CE İşaretiniz Var — AB Siber Dayanıklılık Yasası 2027'den İtibaren Ne Ekliyor?

CE işareti için ne yapmanız gerektiğini zaten biliyorsunuz. Teknik dosya, AB Uygunluk Beyannamesi, ilgili direktifler — bunlar sizin için sıradan bir süreç. Peki AB Siber Dayanıklılık Yasası (CRA) bu sürece ne ekliyor?

Kısa yanıt: CE işareti siber güvenliği kapsamıyor. CRA, 2027'den itibaren bu boşluğu kapatıyor — ve bunu, halihazırda yürüttüğünüz uygunluk sürecine yeni bir katman ekleyerek yapıyor.

Bu katman ne kadar büyük? Bu rehber, CE işareti sahibi Türk üreticiler için tam olarak bunu açıklıyor.

"Zaten CE işaretim var — neden başka bir şey gerekiyor?"

CE işareti, AB ürün güvenliği direktiflerine (LVD, RED, Makine Direktifi vb.) uyumluluğu belgeler. Elektrik güvenliği, elektromanyetik uyumluluk, mekanik güvenlik — bunları kapsar. Siber güvenliği kapsamaz.

Bu boşluk kasıtlıydı. AB, yazılım güvenliğini uzun yıllar boyunca ürün güvenliğinin ayrılmaz bir parçası olarak değerlendirmedi. CRA (AB Tüzüğü 2024/2847) bu yaklaşımı köklü biçimde değiştiriyor.

"Dijital unsurlar içeren ürünler" — ağa bağlı her cihaz — artık zorunlu siber güvenlik gereksinimlerine tabi. Akıllı ev aleti, endüstriyel kontrolör, araç elektroniği, HVAC sistemi, bağlı tüketici elektroniği: hepsi bu kapsama giriyor.

Net fark: CE işareti güvenlik ve EMC'yi belgeler. CRA siber güvenliği belgeler. İkisi ayrı yükümlülüklerdir. CE işaretinizin olması, CRA'yı otomatik olarak karşıladığınız anlamına gelmiyor.

CE İşareti ile CRA: Karşılaştırma

CRA'nın CE İşaretine Eklediği 5 Yükümlülük

1. SBOM — Yazılım Bileşen Listesi

Ürününüzdeki yazılımın tüm bileşenlerini, bağımlılıklarını ve sürümlerini listeleyen makine tarafından okunabilir bir belge. Üçüncü taraf açık kaynak kütüphaneler dahil.

CE işaretinde böyle bir gereklilik yok. CRA bunu zorunlu kılıyor.

Pratikte ne anlama gelir: Yazılım bileşenlerini takip eden bir süreç kurmanız gerekiyor. Syft ve cdxgen gibi araçlar bu süreci büyük ölçüde otomatikleştiriyor; mevcut CI/CD altyapınıza entegre edilebilir.

2. Güvenlik Açığı Bildirimi Kanalı (CVD Politikası)

Güvenlik araştırmacılarının ve müşterilerin güvenlik açıklarını size bildirebildiği açık ve belgelenmiş bir kanal.

CRA bu kanalın varlığını ve işlevselliğini zorunlu kılıyor. Minimum gereklilik: erişilebilir bir iletişim adresi (ürün web sayfasında security.txt veya form) ve tanımlanmış bir yanıt süreci.

3. Güvenlik Güncellemesi Taahhüdü (5 Yıl)

Ürününüzü piyasaya sürdükten sonra en az 5 yıl boyunca güvenlik güncellemelerini kullanılabilir kılacağınızı belgeleyen yazılı taahhüt.

Bu taahhüt hem teknik dosyaya hem de AB Uygunluk Beyannamesi'ne ekleniyor.

OEM üreticiler için önemli not: AB alıcınız ürününüzü kendi markasıyla satıyorsa, bu güncelleme yükümlülükleri hakkında sözleşmede net hükümlere ihtiyaç var. AB alıcınız bu belgeyi sizden talep edecek.

4. Teknik Dosyaya Siber Güvenlik Bölümü

Mevcut CE teknik dosyanız güvenlik ve EMC testlerini içeriyor. CRA buna bir siber güvenlik bölümü ekliyor:

• Siber güvenlik risk değerlendirmesi
• Tehdit modelleme (STRIDE veya benzeri metodoloji)
• Uyguladığınız güvenlik kontrollerinin listesi
• Test metodolojisi ve sonuçları
• Tespit edilen ve giderilen açıklıklar

5. ENISA Bildirim Prosedürü (2026 Eylül'den İtibaren)

Bu yükümlülük farklı bir zaman çizelgesinde başlıyor ve mevcut ürünleri de kapsıyor.

Aktif olarak istismar edilen bir güvenlik açığı tespit ettiğinizde, ENISA'ya 24 saat içinde erken uyarı göndermeniz gerekiyor. Tam bildirim için 72 saat, nihai rapor için 14–30 gün süre tanınıyor.

2026 Eylül uyarısı: Bu yükümlülük, 2027'de piyasaya çıkacak yeni ürünleri beklemiyor. AB'de bugün sattığınız bağlı ürünler 2026 Eylül'den itibaren bu bildirimi kapsamına giriyor. Bu 5 yıl sonrasının değil, bu yılın sorunudur.

Kim "İmalatçı" Sayılır? Türk Üreticiler İçin 3 Senaryo

CRA kapsamında kim hangi yükümlülüğü taşıyor? Bu, Türk ihracatçılar için kritik bir soru.

flowchart TD
    A["Türkiye'de üretiyorsunuz\nAB'ye ihraç ediyorsunuz"] --> B{"AB'de nasıl satıyorsunuz?"}
    B -->|"Doğrudan AB distribütörüne\nveya perakendeciye"| C["CRA kapsamında\nimalatçı: SİZ\n\n• Tüm yükümlülükler sizde\n• AB şubeniz yoksa\n  Yetkili Temsilci atayın\n• ENISA SRP kaydı gerekli"]
    B -->|"AB'deki kendi\nşirketiniz aracılığıyla"| D["CRA kapsamında\nimalatçı: AB ŞİRKETİNİZ\n\n• Teknik dosya ve SBOM\n  Türkiye'den geliyor\n• 24 saat bildirim için\n  bilgi akışını hazırlayın"]
    B -->|"AB alıcısı kendi\nmarkasıyla satıyor\n(OEM)"| E["CRA kapsamında\nimalatçı: AB ALICISI\n\n• Siz SBOM ve açıklık\n  verilerini sağlıyorsunuz\n• Sözleşmeye veri\n  teslim şartı eklenecek"]

Senaryo A: Doğrudan AB'ye İhracat

AB'de yerleşik bir şubeniz yoksa, CRA kapsamında "imalatçı" sizsiniz. AB içinde yerleşik bir Yetkili Temsilci atamanız zorunlu. Bu temsilci ENISA bildirim sürecinde iletişim noktanız — 24 saat erişilebilir olması gerekiyor.

Senaryo B: AB'deki Kendi Şirketiniz Üzerinden Satış

AB şirketiniz "imalatçı" sayılıyor; ancak teknik dosya ve SBOM verileri Türkiye'den geliyor. Türk üretim şirketinden AB şirketine bilgi akışının 24 saatlik ENISA bildirim zaman çizelgesiyle uyumlu olduğunu önceden belgelendirin.

Senaryo C: OEM — AB Alıcısı Kendi Markasıyla Satıyor

CRA kapsamında "imalatçı" AB alıcınız. Ama onun CRA yükümlülüklerini yerine getirebilmesi için SBOM verilerinizi ve güvenlik açığı bilgilerinizi zamanında sağlamak sizin sorumluluğunuzda. AB alıcılarınız bunu 2026–2027'de sözleşme şartı haline getirecek. Hazırlıksız olmak sipariş kaybettirmez — sizi tedarik zincirinin dışına iter.

Uygulama Takvimi

flowchart LR
    A["📅 Bugün\nHazırlık başlasın:\nSBOM, CVD kanalı,\nYetkili Temsilci"] --> B["⚠️ Eylül 2026\nENISA bildirim\nyükümlülüğü başlıyor\nMevcut ürünler dahil"]
    B --> C["✅ Aralık 2027\nYeni ürünler için\nCRA tam uyum\nzorunlu"]
    C --> D["🔄 2028+\n5 yıl güncelleme\ntaahhüdü sürer\nSBOM bakımı devam eder"]

Önemli not: "2027'ye kadar süre var" yorumu kısmen doğru. Yeni ürünler için teknik dosya ve CE+CRA uyumu için 2027 sonu hedefi makul. Ama ENISA bildirim yükümlülüğü 2026 Eylül'de başlıyor ve bugün sattığınız ürünler için geçerli.

AB Alıcılarınız 2026–2027'de Sizden Ne İsteyecek?

Büyük AB distribütörleri, perakendeciler ve sistem entegratörleri CRA için hazırlanıyor. 2026 itibarıyla tedarik sözleşmelerine şu şartların eklendiğini görmeye başlayacaksınız:

Bunların hiçbiri "hemen tamamen uyumlu olun" anlamına gelmiyor. Hazırlıklı olduğunuzu gösterin, plan sunun, belgelerinizi başlatın — bu erken dönemde yeterli. Ama hiçbir şey yapmayanlar 2026 sonu itibarıyla alıcı kaybedecek.

Hazırlık Kontrol Listesi

□ Adım 1: Kapsamı belirleyin
  AB'ye ihraç ettiğiniz ve "dijital unsur" içeren ürünleri listeleyin.
  Ağa bağlı her şey kapsama giriyor: akıllı ev aleti, endüstriyel
  kontrolör, araç elektroniği, HVAC, bağlı tüketici ürünleri.

□ Adım 2: İmalatçı rolünüzü netleştirin
  Senaryo A, B veya C hangisi? AB'de şubeniz var mı?
  OEM olarak mı satıyorsunuz? Yetkili Temsilci gerekiyor mu?

□ Adım 3: Yazılım bileşenlerini haritalayın
  Her ürün için: hangi açık kaynak kütüphaneler, hangi sürümler?
  Syft veya cdxgen ile SBOM taslağı oluşturun.

□ Adım 4: Güvenlik açığı bildirimi kanalı açın
  Minimum: security.txt, güvenlik raporu için e-posta adresi.
  Yanıt sürecinizi belgeleyin. CVD politikasını web sitesine ekleyin.

□ Adım 5: 5 yıl güncelleme politikası yazın
  Güvenlik güncellemelerini ne zaman, hangi kanaldan yayınlarsınız?
  End-of-life tarihi nedir? Bu belgeyi teknik dosyanıza ekleyin.

□ Adım 6: ENISA bildirim prosedürü hazırlayın
  Aktif bir güvenlik açığını kim, nasıl, 24 saat içinde bildiriyor?
  Türkiye'den AB'ye bilgi akışını belgelendirin. (2026 Eylül son tarihi)

□ Adım 7: Mevcut teknik dosyanızı güncelleyin
  CE teknik dosyanıza siber güvenlik risk değerlendirmesi
  ve güncelleme taahhüdü bölümleri ekleyin.

CRA Evidence ile Görüşün

CE işaretini zaten yönetiyorsanız, CRA'ya geçiş sıfırdan başlamak değil. Mevcut uyumluluk altyapınız üzerine siber güvenlik katmanı ekliyorsunuz.

CRA Evidence, AB'ye ihracat yapan Türk üreticilere şu hizmetleri sunuyor:

• CRA kapsam analizi ve imalatçı rolü değerlendirmesi
• SBOM oluşturma ve sürdürme altyapısı kurulumu
• Teknik dosyaya siber güvenlik bölümü hazırlanması
• AB Uygunluk Beyannamesi CRA eki
• ENISA bildirim prosedürü dokümantasyonu
• Yetkili Temsilci atama rehberliği

Ücretsiz CRA değerlendirmesi talep edin →

Bu içerik bilgilendirme amaçlı olup hukuki tavsiye niteliği taşımamaktadır. AB ürün mevzuatı kapsamındaki uyumluluk gereksinimleri için AB hukukuna hâkim bir hukuk danışmanına başvurmanızı öneririz.