Tijd voor een update-verplichting

Jan Buis_Director Business Development OEM Sales_1

Heeft een hardware-fabrikant de plicht om zijn apparatuur geregeld een beveiligingsupdate te geven? Die vraag houdt de gemoederen in de ICT al jaren bezig. Je zou verwachten dat gebruikers fel voor een update-plicht zijn en producenten tegen. Maar dat hoeft niet zo te zijn. Wijzelf bijvoorbeeld vinden dat de gebruiker het recht heeft om de apparatuur veilig te (blijven) gebruiken. Daarom pleiten wij voor een wettelijke verplichting tot beveiligingsupdates voor alle hardware-fabrikanten die hun apparatuur in Europa verkopen.

Niet ontvankelijk

Een wettelijk geregelde update-verplichting biedt gebruikers de mogelijkheid om hun apparatuur gedurende een langere periode veilig te gebruiken. Nu is die verplichting er nog niet. Daardoor kon het gebeuren dat de Consumentenbond twee weken geleden nul op het rekest kreeg in een rechtszaak die men had aangespannen tegen Samsung. De belangenvertegenwoordiger van de Nederlandse consument hoopte Samsung via de rechter te dwingen om zijn smartphones voortaan twee jaar lang van updates te voorzien. Maar de rechter verklaarde de bond niet ontvankelijk.

Er zijn dus op dit moment wel duidelijke Europese eisen op het gebied van elektromagnetische compatibiliteit (EMC) en fysieke bescherming tegen elektrische schokken. Maar er zijn geen eisen om normale consumenten- en zakelijke producten regelmatig van (security) updates te voorzien.

Dit klopt niet. Daarom vragen wij - inderdaad: als fabrikant - heel nadrukkelijk om wettelijk verplichte security-updates.

Het gaat met name om deze drie punten:

  1. Er moeten basiseisen komen voor een bepaald niveau aan security, waar alle apparaten aan moeten voldoen die aan het internet kunnen worden gekoppeld. Noem het maar met een knipoog naar CE een ‘Security CE’.
  1. Fabrikanten moeten verplicht worden om updates te leveren in het geval van een kwetsbaarheid.
  1. Er moet een nieuwe, vrijwillige certificering komen die fabrikanten kunnen gebruiken om producten te kenmerken die meer dan gemiddelde security bieden. Dit vormt momenteel de focus van de EU Cybersecurity Act. Een mooi moment om deze

update-verplichting definitief wettelijk vast te leggen.

Jan Buis is Vice President Wireless LAN, IoT & Switches bij LANCOM