CRA Ürün Sınıflandırması: Ürününüz Varsayılan, Önemli mi Yoksa Kritik mi?

CRA uygunluk değerlendirme yolunuz, ürün sınıflandırmanıza bağlıdır. "Önemli" ve "Kritik" ürünler zorunlu üçüncü taraf değerlendirmesiyle karşı karşıyadır. "Varsayılan" ürünler ise kendi kendine sertifika alabilir.

CRA'nın Dört Ürün Kategorisi

CRA, dijital unsur içeren ürünleri siber güvenlik riskine göre dört katmana ayırır:

Varsayılan Ürünler

Ürünlerin büyük çoğunluğu bu kategoriye girer. Ürününüz Annex III veya IV'te özel olarak listelenmemişse "Varsayılan" kategoridedir.

Uygunluk değerlendirmesi: Öz değerlendirme (Module A) yeterlidir.

Örnekler:

• Basit IoT sensörleri
• Temel tüketici elektroniği
• Standart iş yazılımı
• Genel amaçlı uygulamalar
• Ağa bağlı olmayan gömülü cihazlar

Önemli Sınıf I (Annex III, Bölüm I)

İşlevi veya kullanıcı tabanı nedeniyle yüksek risk taşıyan ürünler.

Uygunluk değerlendirmesi: İlgili uyumlaştırılmış standartları tam olarak uygulamanız halinde öz değerlendirmeye izin verilir. Aksi takdirde üçüncü taraf değerlendirmesi zorunludur.

Annex III, Bölüm I'deki tam liste:

1. Biyometrik okuyucular dahil kimlik doğrulama ve erişim kontrol okuyucularını kapsayan kimlik yönetimi sistemleri ile ayrıcalıklı erişim yönetimi yazılım ve donanımları
2. Bağımsız ve gömülü tarayıcılar
3. Parola yöneticileri
4. Kötü amaçlı yazılımları arayan, kaldıran veya karantinaya alan yazılımlar
5. Sanal özel ağ (VPN) işlevine sahip dijital unsur içeren ürünler
6. Ağ yönetim sistemleri
7. Güvenlik bilgileri ve olay yönetimi (SIEM) sistemleri
8. Önyükleme yöneticileri
9. Açık anahtar altyapısı ve dijital sertifika yayımlama yazılımları
10. Fiziksel ve sanal ağ arabirimleri
11. İşletim sistemleri
12. Yönlendiriciler, internete bağlantı amacıyla tasarlanmış modemler ve anahtarlar
13. Güvenlikle ilgili işlevlere sahip mikroişlemciler
14. Güvenlikle ilgili işlevlere sahip mikrodenetleyiciler
15. Güvenlikle ilgili işlevlere sahip uygulamaya özgü entegre devreler (ASIC) ve sahaya programlanabilir kapı dizileri (FPGA)
16. Genel amaçlı akıllı ev sanal asistanları
17. Akıllı kapı kilitleri, güvenlik kameraları, bebek izleme sistemleri ve alarm sistemleri dahil güvenlik işlevlerine sahip akıllı ev ürünleri
18. Sosyal etkileşim özelliklerine (konuşma veya görüntü kaydetme gibi) ya da konum takip özelliklerine sahip, Direktif 2009/48/EC kapsamındaki internet bağlantılı oyuncaklar
19. Regulation (EU) 2017/745 veya (EU) No 2017/746 kapsamına girmeyen, sağlık izleme (takip gibi) amacıyla insan vücuduna takılan veya yerleştirilen kişisel giyilebilir ürünler ya da çocuklar tarafından ve çocuklar için kullanılması amaçlanan kişisel giyilebilir ürünler

Önemli Sınıf II (Annex III, Bölüm II)

Zorunlu üçüncü taraf değerlendirmesi gerektiren daha yüksek riskli ürünler.

Uygunluk değerlendirmesi: Üçüncü taraf (Onaylanmış Kuruluş) değerlendirmesi zorunludur. Öz değerlendirme seçeneği yoktur.

Annex III, Bölüm II'deki tam liste:

1. İşletim sistemlerinin ve benzeri ortamların sanallaştırılmış yürütülmesini destekleyen hiper yöneticiler ve konteyner çalışma zamanı sistemleri
2. Güvenlik duvarları, saldırı tespit ve önleme sistemleri
3. Kurcalamaya karşı dayanıklı mikroişlemciler
4. Kurcalamaya karşı dayanıklı mikrodenetleyiciler

Kritik Ürünler (Annex IV)

En yüksek risk kategorisi. Donanım güvenlik modülleri ve benzeri ürünler.

Uygunluk değerlendirmesi: Üçüncü taraf değerlendirmesi ARTI "önemli" düzeyde veya daha yüksek AB Siber Güvenlik Sertifikasyonu (EUCC).

Annex IV'teki tam liste:

1. Güvenlik Kutulu Donanım Cihazları
2. Direktif (EU) 2019/944'ün 2. maddesi (23) numaralı bendinde tanımlanan akıllı sayaç sistemlerindeki akıllı sayaç ağ geçitleri ve güvenli kriptoislemcileme dahil gelişmiş güvenlik amaçlı diğer cihazlar
3. Güvenli unsurlar dahil akıllı kartlar veya benzeri cihazlar

Karar Ağacı: Kategorinizi Belirleme

Ürününüzü sınıflandırmak için şu süreci izleyin:

BAŞLANGIÇ: Ürününüz dijital unsur içeriyor mu?
│
├─ HAYIR → CRA kapsamında değil. Burada durabilirsiniz.
│
└─ EVET → Annex IV'te (Kritik ürünler) listelenmiş mi?
     │
     ├─ EVET → KRİTİK
     │         Üçüncü taraf + EUCC sertifikasyonu zorunlu
     │
     └─ HAYIR → Annex III, Bölüm II'de (Önemli Sınıf II) listelenmiş mi?
          │
          ├─ EVET → ÖNEMLİ SINIF II
          │         Üçüncü taraf değerlendirmesi zorunlu
          │
          └─ HAYIR → Annex III, Bölüm I'de (Önemli Sınıf I) listelenmiş mi?
               │
               ├─ EVET → ÖNEMLİ SINIF I
               │         Standartlarla üçüncü taraf VEYA öz değerlendirme
               │
               └─ HAYIR → VARSAYILAN
                           Öz değerlendirme (Module A) yeterli

Kategoriye Göre Uygunluk Değerlendirme Yolları

Module A, teknik dosya, AB Uygunluk Beyannamesi ve CE işaretlemesinden oluşan tam öz değerlendirme döngüsüdür. Harici denetçi gerekmez.

Module B+C işi ikiye böler: Onaylanmış Kuruluş bir tip örneği inceler ve sertifika düzenler (Module B); üretici daha sonra tüm üretimin bu tipe uygunluğunu sağlar (Module C).

Module H, ürün bazındaki yaklaşımın yerine üreticinin kalite yönetim sisteminin denetimini koyar. Geniş bir ürün portföyünüz varsa daha uygundur.

EUCC, Kritik ürünler için Module B+C veya H'nin üzerine eklenir. AB Siber Güvenlik Yasası kapsamında "önemli" veya daha yüksek güvence düzeyinde akredite bir uygunluk değerlendirme kuruluşu tarafından düzenlenir.

Sınır Durumlar: Karar Nasıl Verilir?

Her ürün tek bir kategoriye tam olarak girmeyebilir. En yaygın sınır durumlar şunlardır:

Çok İşlevli Ürünler

Kural: Herhangi bir işlev daha yüksek bir kategoriyi tetikliyorsa, tüm ürün o düzeyde sınıflandırılır.

Örnek: Şunları içeren bir akıllı ev merkezi:

• Temel otomasyon kontrolü (Varsayılan)
• VPN işlevi (Önemli Sınıf I)
• Güvenlik kamerası entegrasyonu (Önemli Sınıf I)

Sınıflandırma: Önemli Sınıf I (tetiklenen en yüksek kategori)

Gömülü Bileşenler

Kural: Güvenlikle ilgili bileşenlerin sınıflandırmayı tetikleyip tetiklemediğini değerlendirin.

Örnek: Şunları içeren bir tüketici cihazı:

• Genel amaçlı mikrodenetleyici → Varsayılan
• "Güvenlikle ilgili işlevlere sahip" mikrodenetleyici → Önemli Sınıf I

Temel soru: Mikrodenetleyici güvenlik işlevleri (şifreleme, kimlik doğrulama, güvenli önyükleme) gerçekleştiriyor mu?

"Amaçlanan Kullanım" Değerlendirmeleri

Bazı Annex III kalemleri amaçlanan kullanımı veya ürün bağlamını belirtir (örneğin "Direktif 2009/48/EC kapsamındaki bağlı oyuncaklar" veya Regulation 2017/745 ve 2017/746'ya atıfta bulunan sağlık izleme giyilebilir ürünlerine ilişkin maddeler).

Ürününüz bu bağlamlarda kullanılabilir ancak özellikle bu amaç için tasarlanmamışsa sınıflandırma geçerli olmayabilir. Amaçlanan kullanımı açıkça belgeleyin.

İşletim Sistemleri

İşletim sistemleri yalnızca Annex III Bölüm I'de (Önemli Sınıf I) yer almaktadır. Sınıf II'de işletim sistemi kategorisi bulunmamaktadır:

Örnek: Gömülü cihazlar için özel bir Linux dağıtımı genellikle Önemli Sınıf I olur. Ubuntu Server Önemli Sınıf I'dir.

Yazılım ile Donanım Karşılaştırması

Sınıflandırma, ürünü piyasaya sürüldüğü haliyle ele alır:

• Bağımsız yazılım: Yazılım işlevine göre sınıflandırılır
• Gömülü yazılımlı donanım: Birleşik işlevselliğe göre sınıflandırılır
• Ayrıca satılan yazılım bileşeni: Bağımsız olarak sınıflandırılır

Sektöre Özgü Rehberlik

IoT Cihaz Üreticileri

IoT cihazlarının büyük çoğunluğu Varsayılan kategoridedir; şu durumlar hariç:

• VPN işlevi içeriyorsa → Sınıf I
• Akıllı ev güvenlik cihazıysa → Sınıf I
• Endüstriyel IoT ise → Sınıf I veya II
• Kurcalamaya karşı dayanıklı güvenlik özellikleri içeriyorsa → Sınıf II

Yazılım Şirketleri

Yazılımların büyük çoğunluğu özellikle listelenmemişse Varsayılan kategoridedir:

• Tarayıcılar, parola yöneticileri, kötü amaçlı yazılım önleme → Sınıf I
• Ağ güvenliği araçları (güvenlik duvarları, IDS) → Sınıf II
• İşletim sistemleri → Sınıf I

Gömülü Sistemler

Sınıflandırma büyük ölçüde şu faktörlere bağlıdır:

• Mikrodenetleyicilerin/mikroişlemcilerin güvenlik işlevleri
• Ürünün endüstriyel/profesyonel kullanım için olup olmadığı
• Hedef dağıtım ortamı (kritik altyapı?)

Tıbbi Cihazlar

Tıbbi cihazlar CRA kapsamı dışındadır (MDR/IVDR kapsamındadır). Ancak eşlik eden yazılım veya tıbbi olmayan işlevler kapsam dahilinde olabilir.

Onaylanmış Kuruluş Bulma

Üçüncü taraf değerlendirmesi gerektiren ürünler için:

1. NANDO veritabanını kontrol edin: AB'nin resmi Onaylanmış Kuruluşlar listesi
2. CRA'ya özgü yetkilendirme arayın: Kuruluşların CRA uygunluk değerlendirmesi için yetkilendirilmiş olması gerekir
3. Kapasiteyi göz önünde bulundurun: CRA'nın erken benimseme aşaması, sınırlı Onaylanmış Kuruluş müsaitliği anlamına gelir
4. Coğrafi değerlendirme: Bölgenizdeki bir Onaylanmış Kuruluşla çalışmak daha kolay olabilir

CRA'nın Onaylanmış Kuruluş yetkilendirme süreci devam etmektedir. Güncel yetkilendirilmiş kuruluşlar listesi için NANDO veritabanını doğrudan kontrol edin.

Yaygın Sınıflandırma Hataları

Önemli: Sınıflandırma, pazar sektörüne, şirket büyüklüğüne veya ürün karmaşıklığına değil ürünün işlevine göre yapılır. Annex III ve IV listelerini her zaman kontrol edin.

"Tüketici ürünü = Varsayılan"

Yanlış. Sınıflandırma işleve göre yapılır, pazara göre değil.

Tüketicilere satılan bir akıllı kapı kilidi, tüketici pazarını hedef almasından bağımsız olarak "güvenlik işlevine sahip akıllı ev ürünü" olduğu için Önemli Sınıf I'dir.

"B2B olduğumuz için daha düşük sınıflandırma"

Yanlış. B2B ve B2C sınıflandırmayı etkilemez.

İş müşterileri için endüstriyel IoT ürünleri, işlevlerine bağlı olarak Önemli Sınıf I veya II olabilir.

"Ürünümüz küçük/basit, dolayısıyla Varsayılan"

Belki yanlış. Boyut ve karmaşıklık sınıflandırmayı belirlemez.

Güvenlik işlevleri olan küçük bir mikrodenetleyici Önemli Sınıf I olabilir. Listeli işlevleri olmayan büyük ve karmaşık bir ürün Varsayılan olabilir.

"ISO 27001'imiz var, dolayısıyla uyumluyuz"

Yanlış. ISO 27001, ürün uygunluk değerlendirmesi için değil kurumsal bilgi güvenliği için geçerlidir.

CRA, kurumsal sertifikalara bakılmaksızın ürüne özgü uygunluk değerlendirmesi gerektirir.

Ürün Sınıflandırma Kontrol Listesi

ÜRÜN SINIFLANDIRMA KONTROL LİSTESİ

Ürün: _______________________________________
Tarih: _______________________________________

İLK KAPSAM KONTROLÜ:
[ ] Ürün dijital unsur içeriyor (yazılım ve/veya veri bağlantısı)
[ ] Ürün AB pazarına sunulacak
[ ] Ürün kapsam dışı değil (tıbbi, otomotiv, havacılık, askeri)

ANNEX IV KONTROLÜ (KRİTİK):
[ ] Güvenlik kutulu donanım cihazı değil
[ ] Direktif (EU) 2019/944 Madde 2(23)'te tanımlandığı üzere akıllı sayaç ağ geçidi veya gelişmiş güvenlik amaçlı başka bir cihaz değil
[ ] Güvenli unsurlar dahil akıllı kart veya benzeri cihaz değil

Yukarıdakilerden herhangi biri EVET ise → KRİTİK (burada durun)

ANNEX III BÖLÜM II KONTROLÜ (ÖNEMLİ SINIF II):
[ ] Hiper yönetici veya konteyner çalışma zamanı sistemi değil
[ ] Güvenlik duvarı, saldırı tespit veya önleme sistemi değil
[ ] Kurcalamaya karşı dayanıklı mikroişlemci değil
[ ] Kurcalamaya karşı dayanıklı mikrodenetleyici değil

Yukarıdakilerden herhangi biri EVET ise → ÖNEMLİ SINIF II (burada durun)

ANNEX III BÖLÜM I KONTROLÜ (ÖNEMLİ SINIF I):
[ ] 19 kategorinin tam listesi gözden geçirildi
[ ] Çok işlevli ürün etkileri değerlendirildi
[ ] Bileşenlerde güvenlikle ilgili işlevler kontrol edildi

Herhangi bir kategori geçerliyse → ÖNEMLİ SINIF I (burada durun)

VARSAYILAN:
[ ] Ürün herhangi bir Annex'te listelenmemiş
[ ] Sınıflandırma: VARSAYILAN

UYGUNLUK DEĞERLENDİRME YOLU:
[ ] Module A (öz değerlendirme) - Varsayılan, standartlarla Sınıf I
[ ] Module B+C (üçüncü taraf) - Standartlar olmadan Sınıf I, Sınıf II
[ ] Module H (kalite güvencesi) - B+C'ye alternatif
[ ] EUCC sertifikasyonu - Yalnızca Kritik ürünler

DOKÜMANTASYON:
[ ] Sınıflandırma gerekçesi belgelendi
[ ] Çok işlevli ürün analizi tamamlandı
[ ] Amaçlanan kullanım açıkça tanımlandı
[ ] Onaylanmış Kuruluş belirlendi (gerekiyorsa)

Sınıflandırmayı yapan: _________________________________
Tarih: _________________________________________

CRA Evidence Danışmanlık Hizmeti

Ürününüzün hangi kategoriye girdiğini tespit etmek için ücretsiz CRA uygulanabilirlik kontrolü aracımızı kullanabilirsiniz. Uzman değerlendirmesi ve uygunluk hazırlığı konusunda destek almak için danışmanlık sayfamızı ziyaret edin.

Sınıflandırmanızı öğrendikten sonraki adım uygunluk değerlendirme yolunuzu belirlemektir. CE işareti zorunluluğu ve CRA'nın ilişkisi hakkında daha fazla bilgi için CRA ve CE işareti rehberine bakın. Akıllı cihaz gereksinimleri için CRA ve Türk elektronik cihaz rehberi de faydalı bir kaynak olacaktır.

Bu makale yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımamaktadır. AB ürün mevzuatı kapsamındaki uyumluluk gereksinimleri için AB hukukuna hâkim nitelikli bir hukuk danışmanına başvurmanızı öneririz.