Es kommt noch der Cyber Resiliance Act, gilt nur für bestimmte sicherheitsbedenkliche Bereiche, glaube ich.
https://www.protect.airbus.com/de/pp...BoCgqQQAvD_BwE

Da müssen Hersteller von Hardware und Softwareprodukten meines Wissens verpflichtend Sicherheitsupdates für einen Zeitraum von mindestens fünf Jahren nach dem Verkauf bereitstellen.

Aus eigener Erfahrung mit Behörden wurde bei Ausschreibungen im Sicherheitsbereich früher auch mal locker eine Supportpflicht für 15 Jahre vertraglich eingefordert, was schon ziemlich grenzwertig ist in der heutigen Zeit.
Ob es das heute auch noch so gibt, keine Ahnung.