Fabrikanten van techproducten moeten hun hardware en software vijf jaar voorzien van beveiligingsupdates. Dat bepaalt de Cyber Resilience Act, een nieuwe Europese wet die over drie jaar ingaat. Alle producten die vanaf dan uitkomen, moeten aan de wet voldoen.
Het gaat om een verordening en dus hoeven lidstaten geen eigen wet in te voeren; de wetgeving geldt simpelweg vanaf 11 december 2027. Alle producten en diensten die vanaf dan uitkomen, moeten vijf jaar ondersteuning krijgen. De enige uitzondering is als de verwachte levensduur van een product of dienst korter is dan vijf jaar, blijkt uit de wetstekst. Dan moet de ondersteuning zo lang duren als de verwachte levensduur.
Onder de wetgeving vallen bijvoorbeeld ook smartphones. De wet schrijft specifiek voor dat het upgraden naar een nieuwe versie van een besturingssysteem niet nodig is, zolang de fabrikant maar beveiligingsupdates blijft uitbrengen voor de oudere versie. De wetgeving geldt voor alle producten met 'digitale elementen' en daaronder valt naast hardware dus ook software.
Fabrikanten krijgen bovendien vanaf juni 2026 een meldplicht voor grote beveiligingslekken in hun hardware en software. Die is er nu nog niet. Daardoor moet duidelijker zijn welke lekken er zitten in producten.