Sicherheitsupdates über den gesamten Unterstützungszeitraum bereitstellen

Artikel 13(8) der Verordnung (EU) 2024/2847 schreibt vor, dass der Unterstützungszeitraum für Produkte mit digitalen Elementen ab dem Datum des Inverkehrbringens mindestens fünf Jahre betragen muss, sofern die erwartete Nutzungsdauer des Produkts nicht kürzer ist.

Artikel 13(9) verpflichtet Hersteller, während des Unterstützungszeitraums sicherzustellen, dass Schwachstellen effektiv behandelt werden, einschließlich der Bereitstellung von Sicherheitsupdates ohne Entgelt.

1. Mindest-Unterstützungszeitraum von 5 Jahren (oder erwartete Nutzungsdauer, falls kürzer – siehe Hinweis)
2. Kostenlose Sicherheitsupdates – keine kostenpflichtigen Update-Pläne für Sicherheitsbehebungen
3. Zeitnahe Bereitstellung – Updates proportional zu Schweregrad und Risiko
4. Separate Bereitstellung – Sicherheitsupdates müssen von Funktionsupdates unterscheidbar sein
5. Offenlegung des Unterstützungszeitraums – Enddatum muss in der Produktdokumentation und am Verkaufsort erscheinen

Die Entwurfsleitlinien der Kommission vom März 2026 (Abschnitt zum Unterstützungszeitraum) stellen klar, dass fünf Jahre eine Mindestanforderung und kein Standardwert sind. Bei Produkten mit einer über fünf Jahre hinausgehenden erwarteten Nutzungsdauer (z. B. industrielle Steuerungssysteme, intelligente Zähler) muss der Unterstützungszeitraum dieser längeren Nutzungsdauer entsprechen.

• Erklärter Unterstützungszeitraum (in Produktdokumentation und auf der Verkaufsseite)
• Aufzeichnungen zur Veröffentlichung von Sicherheitsupdates mit Zeitstempeln
• Dokumentation des Schwachstellenbehandlungsprozesses
• Nachweis, dass keine Sicherheitsupdates kostenpflichtig sind