OBL-ART13-09Binding
サポート期間全体にわたるセキュリティアップデートの提供
- 対象者
- Manufacturer
- 出典引用
- Art. 13(9)Art. 13(8)Annex I Part I §8
Last reviewed
わかりやすい説明
製品が販売されてから少なくとも5年間はセキュリティ上の欠陥を修正しなければならない——そしてそのサポートがどれだけ続くかを前もって顧客に伝えること。 セキュリティパッチは無償でなければならない。新機能とは別に提供することで、顧客がリグレッションを心配せず迅速に適用できるようにすること。
法律条文
規則(EU)2024/2847第13条第8項は、デジタル要素を含む製品のサポート期間は市場への投入日から5年間以上でなければならず、製品の予想使用期間がより短い場合はその期間とすることを義務付けている(注記参照)。
第13条第9項は、サポート期間中、製造業者がセキュリティアップデートの無償提供を含む脆弱性の効果的な対処を確保することを義務付けている。
主な要件
- 最低5年間のサポート期間(または予想使用期間がより短い場合——注記を参照)
- 無償のセキュリティアップデート——セキュリティ修正に対する有償アップデートプランは不可
- 適時の提供——深刻度とリスクに比例したアップデート
- 別途提供——セキュリティアップデートは機能アップデートと区別できなければならない
- サポート期間の開示——製品文書および販売時点において終了日を記載しなければならない
5年間の下限に関する注記
欧州委員会の2026年3月ドラフトガイダンス(サポート期間に関するセクション)は、5年間は下限であり、デフォルトではないことを明確にしている。予想使用期間が5年を超える製品(産業制御システム、スマートメーターなど)は、その長期の予想使用期間に合わせたサポート期間が必要である。
必要となり得る証拠
- 宣言されたサポート期間(製品文書および販売ページ)
- タイムスタンプ付きセキュリティアップデートリリース記録
- 脆弱性対処プロセス文書
- セキュリティアップデートが有料化されていないことの証拠