Een lezer vroeg me:
Bij het bestellen van een aantal switches van een grote leverancier kwam ik er achter dat de security updates alleen beschikbaar zijn als ik ook een jaarlijks supportcontract afsluit. Mogen fabrikanten nog wel geld vragen voor security updates? In de Cyber Resilience Act wordt het aanbieden van security updates voor de expected lifetime van het product toch verplicht gesteld?De Cyber Resilience Act (Verordening 2024/2847) kent inderdaad een zorgplicht tot het leveren van security updates. Dit staat in Bijlage I deel II:
Fabrikanten van producten met digitale elementen moeten: … in verband met de risico’s die verbonden zijn aan producten met digitale elementen, kwetsbaarheden onverwijld aanpakken en verhelpen, onder meer door beveiligingsupdates te verstrekken; indien technisch haalbaar moeten nieuwe beveiligingsupdates afzonderlijk van de functionaliteitsupdates worden verstrekt;Daaronder (punt 8) wordt vermeldt dat die updates kosteloos moeten worden verspreid, vergezeld van adviezen. Deze plicht geldt gedurende de hele levensduur, en uitgegeven updates moeten tot tien jaar daarna beschikbaar blijven (artikel 13.9). Het maakt hierbij ook niet uit of de klant een consument of een ondernemer is.
Detail: de CRA treedt pas in 2027 in werking voor apparaten die vanaf dan op de markt komen. Bovendien moet het gaan om verkoop in de EU, dus wie bij een Amerikaanse of Aziatische groothandel bestelt, loopt het risico buiten de bescherming van de CRA te vallen.
Voor updates anders dan security-updates mag men nog wel een vergoeding vragen, net zoals voor ondersteuning die verder gaat dan “adviezen met relevante informatie voor gebruikers, onder meer over eventueel te nemen maatregelen.”
Arnoud
Als econoom zit ik hier dubbel in. Enerzijds is het vanuit IT-security en het gebrek aan aandacht hiervoor van fabrikanten de afgelopen decennia totaal logisch dat dit gereguleerd wordt. Verwachte levensduur moet gelijk zijn aan verwachte veilige levensduur. Wel volgen daar meteen allerlei lastige vragen uit. We kopen niet bij fabrikanten, wat is de verwachte levensduur, etc. Maar dat is de beantwoording van goede vragen en dus goede stap, mits fabrikanten zich niet terugtrekken van de Europese markt.
Alleen… marktwerking en prijsvorming werken net wat anders. Mijn eigen spinsel is dat je eigenlijk wil dat de vorm van prijzen aansluit bij de vorm van kosten. Eenmalige levering past bij eenmalige prijs (commodities). Als van een fabrikanten een voortdurende kosten kasstroom wordt verwacht (onderhoud, IT-security), dan is idealiter het prijsmodel daar ook op aangehaakt. Als je service verwacht, dan moet je voor service betalen. Zo hou je de ‘kasstromen’ tussen koper en verkoper ‘in evenwicht’.
Garantie is traditioneel gewoon een afslag voor extra vervanging in de toekomst. Dat is simpel, te boekhouden en te realiseren. Als garantie inhoudt dat je alle toekomstige gebeurtenissen op een vlak (in dit geval IT-risico) moet oplossen, dan moet je daar bij ‘one shot pricing’ vooraf rekening mee houden. Maar ook met alle risico’s die daar bijhoren voor de aanbieder. Je krijgt in het beste geval een hogere prijs vooraf, waarna de fabrikant netjes een potje vormt om daar alle toekomstige service uit te betalen. Maar wie gaat dat doen? Hoe kom je als klant erachter welke aanbieder het echt serieus neemt en wie voor de vorm wat updates eruit poept. Een servicecontract is dan helder: fee for service, wanprestatie, etc.
Deze wet neemt m.i. een groot risico door te veronderstellen dat het prijsvormingsmechanisme voldoende flexibel is om hier een voor de consument batig nieuw evenwicht in de markt te bereiken.
Ik verwacht dat sommige bedrijven failliet zullen gaan aan rechtszaken en boetes vanwege “onvoldoende beveiligingsupdates.” Dat betekent wel dat er over een tiental jaar minder troep (elektronisch afval) op de markt gebracht wordt omdat de overblijvende leveranciers wel een besef van beveiliging en kwaliteit hebben. (Misschien omdat dat besef onderdeel geworden is van de ingenieurscultuur.) Dit is mij wel een stukje economisch Darwinisme waard.
Eens dat kwaliteit (initieel) geld kost, maar veiligheid en langere levensduur leveren op den duur ook het een en ander op. Ook aan milieuwinst.
De autobranche kent al jaren het fenomeen “terugroepactie” en blijkt prima in staat om de kosten hiervan in zijn verkoopprijs te verwerken.
Ik hap graag Peter 😉
De markt voor auto onderhoud is er één met allerlei kenmerkende elementen, waarbij ik niet alle elementen snel kan plotten op de markt voor consumenten-electronica van de toekomst:
Mijn belangrijkste punt is dat een auto eigenlijk een servicecomponent kent met aparte geldstroom: het dealer-onderhoud. Dat maakt het “achter de voordeur” regelen van terugroepacties veel makkelijker. Geen goed voorbeeld van “one shot pricing” m.i.
Het tegendeel is ook realiteit. – Dealers die geen garantie verlenen omdat ze het niet vergoed krijgen van de fabrikant of importeur. Iets dat je in vele andere branches helaas ook terugziet. Het risico wordt zo bij de consument gelegd, terwijl de wetgever het juist niet zo beoogd heeft.
Het idee van fee for service is in mijn optiek het verder uitmelken van de gebruikers.
Ik begrijp je zorg, maar hier moet toch een groter maatschappelijk belang hoger gesteld worden door de wetgever. Want let op: deze verplichting voor security updates is er niet alleen gekomen om de consument die het apparaat koopt te beschermen. Er wordt dagelijks veel schade veroorzaakt door ongepatchte kwetsbare apparaten die aanvallen uitvoeren op anderen dan de eigenaar ervan.
Vandaar dat het in ons aller, maatschappelijk belang is dat updates laagdrempelig beschikbaar zijn en blijven voor zoveel mogelijk apparaten. En is dat geen keus die bij een individuele aanschaffer neergelegd kan worden, omdat die met zijn apparaat een gevaar kan vormen door anderen.
We hoeven toch niet afhankelijk te zijn van de goede wil en de rekenkunde van de aanbieder? Dit is een wettelijke plicht, markttoezichthouders kunnen inzage in de betreffende bedrijfsprocessen vorderen. Daar hoeft niet eens een aanleiding voor te zijn.
Zelf werk ik echt in een stevig gereguleerd stukje van de markt. Zelf mijn carriere begonnen bij een drieletterige toezichthouder. Uiteindelijk helpt volgens mij toezicht, maar het gedrag van marktpartijen is bepalend. Prof. dr. van Roermund (Tilburg): “Recht is pas recht als het gesteld en gehandhaafd recht is.” Bestuursrechtelijke handhaving is niet zo heel hard.
(Ik ga hier trouwens mijn kennis ver te buiten. Gaat handhaving hier bestuursrechtelijk worden via bijv. de ACM, of wordt dit civiel in de zin dat je individuele verkopers of fabrikanten kunt aanspreken? Koop ontbinden na een aantal jaar is mooi en aardig bij Coolblue of MediaMarkt, maar we verwachten hier actie van fabrikanten.)
Dus eigenlijk is mijn antwoord: Ja, je bent best wel afhankelijk van de goede wil en rekenkunde van de aanbieder.
Als de verwachtingen van de wetgever niet stroken met wat haalbaar is qua “markt” (breed begrip), dan verliest vooral de consument. Voor de zekerheid: ik juich deze wetgeving toe!
Bedrijven stoppen alles vol met software om het eigendomsrecht te ondermijnen.
En nu zijn er dus gevolgen voor de bedrijven dat ze dan ook verplicht worden die software te onderhouden.
Ik vind het dan niet meer dan terecht dat ze dan opdraaien voor de kosten van hun eigen keuzes.
Een heleboel woorden om te zeggen dat je er geen zin in hebt, maar voor mij is dit gewoon het equivalent van garantie in de fysieke wereld, en dat werkt zo al jaren.
Wat mij betreft mogen er nog wel een paar regels bij komen, om eventuele ontsnappingsroutes te blokkeren: koppel de garantieverplichting aan de houder van het auteursrecht op de software, zodat ook na een faillissement van de oorspronkelijke leverancier er nog aan voldaan moet worden, en verplicht het in depot zetten van de broncode in de meest geschikte vorm voor verdere ontwikkeling, zodat bij niet nakoming van de verplichtingen onder deze regels deze broncode kan worden vrijgegeven als open source (en publiek domein), zodat derden dat kunnen doen.
Kort en bondig is niet mijn sterkste punt.
Het gaat mij niet om ‘geen zin’. Ik geloof dat consumenten méér moeten krijgen, qua IT-security (by default). Dus eigenlijk: zin in!
Maar… Gaat een regel werken zoals beoogd is bij het ontwerp, of levert het vooral rechtsonzekerheid op? Ik vrees dat laatste, met een verhaaltje gebaseerd op prijsvorming.
Garantie is echt eenvoudiger dan een open ended verplichting om in de toekomst software veilig te houden. Heb je je wel eens verdiept in de supply chain van producten met een digitale component?
Je Richard M. Stallman-achtige regels. Ik ben daar enthousiast over. Eigendom over wat je koopt. En dan komt de werkelijkheid langs.
De verplichting tot levering van beveiligingsupdates is beperkt tot de levensduur van het apparaat; het is dus geen oneindige verplichting. Ik verwacht dat de kosten van het leveren van de updates prima te begroten zijn voor de bedrijven die hun softwareprocessen op orde hebben.
Maar “Gaat die regel werken?” Kijkend in mijn glazen bol zie ik bedrijven voor wie het “business as usual” is, met misschien een paar parameters veranderd: meer updates te versturen en ze een jaartje of twee langer produceren. Ik zie ook bedrijven die serieus gaan worstelen met deze regels omdat ze zaken als versiebeheer en test protocollen niet op orde hebben. Voor die bedrijven wordt procesverbetering essentieel om te overleven.
En alle importeurs van goedkope Chinese troep zullen ook aan de voorwaarden moeten voldoen. Dit kan betekenen dat er minder troep op de markt komt. Kwaliteitsspul zal de maatregel glansrijk overleven.
Hoe kijk je dan tegen bijvoorbeeld printers aan? Daar heb je het verschijnsel dat de printer spotgoedkoop is en het grote geld verdiend wordt aan de inktverkoop. De geldstromen sluiten daar ook niet aan. De bedrijven gedragen zich gewoon niet volgens het gewenste economie-model maar proberen hun winsten te maximaliseren. Dat zou toch tot vragen over het model moeten leiden.
Uiteindelijk is de vraag: hoe voorkom je dat de securityupdates een verdienmodel worden?
Jammeer dat windows 10 er niet onder valt 😉