tesid@tesid.org.tr 
Kritik Uyarı: AB Siber Dayanıklılık Yasası (CRA)
Konu: AB Siber Dayanıklılık Yasası (Cyber Resilience Act-CRA) Uygulama Takvimi ve Sektörümüz İçin Acil Uyum Yükümlülükleri.
AB pazarında yer alan veya tedarik zincirinde bulunan tüm üreticilerimizi, dijital unsurlar barındıran ürünlere yönelik siber güvenlik kurallarını kökten değiştiren Siber Dayanıklılık Yasası (CRA) hakkında acilen bilgilendirmek istiyoruz. Bu yasa, ihracatımızın sürdürülebilirliği açısından mutlak uyum gerektirmektedir.
📅 AB CRA Uygulama Takvimi
| Aşama | Tarih | Önemi ve Yükümlülük |
| Yürürlüğe Giriş | 10 Aralık 2024 | Yasa resmen yürürlüğe girdi. |
| Güvenlik Açığı Bildirimi | 11 Eylül 2026 | Üreticilerin, aktif olarak kullanılan güvenlik açıklarını 24 saat içinde bildirme yükümlülüğü başlıyor. |
| Tam Uyum Zorunluluğu | 11 Aralık 2027 | CRA’nın tüm siber güvenlik, tasarım ve yaşam döngüsü gerekliliklerine tam uyum zorunluluğu. |
UYARI: Belirtilen tarihlere uyulmaması durumunda, küresel yıllık cironun %2,5’ine kadar (veya 15 Milyon Euro’ya kadar) idari para cezaları uygulanabilecektir.
💡 Dikkat Edilmesi Gereken En Kritik Nokta: Kapsam
CRA, yalnızca bir güvenlik yazılımı standardı değil, ürün güvenliği tüzüğüdür.
Bu yasa, donanım ve yazılımı da dahil olmak üzere, doğrudan veya dolaylı olarak bir ağa bağlanabilen tüm ürünleri kapsamaktadır (IoT cihazları, akıllı ev aletleri, ağ bileşenleri vb.).
Örnek Madde ile Hatırlatma:
| Ürün Türü | Kapsam Detayı | Uyum Gerekliliği |
| Akıllı Termostat (IoT Cihazı) | Cihazın donanım tasarımı (güvenli boot) ve termostatın çalışmasını sağlayan gömülü yazılım (firmware) dahil olmak üzere tamamı yasa kapsamındadır. | Ürünün tüm yaşam döngüsü boyunca (en az 5 yıl) düzenli güvenlik yamaları sağlamak zorunludur. |
| Akıllı TV veya Router | Donanım ve işletim sistemi yazılımı. | Varsayılan (default) şifrelerin benzersiz ve güçlü olmasını sağlamak. |
🛠️ Türk Sanayicilerinin Alması Gereken Acil Tedbirler
- Güvenli Tasarım (Security by Design): Güvenlik yaklaşımını geliştirme sürecinin en başına taşımak. Ürünlerin siber güvenlik risklerini azaltacak şekilde tasarlanması ve üretilmesi.
- Yaşam Döngüsü Yönetimi: Ürünlerinizi, piyasaya sürülüş tarihinden itibaren en az beş yıl boyunca düzenli güvenlik güncellemeleriyle destekleyecek vulnerability management (güvenlik açığı yönetimi) ve yama mekanizmalarını kurmak.
- Dokümantasyon ve Belgelendirme: CRA’ya uyumu kanıtlayan CE işaretlemesi için gerekli uygunluk değerlendirme süreçlerini tamamlamak ve teknik dokümantasyonları hazırlamak.
- Tedarik Zinciri Kontrolü: Ürünlerinizde kullanılan tüm üçüncü taraf yazılım ve donanım bileşenlerinin (çip, işletim sistemi vb.) siber güvenlik gerekliliklerini karşıladığından emin olmak.
🇹🇷 Türkiye’deki Mevzuat Uyum Süreci ve İlgili Bakanlıklar
Türkiye, en büyük ticaret ortağımız olan AB’nin bu kritik düzenlemesine uyum sağlamak amacıyla yoğun bir çalışma yürütmektedir.
- Ticaret Bakanlığı ve Sanayi ve Teknoloji Bakanlığı başta olmak üzere ilgili kurumlarımız, CRA ve diğer AB dijital düzenlemelerinin Türk mevzuatına uyumlaştırılması için eş zamanlı olarak etki analizi ve yol haritası çalışmalarını yürütmektedir.
- Bu çalışmalar, sektörümüzün rekabetçiliğini korumak ve AB ile olan “Yüksek Düzeyli Ticaret Diyaloğu” kapsamındaki “Dijital Konular Çalışma Grubu” görüşmelerini desteklemek için kritik öneme sahiptir.
- Siber Güvenlik Başkanlığı’nın Rolü: Yeni kurulan veya hali hazırda mevcut siber güvenlik yönetimini yürüten bu birim, Türkiye’nin siber güvenlik ekosistemini geliştirmek ve ulusal siber dayanıklılık seviyesini artırmakla görevlidir. CRA’ya uyum sürecinde, ürünlerin siber güvenlik testleri, sertifikasyon süreçleri ve ulusal siber güvenlik stratejilerinin AB standartlarına uyumu konularında yol gösterici, düzenleyici ve koordinatör bir rol üstlenmesi beklenmektedir. TSE gibi kurumlarla iş birliği içinde çalışarak, yerli üreticilerimizin küresel standartlara uyum sağlamasına destek olacaktır.
Sonuç: Uyum süreci başlamış durumdadır ve 2027 tam uygulama tarihine kadar geçen süre, ürün tasarım, geliştirme ve üretim süreçlerimizi kökten değiştirmemiz için elimizdeki son fırsattır. Sektörümüzün bu dönüşüme hızla adapte olması, uluslararası pazardaki varlığımızın devamlılığı için hayati önem taşımaktadır.
🛠️ Onaylanma Süreçleri ve Uygunluk Değerlendirmesi
CRA kapsamında, üreticilerin ürünlerinin tüzük gerekliliklerine uygunluğunu göstermesi için üç temel Uygunluk Değerlendirmesi prosedüründen birini kullanması gerekir. Bu süreç, temelde ürünün CE İşareti alabilmesinin bir parçasıdır.
- Üç Temel Değerlendirme Yöntemi
Ürünün kritiklik seviyesine (sınıfına) bağlı olarak yöntem değişir:
| Ürün Sınıfı | Değerlendirme Yöntemi | Üretici Sorumluluğu |
| Düşük Riskli Ürünler (Çoğu Tüketici Elektroniği) | İç Kontrol (Self-Assessment) | Üretici, uygunluk beyanını kendi hazırlar ve teknik dokümantasyonunu tutar. Üçüncü taraf onayı gerekmez. |
| Kritik Ürünler Sınıf I (Örn: İşletim Sistemleri, Kripto İşlemcileri) | Üçüncü Taraf Onayı (Modül H veya C) | Üreticinin, Onaylanmış Kuruluş (Notified Body) tarafından denetlenmesi veya ürün tasarımının onaylanması zorunludur. |
| Kritik Ürünler Sınıf II (Örn: Akıllı Sayaçlar, Endüstriyel Kontrol Sistemleri) | Üçüncü Taraf Onayı (Modül H veya C) | Yüksek güvenlik riski taşıdıkları için en sıkı denetim ve onaylanmış kuruluş müdahalesi gereklidir. |
- Onay Sürecinin Özeti
- Gereksinimlerin Belirlenmesi: Üretici, ürünün tabi olduğu CRA Temel Siber Güvenlik Gereksinimlerini (Madde 10 ve Ek I) belirler.
- Güvenlik Tasarımı: Ürün, “Tasarım Gereği Güvenlik” (Security by Design) ilkesine uygun olarak geliştirilir.
- Teknik Dokümantasyon: Uygulanan tüm önlemleri, risk değerlendirmesini ve test sonuçlarını içeren bir Teknik Dosya hazırlanır.
- Onaylanmış Kuruluş (Gerekiyorsa): Kritik ürünler için, üretici bir Onaylanmış Kuruluş’a başvurur. Kuruluş, teknik dosyayı ve/veya üretim sistemini denetleyerek uygunluğu sertifikalandırır.
- Uygunluk Beyanı: Üretici, ürünün CRA dahil ilgili tüm AB mevzuatına uygun olduğunu belirten bir AB Uygunluk Beyanı hazırlar.
- CE İşareti: Uygunluğun kanıtlanmasının ardından ürün üzerine CE İşareti iliştirilir ve AB pazarına sunulur.
🇹🇷 Türkiye’deki Uluslararası Geçerli Onama Makamları
CRA, tıpkı diğer AB yeni yaklaşım direktifleri ve tüzükleri gibi, uygunluk değerlendirmesi için Onaylanmış Kuruluşlar (Notified Bodies) kullanır.
- Tanım: Onaylanmış Kuruluşlar, AB Komisyonu tarafından AB üye devletlerinin talebi üzerine atanır ve resmi olarak AB’nin NANDO (New Approach Notified and Designated Organisations) bilgi sisteminde listelenir.
- Türkiye’nin Durumu: Türkiye, AB ile Gümrük Birliği anlaşması kapsamında Sanayi Ürünleri ve Telsiz Ekipmanları gibi alanlarda AB teknik mevzuatını uyumlaştırmış durumdadır. Bu kapsamda, Türk Standartları Enstitüsü (TSE) gibi kurumlar, bazı AB Direktifleri için AB Komisyonu tarafından Onaylanmış Kuruluş olarak atanmıştır.
- CRA İçin Beklenti: Türkiye’deki ilgili kurumların (TSE gibi) CRA kapsamındaki siber güvenlik test ve sertifikasyon hizmetlerini verebilmesi için, öncelikle CRA’nın ulusal mevzuata uyumlaştırılması ve bu kurumların CRA kapsamı için de AB tarafından resmi olarak “Onaylanmış Kuruluş” olarak atanması gerekir. Bu, mevzuat uyumu ile eş zamanlı olarak yürütülecek bir süreçtir.
Bu süreç tamamlanana kadar Türk firmalarının, genellikle AB üyesi ülkelerde listelenmiş olan Onaylanmış Kuruluşlar ile çalışması gerekecektir.
🔗 İlgili AB Dokümanı Linki
AB Siber Dayanıklılık Yasası’nın (CRA) resmi metnine aşağıdaki linkten ulaşabilirsiniz:
Tüzük (AB) 2024/2847 – Dijital Unsurları Olan Ürünlerin Siber Güvenlik Gereklilikleri Hakkında Tüzük
CRA için hazırlanmakta olan CRA standartlarına da bu linkten ulaşabilirsiniz.