Beveiligingsupdates gedurende de ondersteuningsperiode leveren

Artikel 13(8) van Verordening (EU) 2024/2847 vereist dat de ondersteuningsperiode voor producten met digitale elementen ten minste vijf jaar bedraagt vanaf de datum van ingebruikstelling op de markt, tenzij de verwachte gebruiksperiode van het product korter is.

Artikel 13(9) vereist dat fabrikanten gedurende de ondersteuningsperiode ervoor zorgen dat kwetsbaarheden effectief worden afgehandeld, onder meer door het kosteloos leveren van beveiligingsupdates.

1. Minimale ondersteuningsperiode van 5 jaar (of verwachte gebruiksperiode als die korter is — zie toelichting)
2. Kosteloos beveiligingsupdates — geen betaalde updateplannen voor beveiligingsoplossingen
3. Tijdige levering — updates evenredig aan ernst en risico
4. Afzonderlijke levering — beveiligingsupdates moeten te onderscheiden zijn van functie-updates
5. Bekendmaking van ondersteuningsperiode — einddatum moet vermeld staan in productdocumentatie en op het verkooppunt

De conceptrichtsnoeren van de Commissie van maart 2026 (§ over ondersteuningsperiode) verduidelijken dat vijf jaar een ondergrens is, geen standaard. Voor producten met verwachte gebruiksperioden die vijf jaar overschrijden (bijv. industriële besturingssystemen, slimme meters) moet de ondersteuningsperiode overeenkomen met die langere verwachte gebruiksperiode.

• Gedeclareerde ondersteuningsperiode (in productdocumentatie en op de verkooppagina)
• Verslagen van beveiligingsupdatereleases met tijdstempels
• Documentatie van het kwetsbaarheidsafhandelingsproces
• Bewijs dat er geen beveiligingsupdates achter een betaalmuur zitten