CE İşaretiniz Var: CRA 2027'den İtibaren Ne Ekliyor?

CE işareti siber güvenliği kapsamıyor. CRA'da ENISA'ya güvenlik açığı bildirimi 2026 Eylül'de, SBOM ve 5 yıl güncelleme 2027 Aralık'ta başlıyor.

CRA Evidence Team Yayınlandı 24 Mart 2026 Güncellendi 21 Haziran 2026
CE uyumluluk belgesi ve siber güvenlik teknik dosyasını gösteren masa üstü çalışma ortamı, AB ihracatına hazırlanan Türk üretici için
Bu makalede

CE işareti için ne yapmanız gerektiğini zaten biliyorsunuz. Teknik dosya, AB Uygunluk Beyannamesi, ilgili direktifler: bunlar sizin için sıradan bir süreç. Peki AB Siber Dayanıklılık Yasası (CRA) bu sürece ne ekliyor?

Kısa yanıt: CE işareti siber güvenliği kapsamıyor. CRA, 2027'den itibaren bu boşluğu kapatıyor; bunu, halihazırda yürüttüğünüz uygunluk sürecine yeni bir katman ekleyerek yapıyor.

Bu katman ne kadar büyük? Bu rehber, CE işareti sahibi Türk üreticiler için tam olarak bunu açıklıyor.

AB markası, OEM, ithalatçı, distribütör ve yetkili temsilci ayrımını daha ayrıntılı görmek için Türk ihracatçılar için CRA rol rehberi ile birlikte okuyun.

Özet

  • 2027 yılı sonu: CRA, piyasaya sürülen tüm yeni bağlı ürünler için zorunlu hale geliyor
  • 2026 Eylül: Güvenlik açığı bildirimi yükümlülükleri, mevcut ürünlere de uygulanmaya başlıyor
  • CE işareti geçerliliğini koruyor: CRA, CE işaretinin yerini almıyor; buna ek bir yükümlülük
  • İmalatçı kim sayılır: Türkiye'de üretip AB'ye doğrudan ihraç ediyorsanız, CRA kapsamında "imalatçı" sizsiniz
  • AB alıcılarınız 2026–2027'den itibaren ürünlerinizin CRA belgelerini talep edecek
  • 5 yeni yükümlülük: SBOM, güvenlik açığı bildirimi kanalı, yazılım güncelleme taahhüdü, teknik dosyaya siber güvenlik bölümü, ENISA bildirim prosedürü

"Zaten CE işaretim var, neden başka bir şey gerekiyor?"

CE işareti, AB ürün güvenliği direktiflerine (LVD, RED, Makine Direktifi vb.) uyumluluğu belgeler. Elektrik güvenliği, elektromanyetik uyumluluk, mekanik güvenlik: bunları kapsar. Siber güvenliği kapsamaz.

Bu boşluk kasıtlıydı. AB, yazılım güvenliğini uzun yıllar boyunca ürün güvenliğinin ayrılmaz bir parçası olarak değerlendirmedi. CRA (AB Tüzüğü 2024/2847) bu yaklaşımı köklü biçimde değiştiriyor.

"Dijital unsurlar içeren ürünler", yani ağa bağlı her cihaz, artık zorunlu siber güvenlik gereksinimlerine tabi. Akıllı ev aleti, endüstriyel kontrolör, araç elektroniği, HVAC sistemi, bağlı tüketici elektroniği: hepsi bu kapsama giriyor.

Net fark: CE işareti güvenlik ve EMC'yi belgeler. CRA siber güvenliği belgeler. İkisi ayrı yükümlülüklerdir. CE işaretinizin olması, CRA'yı otomatik olarak karşıladığınız anlamına gelmiyor.

CE İşareti ile CRA: Karşılaştırma

CE İşareti CRA
Kapsadığı alan Güvenlik, EMC, belirli ürün direktifleri Siber güvenlik
Zorunlu olduğu ürünler Direktif kapsamındaki fiziksel ürünler Dijital unsur içeren bağlı ürünler
Teknik dosya Güvenlik testleri, devre şemaları, risk değerlendirmesi + SBOM, siber güvenlik risk analizi, güncelleme politikası
AB Uygunluk Beyannamesi İlgili direktiflere uyumu beyan eder + CRA uyumunu beyan eden ek madde gerekiyor
Piyasa sonrası yükümlülük Sınırlı (güvenlik geri çağırması gibi istisnalar hariç) 5 yıl güvenlik güncellemesi, aktif güvenlik açığı bildirimi
Bildirim yükümlülüğü Ciddi olaylar için ulusal otorite bildirim Aktif istismar edilen açıklar için ENISA'ya 24 saat bildirim

CRA'nın CE İşaretine Eklediği 5 Yükümlülük

1. SBOM: Yazılım Bileşen Listesi

Ürününüzdeki yazılımın tüm bileşenlerini, bağımlılıklarını ve sürümlerini listeleyen makine tarafından okunabilir bir belge. Üçüncü taraf açık kaynak kütüphaneler dahil.

CE işaretinde böyle bir gereklilik yok. CRA bunu zorunlu kılıyor.

Pratikte ne anlama gelir: Yazılım bileşenlerini takip eden bir süreç kurmanız gerekiyor. Syft ve cdxgen gibi araçlar bu süreci büyük ölçüde otomatikleştiriyor; mevcut CI/CD altyapınıza entegre edilebilir.

2. Güvenlik Açığı Bildirimi Kanalı (CVD Politikası)

Güvenlik araştırmacılarının ve müşterilerin güvenlik açıklarını size bildirebildiği açık ve belgelenmiş bir kanal.

CRA bu kanalın varlığını ve işlevselliğini zorunlu kılıyor. Minimum gereklilik: erişilebilir bir iletişim adresi (ürün web sayfasında security.txt veya form) ve tanımlanmış bir yanıt süreci.

3. Güvenlik Güncellemesi Taahhüdü (5 Yıl)

Ürününüzü piyasaya sürdükten sonra en az 5 yıl boyunca güvenlik güncellemelerini kullanılabilir kılacağınızı belgeleyen yazılı taahhüt.

Bu taahhüt hem teknik dosyaya hem de AB Uygunluk Beyannamesi'ne ekleniyor.

OEM üreticiler için önemli not: AB alıcınız ürününüzü kendi markasıyla satıyorsa, bu güncelleme yükümlülükleri hakkında sözleşmede net hükümlere ihtiyaç var. AB alıcınız bu belgeyi sizden talep edecek.

4. Teknik Dosyaya Siber Güvenlik Bölümü

Mevcut CE teknik dosyanız güvenlik ve EMC testlerini içeriyor. CRA buna bir siber güvenlik bölümü ekliyor:

  • Siber güvenlik risk değerlendirmesi
  • Tehdit modelleme (STRIDE veya benzeri metodoloji)
  • Uyguladığınız güvenlik kontrollerinin listesi
  • Test metodolojisi ve sonuçları
  • Tespit edilen ve giderilen açıklıklar

5. ENISA Bildirim Prosedürü (2026 Eylül'den İtibaren)

Bu yükümlülük farklı bir zaman çizelgesinde başlıyor ve mevcut ürünleri de kapsıyor.

Aktif olarak istismar edilen bir güvenlik açığı tespit ettiğinizde, ENISA'ya 24 saat içinde erken uyarı göndermeniz gerekiyor. Tam bildirim için 72 saatiniz var; nihai rapor ise düzeltici veya azaltıcı bir önlem hazır olduktan sonra 14 gün içinde verilir. Önemli siber olaylarda nihai rapor, olay bildiriminden sonra bir ay içindedir.

2026 Eylül uyarısı: Bu yükümlülük, 2027'de piyasaya çıkacak yeni ürünleri beklemiyor. AB'de bugün sattığınız bağlı ürünler 2026 Eylül'den itibaren bu bildirimi kapsamına giriyor. Bu 5 yıl sonrasının değil, bu yılın sorunudur.

SRP durumu (18 Haziran 2026): ENISA, SRP erişim ve kayıt talimatları ile eğitim / kuru prova materyalini Haziran 2026 içinde yayımlayacağını belirtiyor. Bu aşamada hazır API yok; 24 saatlik SOP'u manuel platform akışına göre prova edin ve bildirimden önce ENISA SRP sayfasını kontrol edin.

Kim "İmalatçı" Sayılır? Türk Üreticiler İçin 3 Senaryo

CRA kapsamında kim hangi yükümlülüğü taşıyor? Bu, Türk ihracatçılar için kritik bir soru.

flowchart TD
    A["Türkiye'de üretiyorsunuz\nAB'ye ihraç ediyorsunuz"] --> B{"AB'de nasıl satıyorsunuz?"}
    B -->|"Doğrudan AB distribütörüne\nveya perakendeciye"| C["CRA kapsamında\nimalatçı: SİZ\n\n• Tüm yükümlülükler sizde\n• AB Yetkili Temsilcisi:\n  Madde 18(1) - opsiyonel\n• ENISA SRP kaydı gerekli"]
    B -->|"AB'deki kendi\nşirketiniz aracılığıyla"| D["CRA kapsamında\nimalatçı: AB ŞİRKETİNİZ\n\n• Teknik dosya ve SBOM\n  Türkiye'den geliyor\n• 24 saat bildirim için\n  bilgi akışını hazırlayın"]
    B -->|"AB alıcısı kendi\nmarkasıyla satıyor\n(OEM)"| E["CRA kapsamında\nimalatçı: AB ALICISI\n\n• Siz SBOM ve açıklık\n  verilerini sağlıyorsunuz\n• Sözleşmeye veri\n  teslim şartı eklenecek"]

Senaryo A: Doğrudan AB'ye İhracat

AB'de yerleşik bir şubeniz yoksa, CRA kapsamında "imalatçı" sizsiniz. CRA Madde 18(1) uyarınca AB'de yerleşik bir AB Yetkili Temsilcisi yazılı vekâletle atayabilirsiniz; atama opsiyoneldir ve MDR Madde 11 ile RED Madde 5'in aksine CRA AB dışı imalatçılar için zorunlu kılmaz. Operasyonel olarak atayanlar için temsilci, Madde 18(3) görev tanımına göre piyasa gözetim otoriteleriyle iletişim ve teknik dosya / AB Uygunluk Beyannamesi'nin 10 yıl saklanması gibi rolleri üstlenir.

Senaryo B: AB'deki Kendi Şirketiniz Üzerinden Satış

AB şirketiniz "imalatçı" sayılıyor; ancak teknik dosya ve SBOM verileri Türkiye'den geliyor. Türk üretim şirketinden AB şirketine bilgi akışının 24 saatlik ENISA bildirim zaman çizelgesiyle uyumlu olduğunu önceden belgelendirin.

Senaryo C: OEM, AB Alıcısı Kendi Markasıyla Satıyor

CRA kapsamında "imalatçı" AB alıcınız. Ama onun CRA yükümlülüklerini yerine getirebilmesi için SBOM verilerinizi ve güvenlik açığı bilgilerinizi zamanında sağlamak sizin sorumluluğunuzda. AB alıcılarınız bunu 2026–2027'de sözleşme şartı haline getirecek. Hazırlıksız olmak sipariş kaybettirmez; sizi tedarik zincirinin dışına iter.

Uygulama Takvimi 

flowchart LR
    A["📅 Bugün\nHazırlık başlasın:\nSBOM, CVD kanalı,\nYetkili Temsilci"] --> B["⚠️ Eylül 2026\nENISA bildirim\nyükümlülüğü başlıyor\nMevcut ürünler dahil"]
    B --> C["✅ Aralık 2027\nYeni ürünler için\nCRA tam uyum\nzorunlu"]
    C --> D["🔄 2028+\n5 yıl güncelleme\ntaahhüdü sürer\nSBOM bakımı devam eder"]

Önemli not: "2027'ye kadar süre var" yorumu kısmen doğru. Yeni ürünler için teknik dosya ve CE+CRA uyumu için 2027 sonu hedefi makul. Ama ENISA bildirim yükümlülüğü 2026 Eylül'de başlıyor ve bugün sattığınız ürünler için geçerli.

AB Alıcılarınız 2026–2027'de Sizden Ne İsteyecek?

Büyük AB distribütörleri, perakendeciler ve sistem entegratörleri CRA için hazırlanıyor. 2026 itibarıyla tedarik sözleşmelerine şu şartların eklendiğini görmeye başlayacaksınız:

Talep Zaman Çizelgesi
SBOM teslimi: ürünle birlikte veya portal erişimi 2026 itibarıyla bazı alıcılar
Güvenlik açığı bildirimi prosedürü: yazılı belge 2026–2027
5 yıl güncelleme taahhüdü: sözleşme eki 2026–2027
ENISA bildirim kapasitesi kanıtı: Yetkili Temsilci belgesi 2026 Eylül sonrası
CRA uyumluluğuna geçiş planı 2027 öncesi

Bunların hiçbiri "hemen tamamen uyumlu olun" anlamına gelmiyor. Hazırlıklı olduğunuzu gösterin, plan sunun, belgelerinizi başlatın; bu erken dönemde yeterli. Ama hiçbir şey yapmayanlar 2026 sonu itibarıyla alıcı kaybedecek.

Sıkça Sorulan Sorular

AB'ye distribütör üzerinden satış yapıyorsak CRA yine bize uygulanır mı?

Evet, ürünü kendi adınız veya markanız altında AB pazarına sunuyorsanız CRA kapsamında imalatçı yükümlülükleri sizde kalır. AB'deki distribütör veya ithalatçı bazı kontrol görevleri üstlenir, ancak SBOM, teknik dosya, güvenlik güncellemesi ve Madde 14 bildirimi üretici sorumluluğunu ortadan kaldırmaz. OEM senaryosunda AB alıcınız kendi markasıyla satıyorsa imalatçı rolü ona geçebilir; bu durumda sizin SBOM ve güvenlik açığı verisini sözleşmeyle zamanında sağlamanız gerekir.

CE işareti dosyamız CRA için ne kadar yeniden kullanılabilir?

Ürün tanımı, devre şemaları, test raporları, risk değerlendirmesi ve AB Uygunluk Beyannamesi altyapısı yeniden kullanılabilir. Eksik kalan bölüm siber güvenliktir: CRA Ek I riskleri, SBOM, güvenlik açığı yönetim süreci, güncelleme politikası ve Ek VII teknik dosya kanıtları ayrıca hazırlanmalıdır. Bu nedenle CRA, CE sürecinin yerine geçmez; mevcut CE dosyasına yeni bir siber güvenlik katmanı ekler.

Türkiye'deki TSE veya BTK süreçleri CRA uyumu sayılır mı?

Hayır, tek başına sayılmaz. TSE, BTK veya USOM süreçleri Türkiye iç pazarına ve ulusal siber güvenlik rejimine ilişkindir; CRA ise AB pazarına arz edilen dijital unsur içeren ürünlerin CE uygunluğuna eklenen AB tüzüğüdür. Mevcut test raporları ve teknik dokümanlar kanıt olarak kullanılabilir, ancak ENISA bildirimi, SBOM ve CRA Ek VII dosyası ayrıca yönetilmelidir.

SBOM'u müşteriye mi, otoriteye mi, yoksa teknik dosyada mı tutmalıyız?

CRA, makine tarafından okunabilir yazılım bileşen listesinin teknik dokümantasyonun parçası olarak hazırlanmasını gerektirir. SBOM'u her yazılım sürümü için arşivleyin, teknik dosyaya bağlayın ve piyasa gözetim otoritesi talep ettiğinde sunabilecek durumda olun. AB alıcıları da 2026 ve 2027 sözleşmelerinde SBOM teslimi veya portal erişimi talep edebilir.

AB Yetkili Temsilcisi atamak zorunda mıyız?

CRA Madde 18(1) atamayı zorunlu kılmaz; AB dışında yerleşik imalatçı yazılı vekâletle AB Yetkili Temsilcisi atayabilir. Atamayı seçerseniz Madde 18(3) kapsamındaki görevleri yazılı vekâlette açıkça tanımlayın: teknik dosyanın ve AB Uygunluk Beyannamesinin saklanması, piyasa gözetim otoriteleriyle yazışma ve ürün listelerinin tutulması. Atamamayı seçerseniz AB ithalatçısı veya doğrudan otorite yanıt yolunu yazılı hale getirin.

Hazırlığı nereden başlatmalıyız?

Önce AB'ye giden dijital unsur içeren ürün envanterini çıkarın, ardından imalatçı rolünüzü ve CRA sınıflandırmasını yazılı olarak belirleyin. Sonraki adım SBOM üretimi, CVD kanalı, 24 saat ENISA bildirim SOP'u ve Ek VII teknik dosya boşluk analizidir. Kapsam ve önceliklendirmeyi dışarıdan kontrol ettirmek istiyorsanız CRA Evidence değerlendirme sayfasından başvurabilirsiniz.

2026 Eylül'ünden önce içeride tamamlanacak 7 iş

  1. AB ürün envanterini çıkarın. AB'ye ihraç ettiğiniz ve dijital unsur içeren tüm ürünleri model, firmware sürümü, ağ bağlantısı ve satış kanalı bazında listeleyin. CRA Madde 2 kapsam kontrolü bu listenin üzerine kurulmalıdır.
  2. İmalatçı rolünüzü yazılı olarak belirleyin. Doğrudan ihracat, AB şirketi üzerinden satış ve OEM senaryolarını ayrı işaretleyin. AB alıcısı kendi markasıyla satıyorsa SBOM ve güvenlik açığı verisi teslimini sözleşmeye ekleyin.
  3. Ürün sınıflandırmasını tamamlayın. Ek III ve Ek IV listelerini her ürün ailesi için kontrol edin. Şüpheli ürünler için CRA ürün sınıflandırma rehberindeki karar ağacını kullanın.
  4. SBOM üretimini deneme hattına alın. Syft veya cdxgen ile CycloneDX ya da SPDX çıktısı üretin. Her firmware sürümü için çıktı arşivi tutun ve tedarikçi bileşenlerini ayrı işaretleyin.
  5. CVD kanalını yayınlayın. RFC 9116 uyumlu `security.txt`, güvenlik raporu e-posta adresi ve triage sorumlularını belirleyin. Bu kanal CRA Ek I Bölüm II güvenlik açığı yönetimi için operasyonel temel olur.
  6. ENISA bildirim SOP'unu prova edin. Madde 14 için 24 saat erken uyarı, 72 saat bildirim ve düzeltici önlem hazır olduktan sonra 14 gün içinde nihai rapor akışını yazın. SRP'de hazır API olmadığı için manuel gönderim adımını da hafta sonu ve resmi tatil senaryosuyla masa başı prova yapın.
  7. CE teknik dosyasına CRA ekini açın. Ek VII formatına göre siber güvenlik risk değerlendirmesi, SBOM referansı, güncelleme politikası, CVD süreci ve AB Uygunluk Beyannamesi CRA maddesini ayrı bölüm olarak hazırlayın.

Bu içerik bilgilendirme amaçlı olup hukuki tavsiye niteliği taşımamaktadır. AB ürün mevzuatı kapsamındaki uyumluluk gereksinimleri için AB hukukuna hâkim bir hukuk danışmanına başvurmanızı öneririz.

CRA CE İşareti Türk Üreticiler İhracat Uyumluluğu
Share

İlgili Makaleler

Tüm makalelere dön

CRA ürününüze uygulanıyor mu?

Ürününüzün AB Siber Dayanıklılık Yasası kapsamına girip girmediğini öğrenmek için 6 basit soruyu yanıtlayın. Sonucunuzu 2 dakikadan kısa sürede alın.

Şimdi Kontrol Et