CRA-end-of-life-planning: verantwoorde producttransities

De supportperiode van uw product komt ooit ten einde. Onder de CRA heeft de manier waarop u die transitie beheert gevolgen voor zowel compliance als klantrelaties. Een slecht beheerd einde van de levenscyclus laat klanten achter met kwetsbare producten en u met potentiële aansprakelijkheid.

Deze gids behandelt verantwoorde end-of-life-planning: tijdlijnen, communicatie en wat er gebeurt nadat de support afloopt.

Samenvatting

• De CRA vereist een minimale supportperiode van 5 jaar, maar EOL komt uiteindelijk
• Begin met EOL-planning 12-18 maanden vóór het einde van de support
• Communiceer vroeg en vaak: 12 maanden, 6 maanden, 1 maand, EOL-datum
• Bied duidelijke migratiepaden en definitieve beveiligingsupdates
• Bewaring van documentatie loopt door tot 10 jaar na de laatste marktplaatsing

EOL onder de CRA: wat is vereist

De CRA schrijft EOL-procedures niet expliciet voor, maar verschillende vereisten beïnvloeden hoe u de end-of-life beheert:

Verplichting supportperiode

Artikel 13 vereist beveiligingsupdates gedurende de supportperiode (minimaal 5 jaar of de verwachte productlevensduur). Wanneer die periode eindigt, vervalt uw updateverplichting, maar uw verantwoordelijkheid om hierop te hebben geanticipeerd niet.

Klantinformatie

Bijlage I vereist het verstrekken van informatie over de supportperiode. Klanten dienen bij aankoop te weten wanneer de support afloopt.

Bewaring van documentatie

Technische documentatie moet 10 jaar na het laatste exemplaar op de markt worden bewaard. EOL beëindigt de documentatieverplichtingen niet.

Afhandeling van non-compliance

Als u bij EOL weet dat het product onherstelde kwetsbaarheden heeft, kunt u notificatieverplichtingen hebben onder de bepalingen inzake markttoezicht.

EOL-tijdlijnkader

18 maanden vóór EOL: planning

EOL-PLANNINGSFASE (18 maanden van tevoren)

Intern:
[ ] EOL-datum bevestigen op basis van marktplaatsing + supportperiode
[ ] Openstaande kwetsbaarheden beoordelen
[ ] Definitieve beveiligingsupdates plannen
[ ] Opvolgerproducten/migratiepaden identificeren
[ ] Klantcommunicatiemateriaal voorbereiden
[ ] Supportteams informeren

Extern:
[ ] Beginnen met vermelden van EOL in productroadmapcommunicatie
[ ] Productdocumentatie bijwerken met EOL-datum
[ ] Grote klanten identificeren voor proactief contact

12 maanden vóór EOL: eerste notificatie

Dit is uw formele EOL-aankondiging.

EOL-NOTIFICATIE 12 MAANDEN VAN TEVOREN

Ontvangers:
- Alle geregistreerde klanten
- Distributiepartners
- Gepubliceerd op productpagina's

Inhoud:
- Productnaam en versie
- Einddatum support
- Wat "einde van support" betekent
- Migratieopties
- Tijdlijn voor resterende updates
- Contactpersoon voor vragen

Kanalen:
- E-mail naar geregistreerde gebruikers
- Productupdate-notificatie (in-app)
- Aankondiging op website
- Persbericht (voor significante producten)
- Partnercommunicatie

Sjabloon: notificatie 12 maanden

Onderwerp: Belangrijk: kennisgeving einde support [productnaam]

Beste [klant],

Hiermee bevestigen wij dat [productnaam vX.X] op [datum]
het einde van de support bereikt.

WAT DIT BETEKENT:
- Na [datum] zullen wij geen beveiligingsupdates meer bieden
  voor [productnaam vX.X]
- Technische support vervalt
- Het product blijft functioneren maar kan kwetsbaar worden
  voor beveiligingsproblemen die na [datum] worden ontdekt

TIJDLIJN:
- Vandaag: deze aankondiging
- [datum - 6 maanden]: herinneringsnotificatie
- [datum - 1 maand]: definitieve notificatie en laatste beveiligingsupdate
- [datum]: einde support

UW OPTIES:
Optie 1: Upgraden naar [productnaam v2.0]
- [voordelen van upgrade]
- Upgradeprijzen: [details]
- Migratiegids: [link]

Optie 2: Overstappen naar [alternatief product]
- [korte beschrijving]
- [link naar vergelijking]

Optie 3: Doorgaan met niet-ondersteunde versie
- Niet aanbevolen
- Product functioneert maar ontvangt geen beveiligingsupdates
- U aanvaardt beveiligingsrisico's

MIGRATIEONDERSTEUNING:
Wij helpen u graag bij uw transitie:
- Migratiedocumentatie: [link]
- Supportteam: [contact]
- Webinar op [datum]: "Migreren van [product vX] naar [v2]"

Vragen? Neem contact op via [support e-mail/telefoon]

Bedankt dat u een klant van [productnaam] bent.

[Bedrijfsnaam] Productteam

6 maanden vóór EOL: herinnering

Versterk de boodschap en verstrek bijgewerkte migratie-informatie.

EOL-HERINNERING 6 MAANDEN

Updates sinds de notificatie van 12 maanden:
- Migratietools beschikbaar
- Promotionele prijzen voor upgrades
- Succesverhalen van vroege migranten
- Bijgewerkte FAQ

Extra kanalen:
- In-product banner/notificatie
- Melding op inlogpagina
- Herinnering via sociale media

Sjabloon: herinnering 6 maanden

Onderwerp: Herinnering: support [productnaam] eindigt over 6 maanden

Beste [klant],

Dit is een herinnering dat [productnaam vX.X] op [datum],
over zes maanden, het einde van de support bereikt.

STATUSUPDATE:
- X klanten zijn al gemigreerd naar [v2.0]
- Migratietools zijn nu beschikbaar
- Speciale upgradeprijzen geldig tot [datum]

NIEUWS:
- Zelfbediening migratiewizard: [link]
- Webinar-opname over migratie: [link]
- Upgrade FAQ: [link]

RESTERENDE UPDATES:
Wij zullen ongeveer één maand vóór het einde van de support
een definitieve beveiligingsupdate uitbrengen die alle op
dat moment bekende kwetsbaarheden adresseert.

WACHT NIET:
Wij raden aan nu met uw migratie te beginnen om:
- Problemen op het laatste moment te vermijden
- Te profiteren van upgradeprijzen
- Ononderbroken beveiligingsdekking te garanderen

Hulp nodig? Neem contact op via [migratie-supportcontact]

[Bedrijfsnaam] Productteam

1 maand vóór EOL: definitieve kennisgeving

De laatste herinnering vóór de support afloopt.

DEFINITIEVE KENNISGEVING 1 MAAND

Kritieke inhoud:
- Dit is de definitieve kennisgeving
- Laatste beveiligingsupdate uitgebracht (of nu uitgebracht)
- Procedures voor sluiting van supportkanalen
- Definitieve migratiemogelijkheid

Urgentie-elementen:
- Duidelijke nadruk op deadline
- Openbaarmaking van bekende kwetsbaarheden (als er nog onopgeloste zijn)
- Gevolgen van inactiviteit

Sjabloon: definitieve kennisgeving 1 maand

Onderwerp: Definitieve kennisgeving: support [productnaam] eindigt [datum]

Beste [klant],

Dit is de DEFINITIEVE kennisgeving vóórdat [productnaam vX.X]
op [datum] het einde van de support bereikt.

DEFINITIEVE BEVEILIGINGSUPDATE:
Wij brengen vandaag de definitieve beveiligingsupdate uit.
Deze update adresseert alle bekende kwetsbaarheden op deze datum.
Wij raden u ten zeerste aan deze update toe te passen.

Downloaden: [link]
Installatiegids: [link]

NA [DATUM]:
- Er worden geen verdere beveiligingsupdates meer uitgebracht
- Technische support is niet langer beschikbaar
- Eventuele kwetsbaarheden die na deze datum worden ontdekt,
  worden niet gepatcht

LAATSTE KANS OM TE MIGREREN:
Dit is uw definitieve kans om gebruik te maken van onze
begeleide migratieondersteuning.

- Upgraden naar [v2.0]: [link]
- Migratieassistentie: [contact]
- Upgradeprijzen verlopen: [datum]

DOORGAAN MET [PRODUCT vX.X]:
Als u [productnaam vX.X] na [datum] blijft gebruiken:
- Het product blijft functioneren
- U aanvaardt beveiligingsrisico's van onopgeloste kwetsbaarheden
- U dient compenserende maatregelen te implementeren
- Overweeg netwerkisolatie en monitoring

Wij waarderen uw vertrouwen en hopen u verder te mogen bedienen
met [v2.0] of [alternatief product].

[Bedrijfsnaam] Productteam

EOL-datum: support eindigt

ACTIES OP EOL-DATUM

Uitvoeren:
[ ] Supportkanalen gesloten/omgeleid
[ ] Productdocumentatie bijgewerkt naar "niet langer ondersteund"
[ ] Automatische updatecontroles uitgeschakeld (of verwijzen naar "geen update beschikbaar")
[ ] Downloadpagina's bijgewerkt met EOL-melding
[ ] Product archiveren in interne systemen

Communiceren:
[ ] Definitieve bevestigings-e-mail naar resterende gebruikers
[ ] Banner/melding op website
[ ] Omleidingsbericht voor support

Bewaren:
[ ] Technische documentatie (bewaring van 10 jaar loopt door)
[ ] Klantcommunicatiegegevens
[ ] Lijst van bekende kwetsbaarheden bij EOL

Sjabloon: EOL-bevestiging

Onderwerp: [Productnaam] heeft het einde van de support bereikt

Beste [klant],

Vanaf vandaag, [datum], heeft [productnaam vX.X] het
einde van de support bereikt.

WAT DIT NU BETEKENT:
- Er worden geen verdere beveiligingsupdates meer geleverd
- Technische support is niet langer beschikbaar
- Productdocumentatie blijft toegankelijk via [link]

ALS U [PRODUCT vX.X] NOG STEEDS GEBRUIKT:
Wij raden aan:
1. Upgraden naar [v2.0]: [link]
2. Compenserende beveiligingsmaatregelen implementeren
3. Netwerkisolatie overwegen

BEVEILIGINGSCONTACT:
Hoewel wij geen updates meer leveren, handhaven wij een
beveiligingscontact voor verantwoorde kwetsbaarheidsopenbaarmaking:
security@bedrijf.com

Als u een kwetsbaarheid ontdekt, meld deze dan. Wij zullen beoordelen
of buitengewone omstandigheden actie rechtvaardigen en zullen
getroffen gebruikers informeren als significante risico's
worden ontdekt.

DOCUMENTATIE:
Productdocumentatie blijft beschikbaar via: [link]
Deze documentatie wordt bewaard voor wettelijke doeleinden.

Bedankt dat u een klant van [productnaam] bent. Wij hopen
u verder te mogen bedienen met [opvolgersproduct] of andere oplossingen.

[Bedrijfsnaam] Productteam

Planning van migratiepaden

Migratieopties definiëren

Klanten hebben duidelijke alternatieven nodig:

KADER VOOR MIGRATIEOPTIES

OPTIE 1: Directe upgrade
├── Nieuwe versie van hetzelfde product
├── Datamigratie ondersteund
├── Functiepariteit (of beter)
└── Prijzen: [upgradeprijzen]

OPTIE 2: Alternatief product
├── Ander product dat aan dezelfde behoeften voldoet
├── Kan werkproceswij­zigingen vereisen
├── Migratietools beschikbaar
└── Prijzen: [nieuw-klantprijzen]

OPTIE 3: Concurrerend product
├── Wees eerlijk als uw oplossing niet past
├── Zorg voor gegevensexportmogelijkheid
└── Vergrendel klanten niet

OPTIE 4: Doorgaan zonder support
├── Documenteer de risico's duidelijk
├── Bied richtlijnen voor compenserende maatregelen
├── Geen support, geen updates
└── Klant aanvaardt verantwoordelijkheid

Bronnen voor migratieondersteuning

Bereid voor op het moment dat EOL-communicatie begint:

Omgaan met klanten die niet migreren

Sommige klanten zullen niet-ondersteunde producten blijven gebruiken. Uw verantwoordelijkheden:

Wel doen:

• Risico's duidelijk communiceren
• Definitieve beveiligingsupdate leveren
• Hun keuze documenteren (voor uw administratie)
• Beveiligingscontact handhaven voor kritieke openbaarmakingen
• Documentatie toegankelijk houden

Niet doen:

• Product in de meeste gevallen forceren om te stoppen met werken
• Klantgegevens verwijderen zonder kennisgeving
• Beveiligingscontact volledig opgeven
• Documentatie verwijderen

Verantwoordelijkheden na EOL

Bewaring van documentatie

Uw documentatieverplichtingen eindigen niet met de support:

DOCUMENTATIEVEREISTEN NA EOL

Technisch dossier:
- 10 jaar bewaren na het laatste exemplaar op de markt
- Moet beschikbaar zijn voor markttoezichtautoriteiten
- Definitieve staat bij EOL opnemen

Te bewaren documenten:
- EU-conformiteitsverklaring
- Risicobeoordelingen
- Testresultaten
- SBOM (definitieve versie)
- Bewijs van conformiteitsbeoordeling
- Klantcommunicaties

Opmerking: Als het product 3 jaar op de markt was en de
supportperiode 5 jaar was, loopt de bewaring van documentatie
10 jaar door vanaf jaar 3, niet jaar 8.

Afhandeling van bekende kwetsbaarheden

Wat als er na EOL kwetsbaarheden worden ontdekt?

Voor extern gemelde kwetsbaarheden:

• Ernst en impact beoordelen
• Voor kritieke, actief misbruikte kwetsbaarheden die veel gebruikers treffen, overweeg:
  • Buitengewone beveiligingsupdate (niet verplicht maar verantwoord)
  • Klantnotificatie met mitigatierichtlijnen
  • Publiek advies

Voor intern ontdekte kwetsbaarheden:

• Hetzelfde beoordelingsproces
• Beslissing en motivering documenteren

Documentatie:

KWETSBAARHEIDSLOGBOEK NA EOL

Kwetsbaarheid: ________________________________
Gemeld/ontdekt: __________________________
Ernst: ____________________________________
Getroffen versies: ____________________________
Exploitatiestatus: ___________________________

Beslissing:
[ ] Geen actie (standaard voor post-EOL)
[ ] Alleen klantnotificatie
[ ] Buitengewone update uitgebracht
[ ] Publiek advies uitgebracht

Motivering:
______________________________________________

Besloten door: __________________________________
Datum: _______________________________________

Samenwerking met markttoezicht

Zelfs na EOL moet u samenwerken met markttoezichtautoriteiten als zij uw product onderzoeken. Houd gegevens toegankelijk.

Speciale EOL-scenario's

Vroegtijdig EOL (vóór 5 jaar)

Kunt u support beëindigen vóór de minimumperiode?

Over het algemeen niet. De CRA vereist minimaal 5 jaar support. Vroegtijdige beëindiging zou non-compliance zijn.

Uitzonderingen:

• Werkelijke levensduur van het product is korter dan 5 jaar (zeldzaam, moet worden gedocumenteerd en gecommuniceerd bij verkoop)
• Buitengewone omstandigheden (faillissement bedrijf, enz.)

Als u gedwongen wordt tot vroegtijdig EOL:

• Transparant communiceren
• Overweeg open source te maken zodat de gemeenschap onderhoud kan overnemen
• Indien mogelijk een verlengde beveiligingsupdatetoezegging doen
• Overname/overdracht aan een andere entiteit onderzoeken

EOL van overgenomen product

U neemt een bedrijf over met producten die het einde van hun levenscyclus naderen:

AFHANDELING EOL OVERGENOMEN PRODUCT

Beoordeling:
[ ] Wanneer is het product voor het eerst op de EU-markt geplaatst?
[ ] Welke supportperiode is gecommuniceerd?
[ ] Wat is de resterende verplichting?

Opties:
1. Originele toezegging nakomen
   - Support handhaven tot originele einddatum
   - Integreren in uw supportinfrastructuur

2. Support verlengen
   - Klok resetten (voordeel voor klant)
   - Verlenging positief communiceren

3. Migratie versnellen
   - Aantrekkelijke migratie naar uw product aanbieden
   - Support niet voortijdig beëindigen

Nooit:
- Support eerder beëindigen dan toegezegd
- Achterlaten zonder migratiepad
- Klanten slechter achterlaten dan vóór de overname

EOL van meerdere versies

Meerdere versies die ongeveer tegelijkertijd het EOL bereiken:

EOL-COÖRDINATIE MEERDERE VERSIES

Faseer indien mogelijk:
- v1.0 EOL: januari 2028
- v1.1 EOL: juli 2028
- v2.0 EOL: januari 2029

Voordelen van fasering:
- Vermindert supportlast op elk moment
- Geeft klanten een duidelijk upgradepad
- Spreidt migratie-supportlast

Communiceer duidelijk:
- Versiespecifieke EOL-datums
- Migratiepad tussen versies
- Aanbevolen doelversie

Principes voor klantcommunicatie

Transparantie

• Verras klanten nooit met EOL
• Communiceer datums zo vroeg mogelijk
• Wees duidelijk over wat "einde van support" betekent

Respect

• Klanten hebben in uw product geïnvesteerd
• Geef voldoende tijd om te migreren
• Bied echte alternatieven

Ondersteuning

• Maak migratie zo eenvoudig mogelijk
• Bied assistentie tijdens de transitie
• Straf langdurige klanten niet

Continuïteit

• Gegevensexport moet mogelijk zijn
• Documentatie moet toegankelijk blijven
• Beveiligingscontact moet voortbestaan (ook al is dit beperkt)

EOL-planningschecklist

EOL-PLANNINGSCHECKLIST

18 MAANDEN VAN TEVOREN:
[ ] EOL-datum bevestigd
[ ] Opvolgersproduct geïdentificeerd
[ ] Migratietools gepland
[ ] Communicatietijdlijn vastgesteld
[ ] Supportteam geïnformeerd
[ ] Documentatie bijgewerkt met EOL-datum

12 MAANDEN VAN TEVOREN:
[ ] Formele EOL-aankondiging verzonden
[ ] Website bijgewerkt
[ ] Productdocumentatie bijgewerkt
[ ] Migratiegids gepubliceerd
[ ] Upgradeprijzen vastgesteld
[ ] Supportkanalen voorbereid

6 MAANDEN VAN TEVOREN:
[ ] Herinneringsnotificatie verzonden
[ ] In-product notificatie actief
[ ] Migratietools beschikbaar
[ ] Webinar/training aangeboden
[ ] Grote klanten benaderd

1 MAAND VAN TEVOREN:
[ ] Definitieve kennisgeving verzonden
[ ] Definitieve beveiligingsupdate uitgebracht
[ ] Sluiting support aangekondigd
[ ] Migratiedeadline benadrukt
[ ] Documentatie afgerond

EOL-DATUM:
[ ] Supportkanalen gesloten/omgeleid
[ ] EOL-melding op website live
[ ] Downloadpagina's bijgewerkt
[ ] Documentatie gearchiveerd (maar toegankelijk)
[ ] Interne systemen bijgewerkt

NA EOL:
[ ] Bevestiging verzonden aan resterende gebruikers
[ ] Bewaring van documentatie bevestigd
[ ] Beveiligingscontact gehandhaafd
[ ] Kwetsbaarheidslogboek gestart
[ ] Timer voor bewaring van 10 jaar gestart

Waarschuwing: Onder de CRA moet u minimaal 5 jaar beveiligingsondersteuning bieden. End-of-life-planning moet rekening houden met deze minimale supportperiode.

Gerelateerde gidsen:

• CRA-support-periodeplan: 5 jaar beveiligingsupdates
• CRA-implementatietijdlijn 2025-2027
• CRA-sancties en handhavingsgids

Hoe CRA Evidence helpt

CRA Evidence ondersteunt EOL-planning:

• Tracking supportperiode: Automatische berekening van EOL-datum
• Klantregister: Bijhouden wie een notificatie nodig heeft
• Communicatiesjablonen: EOL-notificatiesjablonen
• Documentatiearchief: Bewaarde technische dossiers
• Kwetsbaarheidslogboek: Kwetsbaarheidsregistratie na EOL

Plan uw producttransities op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.