Welke SLA-responstijden moet een onderhoudscontract voor defensiesoftware specificeren?

Een onderhoudscontract voor defensiesoftware moet minimaal drie ernstniveaus definiëren. P1 (kritiek — missiesysteem niet beschikbaar of risico op gegevensverlies): eerste respons binnen 1–2 uur met een oplossing of tijdelijke maatregel binnen 4–8 uur. P2 (ernstig — significante capaciteit verminderd maar tijdelijke maatregel beschikbaar): eerste respons binnen 4 uur en oplossing binnen 24–48 uur. P3 (minor — cosmetische of weinig-impactvolle defecten): erkenning binnen 1 werkdag en oplossing in de volgende geplande onderhoudsrelease. SLA-klokken moeten 24/7 lopen voor P1 en P2, ongeacht kantooruren of tijdzones.

Wanneer is broncode-escrow vereist in een defensiesoftwarecontract?

Broncode-escrow is aan te raden wanneer de aanbestedende organisatie de software niet zelfstandig kan bouwen, aanpassen of onderhouden als de leverancier zijn activiteiten staakt. Voor defensieprogramma's met levenscycli van 10 jaar of meer — wat de meeste platform-, C2- en ISR-software beschrijft — is escrow een bedrijfscontinuïteitsbasislijn, geen optionele clausule. Escrow wordt verplicht wanneer: de software enige bron is zonder levensvatbare vervanging op een 12-maandenhorizon, het classificatieniveau van het programma beperkt welke aannemers het onderhoud kunnen overnemen, of de software veiligheids- of missiekritische functies bestuurt.

Welke CVE-responstijdvereisten moet een militair softwarecontract bevatten?

Onderhoudscontracten voor defensiesoftware moeten CVE-responsvensters specificeren gekoppeld aan CVSS-ernstscores. CVSS 9.0–10.0 (kritiek): leveranciersmelding binnen 24 uur na openbare bekendmaking, patch beschikbaar binnen 72 uur of compenserende maatregel gedocumenteerd binnen hetzelfde venster. CVSS 7.0–8.9 (hoog): patch beschikbaar binnen 14 dagen. CVSS 4.0–6.9 (medium): patch beschikbaar binnen 45 dagen. CVSS onder 4.0 (laag): gebundeld in de volgende geplande onderhoudsrelease. Zero-day-kwetsbaarheden die in het wild worden uitgebuit vóór openbare bekendmaking vereisen een onmiddellijke meldingsclausule met een gedefinieerd escalatiecontact.

Welke exit- en overgangsbepalingen moet een defensiesoftwarecontract bevatten?

Exitbepalingen moeten vier gebieden behandelen. Gegevensportabiliteit: alle operationele gegevens moeten exporteerbaar zijn in gedocumenteerde, niet-propriëtaire formaten binnen een gedefinieerd venster (doorgaans 30–90 dagen na contractbeëindiging). Migratieondersteuning: de leverancier moet technische ondersteuning bieden voor de overgang naar een vervangend systeem gedurende een gespecificeerde overlappingsperiode, doorgaans 6–12 maanden. Kennisoverdracht: de leverancier moet actuele technische documentatie, runbooks en training leveren aan de aanbestedende organisatie of een aangewezen opvolgaannemer. Licentieoverleving: licenties voor operationele gegevens, afgeleide modellen en configuratieartefacten moeten de contractbeëindiging overleven.

Onderhoudcontracten voor defensiesoftware: wat te onderhandelen

De meeste aanbestedingen van defensiesoftware investeren aanzienlijke inspanning in de verwervingsfase — technische evaluatie, bronselectie en contractverlening — en behandelen het onderhoudscontract als bijkomstig papierwerk. Dit is de omgekeerde volgorde. De verwervingsbeslissing bepaalt wat u koopt. Het onderhoudscontract bepaalt of u het over vijf jaar nog kunt gebruiken, of u juridisch verhaal heeft wanneer de leverancier de ondersteuning stopt, en of uw programma insolventie van de leverancier overleeft zonder operationele capaciteit te verliezen.

Een defensiesoftwaresysteem dat in 2026 is aangeschaft, zal waarschijnlijk nog steeds in gebruik zijn in 2036 of 2040. De leverancier die het heeft geschreven, kan zijn overgenomen, naar een andere markt zijn overgegaan of zijn activiteiten geheel hebben gestaakt. De software zal CVE's hebben opgebouwd. Het besturingssysteem waarop het draait, zal meerdere end-of-life-cycli hebben doorlopen. Het engineeringteam dat het heeft gebouwd, zal zijn doorgestroomd. Niets van dit alles is ongewoon — het is simpelweg wat er gebeurt gedurende een programmalifecyclus van 15 jaar. Een goed opgesteld onderhoudscontract voor defensiesoftware is het mechanisme dat de operationele capaciteit door dit alles heen intact houdt.

Waarom onderhoudscontracten mislukken in defensieprogramma's

Commerciële softwareonderhoudsovereenkomsten zijn ontworpen voor kortlevende SaaS-producten waarbij de leverancier de omgeving beheerst en de klant in weken van aanbieder kan wisselen. Defensieprogramma's delen bijna geen van deze kenmerken. Systemen zijn geclassificeerd of werken in air-gapped omgevingen waar externe onderhoudsaannemers niet zomaar toegang kunnen krijgen tot een productie-instantie. Vervangingtijdlijnen worden gemeten in jaren, niet in weken. De software kan zo uitgebreid zijn aangepast dat zij weinig gelijkenis vertoont met het commerciële product van de leverancier.

Het resultaat is dat standaard commerciële onderhoudsovereenkomsten defensieprogramma's op voorspelbare wijze in de steek laten. Ze definiëren geen ernstniveaus die overeenkomen met de operationele realiteit. Ze behandelen geen beveiligingspatch-tijdlijnen voor kwetsbaarheden in afhankelijkheden van derden. Ze vereisen niet dat de leverancier oudere versies onderhoudt terwijl een programma upgradetests ondergaat. Ze bevatten geen broncode-escrowbepalingen die het programma in staat zouden stellen door te gaan als de leverancier verdwijnt. En ze bevatten exitbepalingen die een ordelijke overgang naar een vervangend systeem praktisch onmogelijk maken.

Inzicht in deze faalpatronen vóór het opstellen van het contract is het startpunt om de juiste voorwaarden te verkrijgen.

SLA-structuur: ernstniveaus en responsvensters

Het meest voorkomende gebrek in onderhoudscontracten voor defensiesoftware is een enkel, ongedifferentieerd ondersteuningsniveau met een vage responstijdverbintenis. Een systeem dat situational awareness biedt voor een ingezette eenheid heeft een fundamenteel andere responsverbintenis nodig wanneer het volledig uitvalt dan wanneer een rapportexportfunctie een onjuist datumformaat produceert. Beide als hetzelfde prioriteitsniveau behandelen resulteert ofwel in te veel betalen voor triviale problemen ofwel in onvoldoende bescherming tegen echte operationele storingen.

Een goed gestructureerde SLA voor defensiesoftware definieert minimaal drie ernstniveaus.

P1 — kritiek

P1 is van toepassing wanneer het systeem volledig niet beschikbaar is, de gegevensintegriteit in gevaar is, of een beveiligingskwetsbaarheid actief wordt uitgebuit. Het contract moet een initiële respons specificeren — wat betekent dat een gekwalificeerde engineer betrokken is en het probleem heeft erkend — binnen één tot twee uur. Een oplossing of gedocumenteerde tijdelijke maatregel moet binnen vier tot acht uur worden geleverd. P1-SLA's moeten op 24/7-basis lopen zonder uitzonderingen voor weekenden, feestdagen of tijdzoneverschillen. Het contract moet escalatiecontacten bij naam noemen — niet alleen een ondersteuningswachtrij — en specificeren dat P1-escalatie standaard intakeprocessen omzeilt.

P2 — ernstig

P2 is van toepassing wanneer een significante capaciteit is verminderd maar het systeem gedeeltelijk operationeel blijft en een tijdelijke maatregel beschikbaar is. Initiële respons binnen vier uur, oplossing binnen 24 tot 48 uur. P2-SLA's moeten ook continu lopen, niet alleen tijdens kantooruren, omdat verminderde operationele capaciteit snel verergert in een ingezette omgeving.

P3 — minor

P3 dekt defecten met lage operationele impact — onjuiste weergave-uitvoer, niet-kritieke rapportfouten, cosmetische problemen. Erkenning binnen één werkdag, oplossing gebundeld in de volgende geplande onderhoudsrelease. P3 is het enige niveau waarbij meting op basis van kantooruren passend is.

Naast responsvensters moet het contract patchlevertijdlijnen afzonderlijk specificeren van algemene defectoplossing. Patchfrequentie moet worden gedefinieerd als een maximaal interval tussen geplande onderhoudsreleases — 90 dagen is een gebruikelijke benchmark voor defensiesystemen — met een bepaling voor noodpatches buiten de cyclus voor kritieke beveiligingskwetsbaarheden.

Broncode-escrow: continuïteit beschermen tegen leveranciersrisico

Broncode-escrow is de meest ondergebruikte clausule in defensiesoftwarecontracten. Het is ook degene die de meest acute gevolgen heeft wanneer zij afwezig is. Wanneer een leverancier van defensiesoftware wordt overgenomen door een concurrent die het product stopzet, of simpelweg als bedrijf faalt, verliest een programma zonder escrowbepalingen de toegang tot de mogelijkheid om zijn eigen software te bouwen, te modificeren of zelfstandig te onderhouden. In een geclassificeerde omgeving waar de opvolgaannemer geen toegang heeft tot de oorspronkelijke ontwikkelomgeving van de leverancier, is dit geen herstelbare situatie zonder jaren van heraanbestedingsinspanning.

Een escrow-arrangement vereist dat de leverancier de broncode van de software, buildscripts, testsuites, manifesten van afhankelijkheden van derden en omgevingsspecificaties deponeert bij een onafhankelijke, geaccrediteerde escrow-bewaarder. Het depot wordt aangehouden door de bewaarder en vrijgegeven aan de aanbestedende organisatie alleen wanneer gedefinieerde triggercondities zijn vervuld.

Escrow-triggercondities definiëren

Triggercondities moeten specifiek genoeg zijn om objectief verifieerbaar te zijn. Standaardtriggers zijn: insolventie of faillissementsaanvraag van de leverancier; overname van de leverancier door een concurrent die het product stopzet; schriftelijke aankondiging van productend-of-life door de leverancier; en elke aaneengesloten periode van 12 maanden waarin de leverancier geen onderhoudsreleases levert. Vage voorwaarden — "leverancier stopt met het ondersteunen van het product" — nodigen uit tot geschillen wanneer dat precies gebeurt. Voorwaarden moeten zo worden gedefinieerd dat zij zonder toestemming van de leverancier kunnen worden ingeroepen.

Bruikbaarheid van escrow verifiëren

Een escrow-depot dat geen werkende build kan produceren, is waardeloos. Het contract moet jaarlijkse escrow-verificatie vereisen: een onafhankelijke buildtest waarbij de gedeponeerde materialen worden gebruikt om de software in een schone omgeving te reproduceren. De aanbestedende organisatie of een aangewezen derde beoordeelt de uitvoer. Leveranciers die de jaarlijkse escrow-verificatie niet kunnen doorstaan, moeten worden beschouwd als zijnde in strijd met de onderhoudsovereenkomst. Escrow is geen opslagdienst — het is een continuïteitsmechanisme, en het werkt alleen als het depot aantoonbaar buildbaar is.

Beveiligingspatchverplichtingen en CVE-respons

De beveiligingspatchvereisten in de meeste commerciële softwareonderhoudsovereenkomsten zijn geschreven voor enterprise IT-omgevingen waar updates wekelijks kunnen worden getest en uitgerold. Defensieprogramma's kunnen dit niet. Het testen van een beveiligingspatch in een geclassificeerde omgeving vóór implementatie kan vier tot zes weken duren. Uitrollen over een gedistribueerd, air-gapped netwerk kost extra tijd. Het onderhoudscontract moet rekening houden met deze asymmetrie.

Het startpunt is het koppelen van patchleveringsverplichtingen aan CVSS-ernstscores. Een realistische basislijn voor onderhoud van defensiesoftware: CVSS 9.0–10.0 (kritiek) vereist leveranciersmelding binnen 24 uur na openbare bekendmaking en een patch of gedocumenteerde mitigatie binnen 72 uur. CVSS 7.0–8.9 (hoog) vereist een patch binnen 14 dagen. CVSS 4.0–6.9 (medium) staat maximaal 45 dagen toe. CVSS onder 4.0 wordt gebundeld in de volgende geplande onderhoudsrelease.

Even belangrijk is de vereiste voor proactieve zero-day-melding. Als de leverancier kennis krijgt van een uitgebuite kwetsbaarheid in de software voordat deze openbaar wordt bekendgemaakt — via hun eigen incidentrespons, via een klantrapport of via enig ander kanaal — moet het onderhoudscontract hen verplichten het aangewezen beveiligingscontact van de aanbestedende organisatie binnen 24 uur op de hoogte te stellen. Dit is een niet-standaardclausule waartegen leveranciers zich zullen verzetten. Ze mag niet worden wegonderhandeld.

Het contract moet ook vereisen dat de leverancier een actuele software bill of materials (SBOM) bijhoudt — een volledige inventaris van bibliotheken, frameworks en afhankelijkheden van derden die in het product zijn opgenomen. CVE's in afhankelijkheden van derden vormen de meerderheid van de exploiteerbare kwetsbaarheden in de meeste defensiesoftwaresystemen. Zonder een SBOM kan de aanbestedende organisatie de blootstelling van de leverancier niet zelfstandig bijhouden of verifiëren dat patchverplichtingen worden nagekomen. Het vereisen dat de SBOM bij elke onderhoudsrelease wordt bijgewerkt, is redelijk en technisch eenvoudig voor elke leverancier die een moderne buildpipeline gebruikt.

Exit- en overgangsbepalingen

Overgangsbepalingen zijn de clausules die bepalen of een ordelijke migratie naar een vervangend systeem mogelijk is. Ze behoren ook tot de clausules die het vaakst worden geschrapt tijdens contractonderhandelingen, omdat de leverancier er geen belang bij heeft zijn eigen vervanging te faciliteren. Inkoopteams die genoegen nemen met kale exitbepalingen betalen er jaren later voor wanneer transitiekosten escaleren en programma's worden gegijzeld door de medewerking van de zittende leverancier.

Een volledig exit- en transitiekader behandelt vier gebieden.

Gegevensportabiliteit. Alle operationele gegevens die door het systeem worden gegenereerd — trackgeschiedenissen, missielogboeken, configuratiestatussen, afgeleide inlichtingenproducten — moeten exporteerbaar zijn in gedocumenteerde, niet-propriëtaire formaten binnen een gedefinieerd venster na contractbeëindiging, doorgaans 30 tot 90 dagen. Het contract moet formaten expliciet specificeren: als CSV en JSON acceptabel zijn, schrijf ze dan op. "Standaardformaten" is niet specifiek genoeg om afdwingbaar te zijn.

Migratieondersteuning. De leverancier moet actieve technische ondersteuning bieden voor integratie met of migratie naar een vervangend systeem gedurende een gedefinieerde overlappingsperiode — zes tot twaalf maanden is het standaardbereik voor complexe defensiesoftware. Dit omvat het beantwoorden van technische vragen van de opvolgaannemer, het verstrekken van API-documentatie die mogelijk niet in de openbare productdocumentatie staat, en hulp bij validatie van datamigratie.

Kennisoverdracht. De leverancier moet actuele technische documentatie leveren — architectuurdiagrammen, implementatierunbooks, configuratiehandleidingen — en een minimaal gedefinieerd aantal uren technische training geven aan de opvolgaannemer of het interne team. "Documentatie" moet worden gedefinieerd: welke documenten, met welke versiecurrency, in welk formaat. Kennisoverdrachtopleveringen moeten als contractregelitems worden opgenomen met acceptatiecriteria, niet in algemene termen worden beschreven.

Licentieoverleving. Alle licenties voor operationele gegevens, afgeleide analytische producten, getrainde modelgewichten als AI-componenten aanwezig zijn, en configuratieartefacten moeten de contractbeëindiging overleven. Dit is bijzonder belangrijk voor elk systeem dat in de loop van de tijd operationele waarde opbouwt — een trackfusiesysteem waarvan de fusiemodellen zijn getraind op operationele gegevens, vertegenwoordigt een aanzienlijke investering die toebehoort aan de aanbestedende organisatie, niet aan de leverancier.

Prestatiegaranties en beschikbaarheids-SLA's

Beschikbaarheids-SLA's voor missiekritische defensiesoftware vereisen aanzienlijk meer precisie dan een eenvoudig uptimepercentage. Een beschikbaarheidsverbintenis van 99,9% klinkt sterk, maar staat bijna negen uur downtime per jaar toe — wat, geconcentreerd in één incident op het verkeerde moment, ernstige operationele gevolgen kan hebben. Bovendien is een beschikbaarheidsclausule zonder een gedefinieerde meetmethodologie in feite niet afdwingbaar.

De meetmethodologie moet specificeren wat downtime inhoudt, hoe het wordt bijgehouden en hoe het wordt geverifieerd. "Downtime" moet worden gedefinieerd in termen van service-impact — telt een systeem dat is verminderd tot 30% van de normale doorvoer als "beschikbaar"? — in plaats van in termen van systeemstatus. Meting moet continu en geautomatiseerd zijn, niet door de leverancier gerapporteerd. Het contract moet identificeren wie toegang heeft tot beschikbaarheidsstatistieken en hoe geschillen over gerapporteerde cijfers worden opgelost.

Boeteclausules moeten een echte financiële prikkel creëren om SLA-doelen te halen. Servicekredieten van 5% tot 15% van de maandelijkse contractwaarde per procentpunt SLA-misser zijn een redelijk bereik. De boetestructuur moet escaleren bij herhaalde schendingen in opeenvolgende perioden — een leverancier die consequent een klein beetje tekortschiet terwijl hij credits betaalt, heeft minder stimulans om te investeren in betrouwbaarheid dan een leverancier die te maken krijgt met escalerende financiële gevolgen.

Het contract moet ook een schriftelijk herstelplan vereisen binnen vijf werkdagen na elke P1-SLA-schending. Het plan moet de hoofdoorzaak, de genomen corrigerende maatregel en de preventieve maatregelen documenteren die worden geïmplementeerd om herhaling te voorkomen. Herstelplannen dienen twee functies: ze creëren een dossier voor programmatoezicht en ze geven de aanbestedende organisatie vroegtijdig waarschuwing voor systemische betrouwbaarheidsproblemen voordat ze verergeren.

Voor systemen die werken in air-gapped of omgevingen met verminderde connectiviteit heeft het beschikbaarheids-SLA-kader een aparte specificatie voor gedegradeerde modus nodig. Wat is het verwachte systeemgedrag wanneer connectiviteit met centrale diensten niet beschikbaar is? Wat is de maximale autonome bedrijfsperiode? Dit zijn geen standaard beschikbaarheids-SLA-vragen — ze vereisen een defensiespecifieke bijlage bij de onderhoudsovereenkomst die operationele grenzen onder realistische veldomstandigheden definieert.

Voor aanvullende context over het evalueren van leveranciers vóór contractverlening — inclusief hoe u ondersteuningscapaciteit en langetermijnlevensvatbaarheid beoordeelt voordat het onderhoudscontract is ondertekend — zie onze gids voor evaluatie van defensiesoftwareleveranciers. Voor de bredere aanbestedingslevenscyclus, inclusief hoe onderhoudsbepalingen passen in de volledige contractstructuur, behandelt de gids defensie aanbesteding van RFP tot contract het end-to-end proces.

EOL-opzegtermijnen en versieondersteuningsvensters

Defensieprogramma's kunnen geen opzegtermijn van 90 dagen voor productend-of-life absorberen. De aanbestedingscyclus om een vervangend systeem te identificeren, te evalueren en te contracteren duurt 12 tot 24 maanden in de meeste defensieomgevingen. Een onderhoudscontract dat de leverancier in staat stelt ondersteuning te beëindigen met een opzegtermijn van 90 dagen laat een programma mogelijk gedurende het grootste deel van twee jaar zonder ondersteuning. De minimaal levensvatbare EOL-opzegtermijn voor een missiekritisch defensiesoftwareproduct is 24 maanden — genoeg tijd om een concurrerende vervangingsaanbesteding te voltooien.

Versieondersteuningsvensters zijn een verwante en vaak verwaarloosde kwestie. Defensieprogramma's kunnen vaak niet upgraden op het voorkeursschema van de leverancier. Regelgevende heraccreditatie, integratietests in geclassificeerde omgevingen en de engineeringinspanning die nodig is om een nieuwe versie te valideren, kunnen upgradetijdlijnen 12 tot 18 maanden na de GA-release van de leverancier uitstellen. Het onderhoudscontract moet specificeren hoeveel eerdere major-versies de leverancier gelijktijdig zal ondersteunen en hoe lang na de release van een nieuwe major-versie. Twee eerdere major-versies onderhouden gedurende 24 maanden na release is een verdedigbare basislijn voor complexe defensiesoftware.

De aanpak van Corvus Intelligence voor langetermijnondersteuning

Corvus Intelligence ontwerpt zijn defensiesoftwareproducten met langetermijnondersteuning als een eersteklas vereiste — niet als bijkomstigheid. Onze onderhoudsovereenkomsten zijn gebouwd op gestructureerde ernstniveaus, SBOM-ondersteunde beveiligingspatching, contractuele broncode-escrow en overgangsbepalingen die de continuïteit van de aanbestedende organisatie boven leveranciersgebondenheid stellen.

Verken Corvus Intelligence →

Onderhoudcontracten voor defensiesoftware: wat op te nemen en te onderhandelen