CRA-ondersteuningsperiode: 5-jaarsdrempel (artikel 13(8))

Artikel 13(8) van de EU Verordening cyberweerbaarheid (Verordening (EU) 2024/2847) stelt een minimumperiode van vijf jaar voor kwetsbaarheidsafhandeling vast, verankerd aan de datum waarop het product op de EU-markt wordt geplaatst. Deze gids behandelt de duuraspecten: wanneer de klok begint te lopen, hoe de uitzondering voor een kortere levensduur werkt, hoe meerdere productversies overlappende verplichtingen creëren en wat upstream-leverancierscontracten moeten omvatten. Voor het leveringskader zie CRA-beveiligingsupdates; voor de gebruikersinformatie over de einddatum van de ondersteuning zie openbaarmaking einddatum ondersteuning.

Samenvatting

  • Vijf jaar is het minimum. Artikel 13(8) vereist kwetsbaarheidsafhandeling gedurende ten minste vijf jaar vanaf de datum waarop het product op de EU-markt wordt geplaatst.
  • De uitzondering voor een kortere levensduur is beperkt. Deze moet worden beoordeeld voor de marktplaatsing, worden gedocumenteerd in de risicoanalyse van Bijlage I Deel I en vóór aankoop aan gebruikers worden bekendgemaakt in de informatie op grond van Bijlage II.
  • De klok begint te lopen bij marktplaatsing, niet bij aankoop door de klant. Voorraad die in een magazijn ligt voordat zij wordt verkocht, heeft al een deel van de ondersteuningsperiode verbruikt.
  • Meerdere productversies creëren overlappende ondersteuningsvensters. Elke versie heeft zijn eigen klok op grond van Artikel 13(8); fabrikanten kunnen tegelijkertijd ondersteuning verschuldigd zijn voor drie of meer actieve versies.
  • Upstream-leveranciersrisico is het risico van de fabrikant. Het einde van de ondersteuning door een componentleverancier is geen verweer; leverancierscontracten moeten de volledige Artikel 13(8)-periode omvatten.
5y
Minimale ondersteuningsperiode
Artikel 13(8) vanaf marktplaatsing
Free
Beveiligingsupdates
Artikel 13(8), geen betaling voor patches
10y
Bewaring technisch dossier
Artikel 31, vanaf marktplaatsing
€15M / 2.5%
Maximale boete
Artikel 64, het hoogste bedrag geldt

De vier kerncijfers die de CRA-ondersteuningsperiode bepalen: de minimale duur, de kostenloze verplichting, de bewaardrempel voor documentatie en het boeteplafond.

De ondersteuningsperiode begint bij marktplaatsing, niet bij aankoop door de klant

Artikel 13(8) koppelt de vijfjaarsperiode aan de datum waarop het product op de EU-markt wordt geplaatst, dat wil zeggen de eerste keer dat het product beschikbaar wordt gesteld aan enige schakel in de distributieketen. Een product dat 18 maanden in een magazijn ligt voordat een klant het koopt, heeft al 18 maanden van zijn ondersteuningsperiode verbruikt. Dit brengt voorraadrisico met zich mee: fabrikanten die marktplaatsingsdatums niet per productversie bijhouden, kunnen naleving van Artikel 13(8) niet aantonen.

Wat de CRA vereist voor de ondersteuningsperiode

Artikel 13(8) van de Verordening cyberweerbaarheid bepaalt dat de fabrikant "zorgt voor een effectieve afhandeling van kwetsbaarheden van het product met digitale elementen gedurende een periode van ten minste vijf jaar vanaf de datum waarop het product met digitale elementen op de markt wordt geplaatst, of gedurende de verwachte gebruiksperiode van het product als die korter is."

De verplichting kent drie onderdelen:

Duur

Ten minste vijf jaar. De uitzondering voor een kortere verwachte gebruiksperiode is beperkt en moet vóór aankoop worden gedocumenteerd en bekendgemaakt. Een fabrikant kan hier niet achteraf een beroep op doen. Als de documentatie vijf jaar vermeldt, is de fabrikant vijf jaar gehouden.

Afhandeling

Kwetsbaarheden moeten "effectief" worden afgehandeld conform Bijlage I Deel II: identificeer en documenteer ze, verhelp ze zonder onnodige vertraging, maak ze openbaar zodra ze zijn aangepakt, en voer een beleid voor gecoördineerde openbaarmaking. Niet alleen patches uitbrengen, maar de volledige levenscyclus van kwetsbaarheden beheren.

Kosteloos

Beveiligingsupdates moeten gratis aan gebruikers worden verstrekt. Functie-updates en betaalde ondersteuningsniveaus zijn afzonderlijk. Het bundelen van fixes in een betaald abonnement voldoet niet aan Artikel 13(8). Zie beveiligingsupdates voor de leveringsmechanismen.

Wanneer de vijfjaarsklok begint te lopen

Artikel 13(8) koppelt de ondersteuningsperiode aan de datum waarop het product op de markt wordt "geplaatst." Onder het EU-productrecht is marktplaatsing de eerste keer dat het product beschikbaar wordt gesteld aan enige schakel in de distributieketen, niet de detailhandelsverkoop aan de eindgebruiker.

Klok begint: de datum waarop de fabrikant (of een gemachtigde vertegenwoordiger) het product voor het eerst beschikbaar stelt aan een distributeur, detailhandelaar of importeur met het oog op distributie in de EU.

Klok begint niet bij: aankoop door de klant, activering door de klant, verzending van een specifieke eenheid, of de datum waarop een klant het product installeert.

Praktisch voorbeeld:

  1. Januari 2028. Product v1.0 op de EU-markt geplaatst. De vijfjarige ondersteuningsperiode begint. De fabrikant is beveiligingsupdates verschuldigd tot ten minste januari 2033.
  2. Juni 2029. Een klant koopt v1.0 bij een detailhandelaar. De klant heeft nog circa 3,5 jaar ondersteuning over, niet vijf jaar vanaf aankoopdatum.
  3. Januari 2033. Ondersteuningsperiode eindigt. De verplichting van de fabrikant om v1.0 te patchen vervalt. De klant blijft het product gebruiken op eigen risico.

Beste praktijk: Houd marktplaatsingsdatums bij per productversie, niet per individuele eenheid. Eén plaatsingsdatumrecord per SKU volstaat voor Artikel 13(8)-doeleinden.

De uitzondering voor een kortere verwachte levensduur

Artikel 13(8) staat toe dat de ondersteuningsperiode korter is dan vijf jaar als de verwachte gebruiksperiode van het product korter is. Deze uitzondering is beperkter dan zij lijkt:

  • De "verwachte gebruiksperiode" wordt beoordeeld vanuit het perspectief van de redelijke verwachtingen van de gebruiker, op basis van de aard van het product, hoe vergelijkbare producten doorgaans worden gebruikt en wat de fabrikant communiceert.
  • De kortere periode moet worden gedocumenteerd in de risicoanalyse van het product (Bijlage I Deel I) en vóór aankoop aan gebruikers worden bekendgemaakt in de productinformatie van Bijlage II.
  • Een fabrikant kan achteraf geen beroep doen op de uitzondering nadat een kwetsbaarheid is ontdekt. De beoordeling moet plaatsvinden voor de marktplaatsing en worden vastgelegd in het technisch dossier.
  • Voor de meeste softwareproducten, IoT-apparaten en verbonden hardware is vijf jaar het praktische minimum. De uitzondering geldt voor producten met een objectief korte gebruiksduur, zoals eenmalig te gebruiken hardware of hardware met een beperkt aantal gebruikscycli, en niet voor producten waarvoor de fabrikant simpelweg de voorkeur geeft aan een kortere verplichting.

Ondersteuning van meerdere versies

De meeste fabrikanten hebben meerdere productversies tegelijk op de markt, elk met hun eigen ondersteuningsperiode op grond van Artikel 13(8).

Gefaseerde ondersteuningsperioden creëren overlappende verplichtingen:

Drie productversies overlappen gedurende vier jaar onder Artikel 13(8) Gantt-stijl tijdlijn. v1.0 wordt ondersteund van januari 2028 tot januari 2033. v1.1 wordt ondersteund van juli 2028 tot juli 2033. v2.0 wordt ondersteund van januari 2029 tot januari 2034. Tussen januari 2029 en januari 2033 worden alle drie versies tegelijkertijd ondersteund. Vierjaarsvenster: alle drie versies tegelijkertijd ondersteund v1.0 v1.1 v2.0 2028 2029 2030 2031 2032 2033 2034
Elke balk vertegenwoordigt een vijfjarige ondersteuningsperiode op grond van Artikel 13(8), verankerd aan de EU-marktplaatsingsdatum van die versie. Het gearceerde gebied geeft het venster aan waarin de fabrikant tegelijkertijd patches verschuldigd is voor het gehele portfolio.
Versie Marktplaatsing Ondersteuning eindigt (5j)
v1.0 Jan 2028 Jan 2033
v1.1 Jul 2028 Jul 2033
v2.0 Jan 2029 Jan 2034

Van januari 2029 tot januari 2033 (vier jaar) is de fabrikant tegelijkertijd beveiligingsupdates verschuldigd voor alle drie versies. Elke versie heeft zijn eigen CVE-blootstelling, zijn eigen afhankelijkhedenboom en mogelijk zijn eigen klantenkring. Het terugporteren van patches over meerdere hoofdversies is technisch complex en kostbaar.

Strategieën om de last van meerdere versies te beperken:

  1. Gedeelde codebase. Handhaaf waar mogelijk een gemeenschappelijke, beveiligingsgepatche kern waarop alle versies voortbouwen. Beveiligingsfixes die eenmaal worden toegepast, worden doorgevoerd naar alle versies.
  2. Krachtige migratie-incentives. Kortere intervallen tussen klanten op oude versies verkleinen de actieve ondersteuningsmatrix. Upgradeprijzen, gratis migratiehulpmiddelen en ondersteuningskrediet versnellen versieconsolidatie.
  3. Expliciet EOL-schema per versie. Publiceer de einddatum van de ondersteuning voor elke versie bij marktplaatsing. Klanten die weten dat v1.0 eindigt in januari 2033, hebben tijd om de migratie te plannen zonder nooddruk.

Verplichtingen ten aanzien van leveranciers en upstream-contracten

Artikel 13(8) legt de verplichting voor de ondersteuningsperiode bij de fabrikant. Een fabrikant die zijn product niet kan patchen omdat een componentleverancier de ondersteuning heeft gestaakt, schendt nog steeds Artikel 13(8). Het ontbreken van een upstream-contract is geen verweer.

Wat dit in de praktijk betekent:

  • Als een product een besturingssysteem, middleware of chipsetfirmware van derden bevat, moet de fabrikant een leveringsovereenkomst sluiten die de volledige ondersteuningsperiode dekt. Een upstream-leverancier die drie jaar beveiligingspatches levert, dwingt de fabrikant om na jaar drie de patches zelf te onderhouden of het product na het upstream-EOL van de EU-markt te halen.
  • Op SBOM gebaseerde afhankelijkheidsbewaking (zie de SBOM-clustergids) is het operationele mechanisme: de fabrikant kan upstream-kwetsbaarheden niet bewaken zonder te weten wat er in het product zit.
  • Leverancierscontracten moeten specificeren: de duur van de upstream-patchverplichting, meldingsverplichtingen voor nieuw ontdekte kwetsbaarheden, toegang tot broncode of patchgereedschap als de upstream-leverancier het onderdeel stopzet, en vrijwaringsbepalingen voor kwetsbaarheden die hun oorsprong vinden in upstream-componenten.

Importeurs die op grond van Artikel 22 de rol van fabrikant overnemen (door een product te hermerken of ingrijpend te wijzigen), nemen de volledige verplichting van Artikel 13(8) over, inclusief het upstream-contractrisico. Zie de gids voor importeursverplichtingen voor de beslissingsstroom op grond van Artikel 22.

Einde-levensplanning en verantwoorde producttransities

Wanneer de ondersteuningsperiode op grond van Artikel 13(8) afloopt, vervalt de verplichting van de fabrikant om kwetsbaarheden te patchen, maar een aantal verantwoordelijkheden blijft bestaan.

Wat Artikel 13(8) en verwante bepalingen vereisen bij het einde van de ondersteuning:

  • De einddatum van de ondersteuningsperiode uit Bijlage II, vóór aankoop bekendgemaakt, geldt als toezegging. Gebruikers moeten tijdig voldoende kennisgeving hebben ontvangen.
  • Het technisch dossier moet ten minste 10 jaar worden bewaard vanaf de datum waarop het product op de EU-markt is geplaatst (Artikel 31), ongeacht wanneer de ondersteuning eindigt.
  • De EU-conformiteitsverklaring moet toegankelijk blijven voor markttoezichtautoriteiten.
  • Als de fabrikant na het EOL op de hoogte raakt van een kritieke, actief uitgebuite kwetsbaarheid in het niet langer ondersteunde product die een aanzienlijk geïnstalleerd bestand treft, bestaat er geen verplichte meldingsplicht op grond van Artikel 14. Verantwoorde openbaarmaking en gebruikersnotificatie worden sterk aanbevolen. Zie kwetsbaarheidsmelding voor de tijdlijnmechanismen van Artikel 14 die van toepassing zijn gedurende de ondersteuningsperiode.

Communicatieverplichtingen bij het einde van de ondersteuning:

De CRA schrijft geen wettelijke opzegtermijn voor het einde van de ondersteuning voor. De vereiste in Bijlage II om de einddatum van de ondersteuningsperiode vóór aankoop bekend te maken, betekent dat gebruikers die het product na deze bekendmaking hebben gekocht, reeds op de hoogte waren. Voor producten waarbij de oorspronkelijke Bijlage II-bekendmaking ontbrak of onduidelijk was, geldt 12 maanden voorafgaande kennisgeving als het sectorstandaard minimum.

Na EOL: de fabrikant is niet verplicht nieuwe kwetsbaarheden te patchen, maar dient een beveiligingscontactpunt te handhaven voor verantwoorde kwetsbaarheidsopenbaarmaking, productdocumentatie toegankelijk te houden en mee te werken aan elk onderzoek van een markttoezichtautoriteit op grond van Artikel 58.

Voor het volledige operationele draaiboek voor het levenseinde, inclusief notificatiesjablonen, migratiekaders, scenario's voor overgenomen producten en de communicatietijdlijn van 18 maanden, zie CRA-einde-levensplanning: verantwoorde producttransities.

Veelgemaakte fouten

Marktplaatsingsdatums niet bijhouden. Zonder een plaatsingsdatumrecord per versie kan de fabrikant niet berekenen wanneer de verplichtingen op grond van Artikel 13(8) beginnen of eindigen, kan hij de einddatum van de ondersteuningsperiode voor Bijlage II niet bepalen en kan hij naleving niet aantonen aan markttoezichtautoriteiten.

Geen plan voor upstream-EOL. Als een chipset-, OS- of middlewareleverancier de ondersteuning beëindigt voordat de Artikel 13(8)-periode van de fabrikant afloopt, moet de fabrikant over een plan beschikken. Reactieve ontdekking van upstream-EOL zonder leveringsovereenkomst is een veelvoorkomende en kostbare fout.

Beveiligingspatches koppelen aan functie-releases. Het bundelen van beveiligingsfixes in grote versie-upgrades dwingt klanten nieuwe functies en een nieuw aanvalsoppervlak te accepteren om een beveiligingsfix te ontvangen. Artikel 13(8) vereist dat fixes worden geleverd zonder onnodige vertraging. Een releasecyclus van zes maanden is geen "zonder onnodige vertraging" voor een kritieke kwetsbaarheid.

Veelgestelde vragen

Wanneer begint de vijfjarige ondersteuningsperiode?

Artikel 13(8) koppelt de ondersteuningsperiode aan de datum waarop het product op de EU-markt wordt geplaatst: de eerste keer dat de fabrikant het product beschikbaar stelt aan enige schakel in de distributieketen met het oog op EU-distributie. De periode begint niet op de aankoopdatum van de klant, bij activering of op de datum waarop een specifieke eenheid wordt verzonden. Een product dat in januari 2028 op de markt wordt geplaatst, is beveiligingsupdates verschuldigd tot ten minste januari 2033, ongeacht wanneer een individuele klant het koopt.

Kan de ondersteuningsperiode korter zijn dan vijf jaar?

Ja, op grond van de uitzondering in Artikel 13(8), als de verwachte gebruiksperiode korter is dan vijf jaar. De kortere periode moet echter worden vastgesteld vóór de marktplaatsing, worden gedocumenteerd in de risicoanalyse (Bijlage I Deel I) en vóór aankoop aan gebruikers worden bekendgemaakt in de productinformatie van Bijlage II. Een fabrikant kan achteraf geen beroep doen op de uitzondering nadat een kwetsbaarheid is ontdekt, en de beoordeling moet de redelijke verwachtingen van gebruikers weerspiegelen, niet de interne kostenprioriteiten. Voor de meeste IoT-apparaten, verbonden hardware en softwareproducten is vijf jaar het praktische minimum.

Geldt Artikel 14-melding na het einde van de ondersteuningsperiode?

Nee. De meldingsverplichtingen op grond van Artikel 14 (de vroege waarschuwing binnen 24 uur, de notificatie binnen 72 uur en het eindrapport binnen 14 dagen voor actief uitgebuite kwetsbaarheden) gelden voor de fabrikant gedurende de ondersteuningsperiode. Zodra de ondersteuningsperiode op grond van Artikel 13(8) afloopt, heeft de fabrikant geen verplichte meldingsplicht op grond van Artikel 14 voor kwetsbaarheden die in die productversie worden ontdekt. Markttoezichtautoriteiten behouden de bevoegdheid om op grond van Artikel 58 onderzoek in te stellen als een niet langer ondersteund product een aanzienlijk cyberbeveiligingsrisico vormt, maar de doorlopende verplichtingen voor kwetsbaarheidsbeheer en melding op grond van Artikelen 13 en 14 zijn beëindigd.

Wat als een upstream-componentleverancier de ondersteuning beëindigt vóór het verstrijken van onze Artikel 13(8)-periode?

Artikel 13(8) legt de verplichting bij de fabrikant, niet bij upstream-leveranciers. Als een chipset-, besturingssysteem- of middlewareleverancier de ondersteuning voor een component beëindigt voordat de vijfjarige periode van de fabrikant afloopt, moet de fabrikant patches zelfstandig onderhouden, een alternatief ondersteund onderdeel vinden of het product van de EU-markt halen. Het EOL-besluit van een upstream-leverancier is geen verweer tegen een bevinding van niet-naleving van Artikel 13(8) door een markttoezichtautoriteit. Leverancierscontracten die bij het productontwerp worden gesloten, moeten de duur van de upstream-patchverplichting, toegang tot broncode of patchgereedschap en meldingsverplichtingen specificeren, en moeten worden getoetst aan de verwachte ondersteuningsperiode van het product voor de marktplaatsing.

Wat u moet doen voor 11 december 2027

  1. Leg voor elk product met digitale elementen in uw portfolio de marktplaatsingsdatum per versie vast. Dit is het startpunt van de Artikel 13(8)-klok en het ankerpunt voor de Bijlage II-openbaarmaking. Zonder deze datum kunt u de einddatum van de ondersteuningsperiode niet berekenen of aantonen.
  2. Beoordeel of het minimum van vijf jaar van toepassing is of dat de uitzondering voor een kortere verwachte levensduur verdedigbaar is. Documenteer de beoordeling in de risicoanalyse (Bijlage I Deel I) en leg deze vast in het technisch dossier. Twijfelt u? Ga uit van vijf jaar.
  3. Controleer upstream-afhankelijkheden aan de hand van de ondersteuningsperiode. Bevestig voor elke derde partij (OS, chipsetfirmware, middleware of bibliotheek in de SBOM) dat de patchverplichting van de upstream-leverancier de volledige Artikel 13(8)-periode dekt. Heronderhandel of zoek alternatieven waar dat niet het geval is. Zie de SBOM-clustergids voor het kader voor afhankelijkheidsbewaking.
  4. Plan de eindecommunicatie voor producten waarvan de Artikel 13(8)-periode afloopt in het venster van 2028-2033. Gebruikers dienen de einddatum te kennen voor aankoop; zij dienen een voorafgaande kennisgeving te ontvangen voordat de ondersteuning eindigt. Zie de gids voor einde-levensplanning voor de communicatietijdlijn van 18 maanden en notificatiesjablonen.
  5. Als het beheren van ondersteuningsperioden, afhankelijkheidsbewaking en Artikel 14-melding over meerdere productversies meer is dan uw team aankan, helpt CRA Evidence: het platform houdt plaatsingsdatums en einddatums van de ondersteuningsperiode per SKU bij, bewaakt SBOM-afhankelijkheden op nieuw bekendgemaakte CVE's gedurende het ondersteuningsvenster en signaleert Artikel 14-meldingsverplichtingen wanneer actief uitgebuite kwetsbaarheden worden gedetecteerd.