het product toch verplicht gesteld?De Cyber Resilience Act (Verordening 2024/2847) kent inderdaad een zorgplicht tot het leveren van security updates. Dit staat in Bijlage I deel II:
Fabrikanten van producten met digitale elementen moeten: … in verband met de risico’s die verbonden zijn aan producten met digitale elementen, kwetsbaarheden onverwijld aanpakken en verhelpen, onder meer door beveiligingsupdates te verstrekken; indien technisch haalbaar moeten nieuwe beveiligingsupdates afzonderlijk van de functionaliteitsupdates worden verstrekt;Daaronder (punt 8) wordt vermeldt dat die updates kosteloos moeten worden verspreid, vergezeld van adviezen. Deze plicht geldt gedurende de hele levensduur, en uitgegeven updates moeten tot tien jaar daarna beschikbaar blijven (artikel 13.9). Het maakt hierbij ook niet uit of de klant een consument of een ondernemer is.
Detail: de CRA treedt pas in 2027 in werking voor apparaten die vanaf dan op de markt komen. Bovendien moet het gaan om verkoop in de EU, dus wie bij een Amerikaanse of Aziatische groothandel bestelt, loopt het risico buiten de bescherming van de CRA te vallen.
Voor updates anders dan security-updates mag men nog wel een vergoeding vragen, net zoals voor ondersteuning die verder gaat dan “adviezen met relevante informatie voor gebruikers, onder meer over eventueel te nemen maatregelen.”
Arnoud