Siber Dayanıklılık Tüzüğü · (AB) 2024/2847 sayılı Tüzük

AB Siber Dayanıklılık Tüzüğü (CRA) · Türk imalatçılar için yol haritası

Dijital unsur içeren bir ürünü AB pazarına sunan her imalatçı, Siber Dayanıklılık Tüzüğü'nün kapsamına giriyor. İlk eşik 11 Eylül 2026'da açılıyor (Madde 14 · olay ve güvenlik açığı bildirimi), tam uygulama 11 Aralık 2027'de başlıyor. Bu sayfa kapsam, yaptırım, AB tarafında yapılması gereken işlem basamakları ve Gümrük Birliği'nin pratikte neyi kapsamadığı üzerine odaklanıyor. Resmî gazete atfı gov konvansiyonuna uygun biçimde (AB) 2024/2847 sayılı Tüzük olarak verilmiştir.

Ücretsiz 45 dakikalık görüşme için randevu alın Dört aşamalı hizmet kapsamını gör
CRA nedir

AB pazarına sürülen dijital ürünleri yatay biçimde düzenleyen tüzük

Siber Dayanıklılık Tüzüğü, 2024 yılı sonunda yayımlanan (AB) 2024/2847 sayılı Tüzük olarak resmiyet kazanmıştır. Tüzüğün şu an için Türkçe resmî çevirisi yoktur; EUR-Lex yalnızca 24 AB resmî dilinde yayın yapar, bu nedenle birincil kaynak olarak yukarıdaki İngilizce sürüm kullanılmıştır. Yükümlülükler iki kademede devreye giriyor ve yaptırımlar küresel ciro üzerinden hesaplanıyor.

Madde 14 yürürlüğü
11 Eylül 2026. Aktif istismar edilen güvenlik açıkları için 24 saat erken uyarı, ciddi olaylar için 72 saat ilk bildirim, 14 gün içinde ENISA'ya nihai rapor.
Tam uygulama
11 Aralık 2027. AB pazarına sürülen tüm kapsam ürünleri Ek I gerekliliklerini karşılamakla yükümlü.
İdari para cezası tavanı
En yüksek 15.000.000 EUR veya küresel yıllık cironun %2,5'i (hangisi yüksekse).
Güvenlik güncellemesi
Ürün yaşam döngüsü boyunca en az 5 yıl ücretsiz güvenlik güncellemesi sağlama zorunluluğu.

Türkiye'deki resmî kaynaklarda T.C. AB Başkanlığı Tüzük terminolojisini kullanıyor; sektör derneklerinden TESİD CRA merkezi kapsam ve sektörel etki analizlerini güncel tutuyor.

Kapsam

Ürününüz CRA kapsamında mı?

İçinde yazılım veya gömülü yazılım bulunan ve doğrudan ya da dolaylı olarak AB pazarına sunulan her ürün kapsama girer. Türk ihracatının ağırlıklı kategorileri aşağıdaki altı kutunun tamamında görünür.

Bağlı beyaz eşya (çamaşır, bulaşık, buzdolabı)
Akıllı TV, set üstü kutu ve tüketici elektroniği
Endüstriyel kontrol sistemleri ve PLC
Ağ ekipmanı (yönlendirici, anahtar, modem)
IoT cihazları ve sensörler
EV şarj istasyonu (OCPP bağlantılı)

Emin değilseniz CRA uygulanabilirlik aracı ilk elemeyi yapar.

AB tarafında iş

Yalnızca AB'de yapılabilen üç işlem basamağı

Aşağıdaki işler Türkiye'deki Ar-Ge ve kalite ekibinin tek başına tamamlayamayacağı, AB saat dilimi ve üye devlet dilleri gerektiren kalemlerdir. Yetkili temsilci rolünü üstlenmeyiz; kapsam dışı durumumuz hizmet sayfasında bir kez daha açıkça yazılıdır.

  1. Ürünün satılacağı AB üye devletlerinin resmî dillerine teknik belge çevirisi. Ek I güvenlik risk değerlendirmesi, EU Uygunluk Beyanı ve kullanıcıya yönelik güvenlik bilgisi satışa sunulan her üye devletin resmî dilinde bulunmak zorundadır. Başlangıç noktası mevcut İngilizce sürüm, hedef ise pazarlama planında yer alan AB ülkelerine göre çeviri ve yerelleştirme.
  2. AB üye devlet pazar gözetim otoritelerinin yazılı sorularına yanıt hazırlığı. Ülkeye göre değişen yanıt süreleri geçerlidir ve yazılı cevaplar sonraki soruşturmaya esas oluşturur. Mevcut USOM duyuru/olay kayıtları ilk taslak için ham veri olarak kullanılır.
  3. AB yetkili temsilci seçimi için karşılaştırma. (AB) 2024/2847 sayılı Tüzüğün 18. maddesi, AB'de tüzel kişiliği bulunmayan imalatçılar için AB yetkili temsilci atamasını zorunlu kılar. Bu rolü bünyemizde üstlenmeyiz; aday karşılaştırması ve sözleşme incelemesi ile sınırlı destek sağlarız (rol dışılık beyanı bu sayfada yalnızca burada geçer).
Dört aşamalı teslim programı
Değerlendirme → İş akışı entegrasyonu → Teknik dosya → Sürekli operasyon aşamalarındaki teslimatlar hizmet sayfasında kalem kalem yazılıdır.
Mevcut belgelerin CRA ile karşılaştırması
TSE belgesi, IEC 62443-4-1/4-2, ISO/IEC 27001, BSI TR-03183 SBOM ve USOM dahil dokuz kalem için karşılaştırma hizmet sayfasında.
Türkiye'ye özgü mesele

Gümrük Birliği CRA'yı kapsamaz: bunun pratik anlamı

Türk imalatçılara gelen ilk soru bu. 1/95 sayılı Ortaklık Konseyi Kararı'na dayanan Gümrük Birliği sanayi ürünlerinde gümrük vergilerini kaldırır ve AB teknik mevzuatıyla uyumu öngörür; ancak CRA tarzı yeni AB ürün tüzüklerinden muafiyet vermez.

Gümrük Birliği'nin kapsamı T.C. AB Başkanlığı sayfasında net olarak yazılıdır: sanayi ürünlerinin serbest dolaşımı ve AB teknik mevzuatıyla uyumlaştırma. Buradaki "uyumlaştırma", Türkiye'nin AB mevzuatını iç hukuka aktardığı ölçüde geçerlidir. CRA yeni bir AB tüzüğü olduğundan Türk iç mevzuatına henüz aktarılmamıştır; bu nedenle CRA yükümlülüğü ürünün AB pazarına sürülmesi anında imalatçının üzerinde doğrudan doğar ve imalatçının Türkiye'de olması bu yükümlülüğü hafifletmez.

Uygulamada karşılaşılan üç durum:

  1. AB'de kendi markasıyla satan Türk imalatçı: CRA imalatçısı olarak Ek VII teknik dosya, EU Uygunluk Beyanı, ENISA bildirim sistemi, 18. madde kapsamında AB yetkili temsilci atama gibi tüm yükümlülükler üzerine düşer. Gümrük Birliği bu yükümlülüklerin hiçbirini kaldırmaz.
  2. AB markası için OEM üretim: CRA kapsamında "imalatçı", ürünü kendi adı veya markasıyla pazara süren AB alıcısıdır (Tanımlar maddesi). Türk OEM üreticisi ise Tüzüğün 13(5). maddesi gereği SBOM, güvenlik açığı bilgisi ve güncelleme taahhüdünü sözleşme çerçevesinde sağlamakla yükümlüdür.
  3. Karma dağıtım (Türkiye ve AB'de farklı marka): Her pazar için ayrı bir imalatçı belirlenir; belgelendirme ve bildirim yükümlülüklerinin hangi tüzel kişide toplanacağı sözleşme ile netleştirilir, aksi halde çifte raporlama veya boşluk riski doğar.

KVKK'nın 24 saat / 72 saat veri ihlali bildirim rejimiyle CRA'nın 24 saat erken uyarı / 72 saat ciddi olay bildirim rejimi yapısal olarak akrabadır. KVKK bildirim pratiği zaten yerleşik olan Türk uyum ekipleri için CRA Madde 14 süreci, ENISA muhataplı bir KVKK bildirim süreci olarak modellenebilir; bu pratik, en büyük yerelleşme kazanımıdır. Sektörel yönüyle T.C. Ticaret Bakanlığı'nın TESİD aracılığıyla paylaştığı CRA sunumu uyum sürecinin Türkiye'deki koordinasyon noktasını gösterir.

Ters yönde bir avantaj da vardır. Bir Türk imalatçı CE ve CRA uyumunu tamamladıktan sonra, Gümrük Birliği çerçevesi uyumlu sanayi ürünlerinin AB iç pazarında serbest dolaşımını güvence altına aldığından, ürün tek uyum yatırımıyla 27 üye devlet pazarına kesintisiz girer. CRA yükümlülüğü ile Gümrük Birliği avantajı birbirini dışlamaz; birlikte çalışır.
Daha fazla okuma

Türk imalatçıların önce incelemesi gereken dört konu

Randevu talebinden önce iç tartışmada kullanabileceğiniz konu bazlı rehberler.

CE İşareti + CRA

CE işaretiniz var: CRA 2027'den itibaren ne ekliyor?

CE işareti ile CRA arasındaki ayrım, imalatçı rolü üç senaryosu ve ENISA bildirim prosedürü. Türk ihracatçılar için pratik rehber.

Rehberi oku Ürün Sınıflandırması

CRA ürün sınıflandırması: varsayılan, önemli mi yoksa kritik mi?

Ek III ve Ek IV listeleri üzerinden varsayılan, Önemli Sınıf I/II ve Kritik ayrımı. Öz değerlendirme ile Onaylanmış Kuruluş yolu arasındaki karar.

Sınıflandırmayı gör Beyaz Eşya ve Elektronik

Türk elektronik ve akıllı cihaz üreticileri için CRA

Akıllı TV, bağlı beyaz eşya, chipset firmware ve 5 yıl güvenlik güncelleme taahhüdünün Türk elektronik ihracatına etkisi.

Sektör rehberi EV Şarj ve Enerji

EV şarj ve akıllı enerji ekipmanı üreticileri için CRA

OCPP bağlantılı şarj istasyonları, RED 2022/30 örtüşme haritası ve CRA sınıflandırması. Ev tipi AC duvar şarjından halka açık DC hızlı şarja.

Enerji rehberi
CRA Evidence platformu

İngilizce SaaS platformu da sunuyoruz

CRA Evidence yalnızca danışmanlık hizmeti değildir. SBOM, HBOM, güvenlik açığı yönetimi, VEX, Ek VII teknik dosya ve denetime hazır kanıt paketlerini tek yerde yöneten İngilizce bir SaaS platformu da sunuyoruz. Türk imalatçılar için doğru başlangıç yine 45 dakikalık görüşmedir; ürün sınıfı, AB'ye ihracat modeli ve mevcut CE dokümantasyonu görüldükten sonra danışmanlık, platform veya ikisinin birlikte kullanımı seçilir.

Ücretsiz 45 dakikalık görüşme için randevu alın İngilizce platformu görün
Sık sorulan sorular

Türk imalatçıdan gelen ilk üç soru

Tam liste Türk imalatçılar için FAQ sayfasında.

Türkiye'de üretiyorum, CRA yine de geçerli mi?

Evet. CRA imalatçının yerleşik olduğu ülkeden bağımsız biçimde, dijital unsur içeren ürünleri AB pazarına süren her imalatçıya uygulanır. Kapsam ürünün AB'ye sürülmesiyle tetiklenir.

Tam yanıtı oku

AB alıcısının markasıyla OEM olarak satıyorum, sorumlu kim?

CRA'daki "imalatçı" rolü AB alıcısına geçer; ancak Türk üreticisi SBOM, güvenlik açığı bilgisi ve güncelleme desteğini zamanında sağlamakla sözleşmesel olarak yükümlü kalır. ODM detayları ayrı bölümdedir.

Tam yanıtı oku

Önemli son tarihler ve yaptırım tavanı nedir?

11 Eylül 2026'dan itibaren Madde 14 kapsamında ENISA'ya 24 saat erken uyarı ve 72 saat tam bildirim, 14 gün nihai rapor yükümlülüğü başlar. 11 Aralık 2027'de tam uygulama devreye girer. Yaptırım tavanı 15.000.000 EUR veya küresel yıllık cironun %2,5'idir (hangisi yüksekse).

Tam yanıtı oku

AB'de yerleşik bağımsız danışmanlık (Senda Tech Solutions S.L. · Oviedo, İspanya · 2026). Tüm kurumsal bilgi hakkında sayfasında.

Ücretsiz 45 dakikalık CRA görüşmesi için randevu alın

Ürününüzün CRA sınıfı ve öne çıkan boşluklar 45 dakikada yazılı özet olarak çıkar; ücret yok, yükümlülük yok.

Ücretsiz 45 dakikalık görüşme için randevu alın