De Duitse netwerkfabrikant LANCOM Systems vindt de nieuwe EU Cybersecurity Act die nu gemaakt wordt een goed moment om een updateverplichting vast te leggen. Het bedrijf pleit daarom voor een wettelijke verplichting tot beveiligingsupdates voor alle hardware-fabrikanten die hun apparatuur in Europa verkopen.
Volgens LANCOM houdt de vraag of een hardware-fabrikant de plicht heeft om zijn apparatuur geregeld een beveiligingsupdate te geven de gemoederen in de ICT al jaren bezig. “Je zou verwachten dat gebruikers fel voor een updateplicht zijn en producenten tegen. Maar dat hoeft niet zo te zijn”, aldus de leverancier. Een wettelijk geregelde updateverplichting biedt gebruikers volgens LANCOM de mogelijkheid om hun apparatuur gedurende een langere periode veilig te gebruiken. Nu is die verplichting er nog niet. Daardoor kon het gebeuren dat de Consumentenbond twee weken geleden nul op het rekest kreeg in een rechtszaak die hij had aangespannen tegen Samsung. De belangenvertegenwoordiger van de Nederlandse consument hoopte Samsung via de rechter te dwingen om zijn smartphones voortaan twee jaar lang van updates te voorzien. Maar de rechter verklaarde de bond niet ontvankelijk. Volgens de rechtbank in Den Haag toonde de Consumentenbond onvoldoende aan dat er daadwerkelijk veiligheidsrisico’s zijn en dat Samsung daar te weinig tegen doet.
Er zijn op dit moment wel duidelijke Europese eisen op het gebied van elektromagnetische compatibiliteit (EMC) en fysieke bescherming tegen elektrische schokken, maar er zijn geen eisen om normale consumenten- en zakelijke producten regelmatig van (security) updates te voorzien. Dit is LANCOM een doorn in het oog. De fabrikant vraagt vooral om updateverplichting voor security updates. Het gaat met name om deze drie punten:
- Er moeten basiseisen komen voor een bepaald niveau aan security, waar alle apparaten aan moeten voldoen die aan het internet kunnen worden gekoppeld (“Security CE”).
- Fabrikanten moeten verplicht worden om updates te leveren in het geval van een kwetsbaarheid.
- Een nieuwe, vrijwillige certificering die fabrikanten kunnen gebruiken om producten te kenmerken die meer dan gemiddelde security bieden (dit vormt momenteel de focus van de “EU Cybersecurity Act”).