TESİD, Elektronik Sanayi İşbirliği Platformu - ESİP Projesi üyesidir.

Menu

AB Siber Dayanıklılık Yasası’nın Kalbi: SBOM ile Yazılım Tedarik Zincirinde Yeni Dönem

Anasayfa / Blog / AB Siber Dayanıklılık Yasası’nın Kalbi: SBOM ile Yazılım Tedarik Zincirinde Yeni Dönem
AB Siber Dayanıklılık Yasası’nın Kalbi: SBOM ile Yazılım Tedarik Zincirinde Yeni Dönem

AB Siber Dayanıklılık Yasası’nın Kalbi: SBOM ile Yazılım Tedarik Zincirinde Yeni Dönem

Avrupa Birliği’nin siber güvenlik standartlarını kökten değiştiren Siber Dayanıklılık Yasası (CRA), Türk elektronik üreticileri için “SBOM” (Software Bill of Materials) zorunluluğunu beraberinde getiriyor. Yazılımın “içindekiler listesi” olarak tanımlanan SBOM, artık Avrupa pazarına girişte en kritik belgelerden biri olacak.

Avrupa Birliği Siber Güvenlik Ajansı (ENISA) tarafından yayımlanan son uygulama rehberleri, elektronik ve dijital ürün üreticilerinin siber dayanıklılık stratejilerinde SBOM’un merkezi bir rol oynayacağını teyit etti. CRA kapsamında, dijital bileşen içeren her ürünün, yazılım tedarik zinciri boyunca şeffaflık sağlaması ve zafiyet yönetimini dijital bir envanter üzerinden yürütmesi zorunlu hale geliyor.

SBOM Nedir ve Neden Hayati Önem Taşıyor?

Yazılım Bileşen Listesi (SBOM), bir yazılımın içinde bulunan tüm açık kaynaklı ve tescilli bileşenlerin, kütüphanelerin ve bağımlılıkların makine tarafından okunabilir bir envanteridir. Türk sanayicilerimiz için SBOM sadece bir belge değil;

  • Zafiyet Tespit Hızı: Üründe kullanılan bir alt bileşende açık çıktığında, tüm sistemi taramak yerine saniyeler içinde risk analizi yapabilme,

  • Yasal Uyumluluk: CRA uyarınca CE işareti alabilmek için gerekli teknik dosyanın ayrılmaz bir parçası,

  • Müşteri Güveni: Avrupalı iş ortaklarına ürünün siber güvenlik şeffaflığını kanıtlama aracıdır.

ENISA Rehberine Göre Uygulama Adımları

ENISA’nın “SBOM Uygulama Kılavuzu” analizine göre, üreticilerimizin şu standartlara uyum sağlaması beklenmektedir:

  1. Standart Format Kullanımı: Verilerin paylaşılabilir olması için CycloneDX veya SPDX gibi uluslararası kabul görmüş formatlarda hazırlanması.

  2. Otomasyon: Yazılım geliştirme (CI/CD) süreçlerine SBOM araçlarının entegre edilmesi (GitHub Actions, GitLab CI, Jenkins vb.).

  3. Sürekli Güncelleme: Yazılımın her yeni sürümünde SBOM’un otomatik olarak güncellenmesi ve zafiyet takip sistemleriyle (VEX – Vulnerability Exploitability eXchange) eşleştirilmesi.

TESİD Üyeleri İçin Stratejik Hazırlık

CRA’nın tam olarak yürürlüğe girmesiyle birlikte, “Önemli” ve “Kritik” kategorisindeki ürünlerin (akıllı cihazlar, endüstriyel kontrol sistemleri, ağ ekipmanları vb.) SBOM belgeleri olmadan Avrupa pazarında yer alması mümkün olmayacaktır.

TESİD olarak, üyelerimizin bu dönüşüme hızla adapte olabilmeleri için teknik altyapı çalışmalarını yakından takip ediyoruz. SBOM süreçlerinin kurumsal süreçlere entegrasyonu, sadece bir zorunluluk değil, küresel rekabette Türk elektronik sektörünü öne çıkaracak bir kalite standardı olacaktır.

Konuyla ilgili AB Dokümanı: 

SBOM Analysis Towards an Implementation Guide