CRA ve Türk Elektronik/Akıllı Cihaz Üreticileri: AB'nin En Büyük Beyaz Eşya Tedarikçisi İçin Pratik Rehber

Türkiye, Avrupa'nın en büyük beyaz eşya üreticisi ve dünyada üçüncü sırada. Yılda 26 milyon adet üretim kapasitesiyle Beko Europe (Arcelik-Whirlpool birleşmesi), üretim hacmiyle Avrupa'nın en büyük beyaz eşya şirketi konumunda. Vestel, Türkiye'nin TV ihracatının yaklaşık %88'ini gerçekleştiriyor; akıllı TV'ler CRA kapsamında Class I Important ürün kategorisinde.

Bu rakamlar teorik değil. AB'ye yönelik CRA kapsamındaki Türk ihracatı 10,5 milyar doları aşıyor: elektrikli ekipman ~6 milyar dolar, beyaz eşya ~4,5 milyar dolar. CRA, Türk imalat sanayisinin AB ihracat ekonomisinin çekirdeğini doğrudan etkiliyor.

İlk yazımızda CE işareti ile CRA arasındaki farkları, imalatçı rolünü ve ENISA bildirim prosedürünü ele aldık. Bu yazı, elektronik ve akıllı cihaz üreticilerine özel konulara odaklanıyor: ürün sınıflandırması, chipset tedarik zinciri sorumluluğu ve firmware SBOM yönetimi.

Hangi Ürünler CRA Kapsamında?

Ürününüzde yazılım veya firmware varsa ve ağa bağlanabiliyorsa, CRA kapsamındasınız. Ağ bağlantısı geniş tanımlanıyor: Wi-Fi, Bluetooth, Ethernet, Zigbee, Z-Wave, LoRa, NB-IoT: hepsi dahil. Sadece doğrudan internet bağlantısı değil, yerel ağ veya mesh ağ üzerinden bağlanan cihazlar da kapsam içinde.

Beyaz eşyada Wi-Fi modülü olan her ürün, tüketici elektroniğinde ağ bağlantısı olan her cihaz CRA'ya tabi. Buna karşın, firmware içermeyen basit elektrikli aletler (mekanik termostat, analog zamanlayıcı gibi) kapsam dışında kalıyor.

Karar ağacı:

flowchart TD
    A["Ürününüz yazılım veya\nfirmware içeriyor mu?"] -->|Evet| B{"Ağa bağlanabiliyor mu?\n(Wi-Fi, Bluetooth, Ethernet,\nZigbee, Z-Wave vb.)"}
    A -->|Hayır| Z["CRA kapsamı dışında"]
    B -->|Evet| C{"Ürün türü nedir?"}
    B -->|Hayır| Z
    C -->|"Akıllı TV,\nSet-top box,\nAkıllı hoparlör"| D["Class I Important\nMadde 7(2) Ek III"]
    C -->|"Router, modem,\nağ anahtarı"| E["Class I Important\nMadde 7(2) Ek III"]
    C -->|"Endüstriyel PLC,\nSCADA bileşeni"| F["Class I veya Class II\nEk III'e göre değerlendir"]
    C -->|"Bağlı beyaz eşya\n(çamaşır, bulaşık,\nklima, fırın)"| G["Default Kategori\nÖz değerlendirme"]
    C -->|"IoT sensör,\nakıllı termostat,\nakıllı priz"| H["Default Kategori\nÖz değerlendirme"]
    C -->|"Akıllı kilit,\ngüvenlik kamerası"| I["Class I Important\nMadde 7(2) Ek III"]

Türk Ürünleri İçin CRA Sınıflandırma Tablosu

Ürün Sınıflandırması: Neden Önemli?

Sınıflandırma, uygunluk değerlendirme yönteminizi belirliyor. Yanlış sınıflandırma iki yönde maliyetli:

Default kategori: Öz değerlendirme (CRA Madde 32, Modül A). Teknik dosyayı kendiniz hazırlıyor, uygunluk beyanını kendiniz imzalıyorsunuz. Üçüncü taraf onay kuruluşu gerekmiyor. Bağlı beyaz eşyaların büyük çoğunluğu bu kategoride.

Class I Important: Harmonize standart yayımlanmışsa ve bu standarda tam uyum sağlıyorsanız, öz değerlendirme yapabilirsiniz (Madde 32(2)). Harmonize standart yoksa veya uyum sağlayamıyorsanız, AB-tip incelemesi (Modül B+C) veya onaylanmış kuruluş denetimi gerekiyor.

Class II Important: Üçüncü taraf değerlendirmesi zorunlu. Türk tüketici elektroniği ürünlerinin çoğu bu kategoride değil; endüstriyel güvenlik sistemleri ve kritik altyapı bileşenleri hariç.

Kritik mesaj: Wi-Fi'li çamaşır makineniz veya bağlı fırınınız Default kategoride. Bunlar için üçüncü taraf sertifikasyon masrafına girmeyin. Gereksiz sertifikasyon maliyeti, özellikle yüzlerce SKU yöneten büyük beyaz eşya üreticileri için ciddi bir yük oluşturur.

Akıllı TV'ler ve ağ ekipmanları için ise durum farklı. CEN/CENELEC'in CRA harmonize standartları üzerinde çalışması devam ediyor. Standart yayımlandığında ve AB Resmi Gazetesi'nde referans verildiğinde, Class I ürünler için öz değerlendirme yolu açılacak. O zamana kadar AB-tip incelemesi (Modül B+C) gerekebilir. Vestel ve Arcelik gibi büyük Türk TV üreticileri için bu standartların takvimini yakından takip etmek stratejik öneme sahip.

Sınıflandırma konusunda sık yapılan hata: aynı ürün ailesindeki farklı modellerin farklı kategorilere düşebilmesi. Wi-Fi modülü olmayan bir fırın CRA kapsamı dışında, Wi-Fi'li versiyonu ise Default kategoride. Ürün portföyünüzü model bazında değerlendirin.

TESID'in Uyarısı ve Ticaret Bakanlığı Çalışmaları

Türkiye Elektronik Sanayicileri Derneği (TESID), Kasım 2025'te CRA hakkında sektör uyarısı yayımladı. Uyarıda CRA kapsamındaki ürün listesi ve üreticilerin hazırlanması gereken yükümlülükler detaylandırıldı.

Ticaret Bakanlığı, AB-Türkiye Yüksek Düzeyli Ticaret Diyaloğu kapsamında CRA'nın Türk ihracatına etki analizini yürütüyor. Gümrük Birliği güncelleme müzakereleri çerçevesinde CRA uyumunun Türk ürünlerinin AB pazarına erişimi için gerekli olacağı değerlendirmesi resmi gündemde.

Ayrıca TÜBİTAK BİLGEM, siber güvenlik standartları ve test altyapısı konusunda çalışmalar yürütüyor. CRA kapsamındaki uygunluk değerlendirmesi için Türkiye'de akredite test laboratuvarı altyapısının geliştirilmesi gündemde.

Sektör kuruluşunuz ve hükümetiniz hazırlanıyor. Soru şu: şirket olarak siz hangi aşamadasınız? TESID üyesi iseniz, CRA çalışma grubuna katılım sağlayın. Değilseniz bile, TESID'in yayımladığı ürün listesi ve yükümlülük özetini referans alabilirsiniz.

Akıllı Cihaz Üreticileri İçin 5 Yeni Yükümlülük

1. SBOM: Firmware Dahil Her Yazılım Bileşeni

Beyaz eşya ve tüketici elektroniği üreticileri için SBOM alışılmadık bir kavram. Ürününüzdeki her yazılım bileşeni listelenmeli: işletim sistemi, ağ yığını, açık kaynak kütüphaneler, chipset vendor firmware'i.

Firmware'i siz yazmamış olabilirsiniz. MediaTek veya Qualcomm SoC kullanıyorsanız, o firmware'in bileşenleri de sizin SBOM'unuzun parçası. Bu yükümlülük üreticinin üzerinde.

Beyaz eşyada tipik yazılım katmanları: RTOS veya Linux tabanlı işletim sistemi, Wi-Fi/Bluetooth sürücüleri (genellikle chipset vendor'dan), OTA güncelleme istemcisi, bulut bağlantı SDK'sı, kullanıcı arayüzü firmware'i. Bunların hepsi SBOM'da yer almalı. CycloneDX veya SPDX formatında, makine tarafından okunabilir şekilde.

2. Güvenlik Açığı Bildirimi Kanalı (CVD)

Ürün web sitenizde security.txt dosyası (RFC 9116 formatında), güvenlik raporu için belirlenmiş e-posta adresi ve belgelenmiş yanıt süreci. CRA Madde 13(6) bunu zorunlu kılıyor. Araştırmacıların güvenlik açığı bildirebileceği açık bir kanal olmalı.

Türk elektronik üreticilerinin çoğunda bugün böyle bir kanal yok. Kurulumu teknik olarak basit, ancak arkasındaki süreç önceden tasarlanmalı: kimin yanıtlayacağı, triage nasıl yapılacağı, yama takvimi nasıl belirlenecek. ISO 29147 (CVD: Coordinated Vulnerability Disclosure) çerçevesi iyi bir başlangıç noktası.

3. 5 Yıl Güncelleme Taahhüdü

Beyaz eşya sektörü için en zorlayıcı yükümlülük. Bir çamaşır makinesinin beklenen ömrü 10-15 yıl. CRA, piyasaya arz tarihinden itibaren en az 5 yıl güvenlik güncellemesi zorunluluğu getiriyor (Madde 13(8)).

Çoğu Türk beyaz eşya üreticisinin bugün OTA (over-the-air) güncelleme altyapısı yok. Akıllı TV üreticileri (Vestel, Arcelik) bu konuda daha ileride; zaten düzenli firmware güncellemesi yayımlıyorlar. Ancak bağlı beyaz eşya tarafında (Wi-Fi'li çamaşır makinesi, akıllı fırın) OTA altyapısı genellikle ilkel veya mevcut değil.

Bu altyapıyı kurmak zaman ve yatırım gerektiriyor: güvenli güncelleme dağıtım sunucusu, imzalı firmware doğrulama mekanizması, geri alma (rollback) kapasitesi. 2027 son tarihine yetişmek için bugünden planlama yapılmalı.

4. Teknik Dosyaya Siber Güvenlik Bölümü

Mevcut CE teknik dosyanıza eklenen yeni bölüm: siber güvenlik risk değerlendirmesi, tehdit modelleme (STRIDE veya benzeri metodoloji), uygulanan güvenlik kontrolleri, test metodolojisi ve sonuçları, tespit edilen ve giderilen açıklıklar. Bu, CE işaretleme sürecine paralel bir yapı; zaten aşina olduğunuz teknik dosya formatının genişletilmesi.

Pratik bir avantaj: CE teknik dosyası hazırlama süreciniz zaten var. CRA siber güvenlik bölümü bu mevcut sürece ekleniyor, sıfırdan yeni bir dokümantasyon sistemi kurmanız gerekmiyor. Mevcut kalite yönetim sisteminize (ISO 9001 veya benzeri) entegre edilebilir.

5. ENISA Bildirim Prosedürü

İlk yazımızda detaylı açıkladığımız ENISA bildirim prosedürü aynen geçerli: aktif istismar edilen açık tespit edildiğinde 24 saat içinde ENISA SRP'ye erken uyarı. 2026 Eylül'den itibaren mevcut ürünler dahil.

Chipset Tedarikçileri ve Üçüncü Taraf Yazılım

Türk akıllı cihaz üreticileri için en kritik pratik sorun: ürününüzdeki yazılımın önemli bir bölümünü siz yazmıyorsunuz.

flowchart LR
    A["Chipset Vendor\n(MediaTek, Qualcomm,\nRealtek, Amlogic)"] -->|"SoC + BSP\n(Board Support Package)\nfirmware, sürücüler,\nağ yığını"| B["Türk Üretici\n(Vestel, Arcelik,\nBeko, OEM)"]
    B -->|"Nihai ürün\nfirmware + uygulama\nkatmanı"| C["AB Pazarı\n\nCRA uyumlu ürün\nSBOM + teknik dosya\ngerekli"]
    D["Açık Kaynak\nBileşenler\n(Linux kernel,\nBusyBox, OpenSSL,\ncurl, zlib)"] -->|"BSP içinde\nveya doğrudan\nentegre"| B
    E["Üçüncü Taraf\nUygulama SDK'ları\n(Netflix, YouTube,\nAlexa, Google Home)"] -->|"Akıllı TV ve\nbağlı cihaz\nplatformları"| B

Sorumluluk Kimde?

CRA Madde 13(5) açık: ürünü AB pazarına arz eden üretici, tüm yazılım bileşenlerinden sorumlu. Chipset vendor'un firmware'indeki bir güvenlik açığı sizin sorumluluğunuzda.

Bu, pratikte üç şey gerektiriyor:

Chipset vendor'dan SBOM talep edin. BSP (Board Support Package) içindeki tüm bileşenlerin listesi, sürüm numaraları dahil. Tedarik sözleşmesine bu maddeyi ekleyin. MediaTek ve Qualcomm gibi büyük vendor'lar CRA için SBOM süreçleri oluşturuyor; talepte bulunun.

CVE izleme sürecinizi genişletin. Kendi yazdığınız kodun yanı sıra, chipset firmware'indeki bileşenler (Linux kernel, OpenSSL, BusyBox vb.) için de CVE takibi yapın. SBOM tabanlı otomatik CVE tarama araçları bu süreci yönetilebilir kılıyor.

Güncelleme koordinasyonu belirleyin. Chipset vendor bir güvenlik yaması yayımladığında, bu yamayı ürününüze ne kadar sürede entegre edip son kullanıcıya ulaştırabilirsiniz? Bu süreyi belgelendirin. Akıllı TV'lerde bu süreç genellikle haftalık veya aylık güncelleme döngülerine oturuyor. Beyaz eşyada ise güncelleme döngüleri çok daha yavaş; bu süreyi CRA gereksinimlerine uygun hale getirmek gerekiyor.

Özellikle dikkat edilmesi gereken senaryo: chipset vendor'un end-of-life ilan ettiği SoC'ler. 5 yıl güncelleme taahhüdünüz varken chipset vendor 3 yılda desteği keserse, güvenlik yamalarını kendiniz üretmeniz veya alternatif kaynak bulmanız gerekecek. Yeni ürün tasarımlarında chipset seçimi yaparken vendor'un uzun vadeli destek politikasını değerlendirin.

Hazırlık Kontrol Listesi

□ Adım 1: Ürün envanteri çıkarın
  AB'ye ihraç ettiğiniz dijital unsur içeren tüm ürünleri listeleyin.
  Her ürün için: ağ bağlantı türü, firmware kaynağı, chipset vendor.

□ Adım 2: CRA sınıflandırmasını belirleyin
  Her ürün Default mi, Class I mi, Class II mi? Bu rehberdeki
  tabloyu ve CRA Ek III'ü referans alın. Yanlış sınıflandırma
  ya gereksiz maliyet ya da uyumsuzluk riski yaratır.

□ Adım 3: Firmware ve yazılım bileşenlerini haritalayın
  Chipset BSP bileşenleri dahil tüm yazılımı listeleyin.
  Syft veya cdxgen ile ilk SBOM taslağını oluşturun.
  Siz yazmadığınız bileşenleri de dahil edin.

□ Adım 4: Chipset vendor'lardan SBOM talep edin
  MediaTek, Qualcomm, Realtek, Amlogic: BSP içindeki
  bileşen listesi ve sürüm bilgisi. Tedarik sözleşmesine
  CRA veri paylaşım maddesi ekleyin.

□ Adım 5: CVD kanalı açın
  security.txt, güvenlik raporu e-postası, yanıt süreci.
  ISO 29147 çerçevesini referans alın.

□ Adım 6: OTA güncelleme altyapısını değerlendirin
  5 yıl güvenlik güncellemesi için altyapınız var mı?
  Yoksa planlama ve yatırıma şimdi başlayın.

□ Adım 7: ENISA bildirim prosedürü hazırlayın
  24 saat bildirim için Türkiye→AB bilgi akışı.
  Yetkili Temsilci atandı mı? (2026 Eylül son tarihi)

□ Adım 8: Teknik dosyayı genişletin
  Mevcut CE teknik dosyasına siber güvenlik risk değerlendirmesi,
  SBOM referansı ve güncelleme taahhüdü bölümlerini ekleyin.

Uygulama Takvimi

flowchart LR
    A["Bugün\nSBOM envanter,\nchipset vendor\niletişimi,\nOTA altyapı planı"] --> B["Eylül 2026\nENISA bildirim\nyükümlülüğü başlıyor\nMevcut ürünler dahil\nSRP kaydı zorunlu"]
    B --> C["Aralık 2027\nYeni ürünler için\ntam CRA uyum\nClass I: harmonize\nstandart veya\nAB-tip incelemesi"]
    C --> D["2028+\n5 yıl güncelleme\ntaahhüdü devam\nSBOM bakımı\nCVE izleme sürer"]

Beyaz eşya ve elektronik üreticileri için zaman çizelgesindeki kritik nokta: OTA güncelleme altyapısı kurmak aylar alır. 2027'de piyasaya süreceğiniz ürünlerin firmware güncelleme mekanizması bugünden tasarlanmalı.

Sonraki Adım

Ürünlerinizin CRA kapsamına girip girmediğini kontrol edin:

• CRA Kapsam Kontrolü (Ücretsiz) →
• CRA Terimler Sözlüğü →
• CRA Uyumluluk Değerlendirmesi Talep Edin →

CRA Evidence, Türk elektronik ve beyaz eşya üreticilerine SBOM oluşturma, chipset tedarik zinciri haritalama ve CRA teknik dosya hazırlığı konularında destek sağlıyor.

Bu içerik bilgilendirme amaçlı olup hukuki tavsiye niteliği taşımamaktadır. AB ürün mevzuatı kapsamındaki uyumluluk gereksinimleri için AB hukukuna hâkim bir hukuk danışmanına başvurmanızı öneririz.