Türk EV Şarj ve Akıllı Enerji Ekipmanı Üreticileri için CRA Rehberi: OCPP Bağlantısı CE Markasına Siber Güvenlik Zorunluluğu Getiriyor

AB pazarına gönderdiğiniz her ağ bağlantılı EV şarj istasyonu, CRA'nın tanımıyla "dijital unsur içeren ürün" statüsüne giriyor. OCPP (Open Charge Point Protocol) protokolü üzerinden arka uç sunucusuyla konuşan her şarj noktası, kamu internetine açık bir ürün olarak değerlendiriliyor ve 11 Aralık 2027'den itibaren CE işareti için CRA siber güvenlik gerekliliklerini karşılamak zorunda.

Bu, Türkiye'deki EV şarj ve akıllı enerji ekipmanı üreticilerinin büyük çoğunluğunun henüz haritalandırmadığı bir yükümlülük. Radio Equipment Directive (RED) 2022/30/EU siber güvenlik delegasyonu kapsamına giren kablosuz modüllü ürünleri üretiyorsanız bir adım öndesiniz, ama CRA'nın SBOM, ENISA bildirimi ve 5 yıl güvenlik desteği gereklilikleri RED kapsamının dışında kalıyor.

OCPP bağlantısı CRA kapsamına neden giriyor

CRA'nın Madde 2 kapsam tanımı net: "doğrudan veya dolaylı olarak başka bir cihaza veya ağa veri bağlantısı yapan yazılım veya donanım ürünü." OCPP protokolü, şarj istasyonunun arka uç yönetim sistemine (CSMS) bağlanmasını sağlayan WebSocket tabanlı bir mesajlaşma protokolü. Bu, şarj istasyonunu Madde 2 anlamında "dijital unsur içeren ürün" yapıyor.

OCPP 2.0.1, Open Charge Alliance tarafından yayımlanan mevcut stabil sürüm. 1.6 sürümü hâlâ sahada yaygın olarak kullanılıyor. Her iki sürüm de şarj istasyonunu internete açık bir uç nokta hâline getiriyor ve bu yüzey CRA'nın siber güvenlik değerlendirme kapsamında.

Pratik sonuç: ev tipi, "kablolu ve aptal" bir AC duvar şarj cihazı bile Wi-Fi modülü veya Ethernet portu üzerinden bağlanıyorsa CRA kapsamındadır. Tamamen bağlantısız bir cihaz için bile Bluetooth üzerinden konfigürasyon yapılıyorsa "dolaylı veri bağlantısı" nedeniyle kapsam içi değerlendiriliyor.

Türkiye'nin beyaz eşya sektörünü ele alan önceki rehberimiz tüketici evine giren bağlı cihazlara odaklanıyordu. EV şarj ve akıllı enerji ekipmanı farklı bir tehdit modelinde çalışıyor: cihaz halka açık otoparkta, site kapalı garajında veya iş yeri otoparkında duruyor, fiziksel erişim saldırganın ilk adımı, ağ trafiği enerji piyasası altyapısına uzanıyor.

OCPP protokolünün CRA için neden önemli olduğu

OCPP 1.6 sürümünde arka uç-şarj noktası iletişimi varsayılan olarak TLS'siz çalıştırılabiliyordu. Sahadaki pek çok kurulum hâlâ bu konfigürasyonda. OCPP 2.0.1 ise güvenlik profili 3'te karşılıklı TLS (mTLS) ve sertifika tabanlı kimlik doğrulama zorunlu kılıyor. CRA Ek I Bölüm I'in "aktarımdaki verinin korunması" gerekliliğini karşılamak için güvenlik profili 3 pratik asgari eşik.

Bu, Türk üreticiler için somut bir mühendislik kararı. Var olan OCPP 1.6 kurulum tabanınızı OCPP 2.0.1 güvenlik profili 3'e geçirmek için firmware güncellemesi ve sahada sertifika dağıtımı gerekli. Bu çalışma 12-18 ay sürebiliyor ve 11 Aralık 2027'den önce bitmesi gerekiyor.

ISO 15118'in Plug and Charge akışı ek bir sertifika altyapısı getiriyor: araç ile şarj istasyonu arasında V2G kök sertifika zinciri, CPS (Contract Provisioning Service) entegrasyonu, PKI yaşam döngüsü yönetimi. V2G özelliğini ürün özellik listesinde öne çıkarıyorsanız CRA kapsamında bu zinciri teknik dosyada belgelemek zorunludur.

EV şarj ve akıllı enerji ekipmanının CRA sınıflandırması

Aşağıdaki tablo, Türkiye'de üretilen veya Türkiye'de yerleşik üreticilerin AB pazarına gönderdiği ana ürün tiplerini CRA Ek III listesiyle eşleştiriyor. Sınıflandırma, ürünün işlevine ve ağ kapasitesine göre belirleniyor, markaya göre değil.

Class I önemli ürün, CRA Ek III Bölüm I kapsamına giriyor. Harmonize standart yayımlanana kadar uygunluk değerlendirmesi için Onaylanmış Kuruluş (Notified Body) yolu açık tek güvenli seçenek. Harmonize standart sonrası öz değerlendirme mümkün olabiliyor.

DC hızlı şarj istasyonunda ISO 15118 Plug and Charge sertifika zinciri kullanılıyor. Bu, şarj istasyonuna sertifika mağazası, anahtar yönetimi ve imzalı firmware güncelleme ihtiyacı ekliyor. IEC 61851 fiziksel ve sinyal arayüzünü tanımlıyor, CRA siber güvenlik gerekliliklerinin üstüne oturuyor ama onların yerine geçmiyor.

Ev tipi wallbox ile halka açık AC şarj arasındaki sınıflandırma farkı

Aynı marka aynı donanım mimarisiyle iki farklı ürün olarak satılabiliyor. Ev tipi, tek kullanıcılı, arka uç sunucuya bağlanmayan bir wallbox varsayılan kategori olarak kabul ediliyor. Halka açık AC istasyon, OCPP üzerinden merkezi sunucuya bağlı, ödeme arayüzü ve farklı kullanıcı yönetimi barındırıyor, bu yüzden Class I önemli kategorisine düşüyor.

Türk üretici için pratik sonuç: aynı üründen iki SKU tutmak gerekebiliyor. Ev tipi SKU CRA varsayılan kapsamda, halka açık SKU Class I önemli kapsamda. Teknik dosya ve uygunluk değerlendirme yolları farklı, aynı cihazın üzerinde farklı etiket ve farklı AB Uygunluk Beyannamesi olabiliyor.

Akıllı sayaç ve enerji hub'ı özelinde

Akıllı sayaç çift taraflı siber güvenlik riski taşıyor: saldırgan sayaç üzerinden tüketim verisine erişebiliyor (kişisel veri) veya fatura verisini manipüle ediyor. Schneider Electric Türkiye'nin İzmir ve Manisa'daki tesislerinde üretilen PLC modüllü akıllı sayaçlar hem MID yönetmeliği hem CRA kapsamında değerlendiriliyor. İki rejimin teknik dosyası birleşik olarak hazırlanabiliyor ama uygunluk değerlendirmesi ayrı yürüyor.

Ev enerji hub'ı (çatı PV üretimi, ev bataryası, EV şarj kontrolü bir arada) tek bir gateway üzerinden yönetiliyor. Bu gateway, ev içi cihaz ağını dış enerji piyasasına köprülüyor. Saldırı vektörü ve etki alanı Class I önemli kategorisini gerektirecek ölçekte.

flowchart TD
    UE["Türkiye'de üretilen\nEV şarj / akıllı enerji ekipmanı"] --> HWB["Ev tipi AC duvar şarjı"]
    UE --> PAC["Halka açık AC şarj"]
    UE --> DCF["DC hızlı şarj"]
    UE --> SM["Akıllı sayaç"]
    UE --> HEH["Ev enerji hub'ı"]
    UE --> IPR["Endüstriyel röle"]

    HWB --> VAR["Varsayılan\nÖz değerlendirme"]
    PAC --> C1["Class I önemli\nEk III"]
    DCF --> C1
    SM --> C1
    HEH --> C1
    IPR --> C1

    C1 --> NB["Harmonize standart yoksa:\nOnaylanmış Kuruluş"]
    C1 --> HS["Harmonize standart varsa:\nöz değerlendirme mümkün"]

RED siber güvenlik gereklilikleri CRA'yı karşılıyor mu

Radio Equipment Directive 2022/30/EU delegasyonu, 1 Ağustos 2025'ten itibaren ağa bağlanan kablosuz ürünlerde üç temel gereklilik getirdi: ağa zarar vermeme, kişisel veri koruma, dolandırıcılığa karşı koruma. EN 18031-1/-2/-3 harmonize standartları Mart 2025'te yayımlandı.

Türk üretici olarak RED siber güvenlik ön koşullarını zaten karşılıyorsanız avantaj var, ama bu CRA'yı tam olarak örtmüyor. Boşluklar:

Özetle: RED 2022/30 ürün düzeyinde teknik kontrolleri çözüyor. CRA süreç düzeyinde kurumsal yükümlülükleri ekliyor. İki rejim paralel çalışıyor.

EN 18031 değerlendirmeniz varsa CRA teknik dosyasında Ek I Bölüm I'in 13 güvenlik hedefinden 10 kadarı için "RED değerlendirmesine referans" yazabiliyorsunuz. Bu, Onaylanmış Kuruluş denetim süresini 2-3 aydan 4-6 haftaya düşürebiliyor. RED uyumunuzu kaybetmeyin, CRA için tekrar kullanılabilir bir temel.

Türk Standardları Enstitüsü (TSE) RED siber güvenlik değerlendirmesi için Türkiye'deki referans kuruluş. TSE raporlarını CRA teknik dosyasına eklemek mümkün ama Onaylanmış Kuruluş olmayan kurumların raporları tek başına CRA uygunluk değerlendirmesi yerine geçmiyor. AB'de yerleşik Onaylanmış Kuruluş ile çalışma zorunluluğu devam ediyor.

OCPP açıklarında 24 saatlik ENISA bildirimi

OCPP yığınlarında kamuya açıklanmış güvenlik açıkları geçmişte rapor edildi. Açık kaynak ve ticari OCPP istemci kütüphanelerinde kimlik doğrulama bypass, WebSocket mesaj doğrulama zafiyeti ve arka uçtan şarj noktasına komut enjeksiyonu kategorilerinde bulgular yayımlandı.

Bu tip bir açığın aktif olarak istismar edildiğini öğrendiğinizde CRA Madde 14 takvimi işliyor:

1. Farkındalık anından itibaren 24 saat: ENISA'ya erken uyarı. Tam teknik detay gerekmiyor, açığın var olduğu ve aktif istismarın gözlemlendiği bilgisi yeterli.
2. 72 saat: tam bildirim. Etkilenen ürün sürümleri, istismarın ilk gözlendiği tarih, bilinen etki kapsamı.
3. 14 gün içinde: düzeltici önlem veya azaltma bilgisi.
4. Önemli siber olay: ayrı bir bildirim akışı, etkilenen kullanıcılara gönderilen duyuruyla birlikte.

Farkındalık anı çoğu Türk üretici için hata raporunun destek kutusuna düştüğü an. Bu kutu 24 saat Pazartesi sabahı açılıyorsa süre doluyor.

Pratik gereksinim: 7/24 izlenen bir güvenlik açığı alım kanalı (RFC 9116 uyumlu security.txt, ayrı bir security@ adresi veya CVD formu), bildirim kararını 4 saat içinde verebilen bir karar hattı, ENISA tek raporlama platformu (SRP) üzerinde önceden oluşturulmuş bir imalatçı hesabı.

ENISA bildiriminin somut içeriği

Erken uyarı aşamasında ENISA'ya verilen bilgi kısa: üretici kimliği, etkilenen ürün ailesi, açığın türü (ör. kimlik doğrulama bypass, uzaktan kod yürütme), istismarın gözlemlendiği ortam (sahada mı, güvenlik araştırması mı). CVE kimliği opsiyonel, henüz atanmamış olabiliyor.

72 saat içinde verilen tam bildirim genişliyor: etkilenen ürün sürümleri, donanım modelleri, yazılım derleme numaraları, istismarın teknik akışı, bilinen saldırı göstergeleri (IOC), tahmini saha kurulum sayısı. Bu sayılar için ön hazırlık şart: üretim ve satış kayıtlarınız hangi donanım revizyonunun hangi firmware sürümünü çalıştırdığını ürün seri numarasına kadar izleyebiliyor olmalı.

14 gün içinde düzeltici önlem bilgisi: yayımlanmış firmware yaması, geçici azaltma adımları, azaltmanın mümkün olmadığı donanım sınırları. Bu bilginin müşterilere ayrıca iletilmesi de CRA Madde 14(8) yükümlülüğü.

Bildirim sürecinin kurum içi provası

Bir bildirim SOP'u, yılda en az iki kez kuru provayla test edilmelidir. Senaryo: Cuma akşamı saat 17:00'de bir açıklık bildirimi geliyor. Açık Pazartesi sabahına kadar açıklanıyorsa CRA'nın saati çoktan dolmuştur. Kuru prova, karar hattının hafta sonu çalıştığını, yedek kişilerin ulaşılabilir olduğunu, ENISA SRP girişinin fiilen yapılabildiğini doğrular.

Küçük Türk üreticiler için SBOM zorluğu

Türkiye'deki EV şarj üreticilerinin çoğu 50-150 kişilik firma. OCPP yığınını çoğu zaman kendileri yazmıyor, Phoenix Contact, Vector, Bender veya açık kaynak OCPP-J kütüphaneleri gibi üçüncü taraf tedarikçilerden alıyor. RTOS (FreeRTOS, Zephyr) ve Linux tabanlı gömülü sistemler de aynı durumda.

CRA Madde 13(3) SBOM yükümlülüğünü imalatçıya bırakıyor. Firmware'deki açık kaynak kütüphaneler sizin sattığınız ürünün parçası, yani sizin SBOM'unuza giriyor. Tedarikçiden SBOM alamazsanız sorumluluğunuz azalmıyor.

Üç pratik adım:

1. Firmware tedarikçisiyle sözleşmeye CycloneDX veya SPDX formatında aylık SBOM teslim yükümlülüğü ekleyin. Mevcut sözleşmelerde bu yoksa yenileme turunda ekleyin, bu boşluk CRA yürürlüğe girdiğinde anında sorun olur.
2. Kendi derleme hattınızda (build pipeline) Syft, CycloneDX CLI veya benzer bir aracı çalıştırın. Tedarikçi SBOM'u ile kendi derlemenizin çıktısını karşılaştırın. Farklar tedarikçinin size söylemediği bileşenlerdir.
3. SBOM'u teknik dosyanızın bir eki olarak saklayın, her yazılım sürümü için arşiv tutun. Piyasa gözetim ve denetim otoritesi sorduğunda geriye dönük 10 yıl önceki ürün sürümü için de hazır olmalı.

Türkiye'deki üretici ekosisteminde bir gözlem: OCPP firmware tedarikçisi genellikle AB'de veya İsviçre'de yerleşik. SBOM talebi sözleşmede yoksa tedarikçi bu veriyi ticari sır olarak paylaşmamayı tercih edebiliyor. 2026-2027 yenileme turunda SBOM teslim yükümlülüğü standart bir sözleşme maddesi hâline geldi, bu maddeyi eklemeyen tedarikçiler AB pazarına satış yapan imalatçılar tarafından değiştiriliyor.

SBOM format kararı

CRA makine okunabilir SBOM talep ediyor, tek bir format dayatmıyor. Pratikte iki format yaygın: CycloneDX (OWASP, JSON veya XML) ve SPDX (Linux Foundation, JSON veya tag-value). ENISA rehberi her iki formatı da kabul ediyor. CycloneDX, güvenlik açığı yönetim araçlarıyla daha yakın entegre, yaygın araç desteği (Syft, Trivy, Grype) var. Türk üretici için düşük sürtünmeli başlangıç: CycloneDX 1.5 JSON, derleme hattında Syft ile otomatik üretim.

5 yıl güncelleme taahhüdü: saha kurulumlu ekipman için gerçekçi mi

Bir halka açık DC hızlı şarj istasyonu sahada 10-15 yıl kalıyor. Akıllı sayaçlar 10-20 yıl. Bu ürün ömrü boyunca CRA sadece ilk 5 yıl için ücretsiz güvenlik güncellemesi zorunlu kılıyor, ama bu 5 yıl ciddi bir altyapı taahhüdü.

Uzaktan güncelleme (OTA) altyapısı gerekli unsurlar:

• İmzalı firmware paketleri (CRA Ek I kripto gereklilikleri): üretici imzalama anahtarı bir HSM'de veya AB tarafında bir emanet sisteminde.
• Güncelleme dağıtım kanalı: sahada 10 bin cihaz varsa hepsine aynı anda indirme yaptıramazsınız, aşamalı dağıtım planı.
• Geri alma (rollback) mekanizması: başarısız güncellemeden sonra cihazın bozulmadan önceki sürüme dönmesi.
• Offline cihazlar için yöntem: USB veya yerel ağ üzerinden manuel güncelleme prosedürü, müşteriye teslim edilmiş.

Destek dönemi sonu (EOS): her ürün sürümü için ilan edilen, değiştirilmez bir tarih. CRA Madde 13(8) bu tarihin tüketiciye ürün satın alma anında bildirilmesini şart koşuyor. Ürün kutusuna, kullanım kılavuzuna ve satış sayfasına eklemek gerekiyor.

5 yılın ticari modele etkisi

Mevcut ticari modelde şarj istasyonu bir kez satılıyor, bakım sözleşmesi ayrı olarak satın alınıyor. CRA, güvenlik güncellemesini ücretsiz yapıyor. Bu, tedarik zinciri maliyetini üretici tarafına yüklüyor.

Pratik sonuç: satış fiyatına 5 yıllık güvenlik desteği maliyetinin eklenmesi. Bir DC hızlı şarj istasyonu için yıllık güvenlik güncelleme maliyeti tedarikçi lisansı, mühendislik, yama testi ve dağıtım dahil 150-400 EUR seviyesinde tahmin ediliyor. 5 yıl boyunca 750-2.000 EUR'luk bir yükümlülük, ürün birim maliyet hesabına dahil edilmeli.

Aselsan'ın sivil enerji bölümü gibi endüstriyel müşterilere satış yapan üreticiler için sözleşmesel çözüm: 5 yıllık güvenlik desteği fiyata dahil, 5 yıl sonrasında isteğe bağlı "genişletilmiş destek" paketi ücretli. Bu model CRA ile uyumlu ve öngörülebilir bir gelir sağlıyor.

Hazırlık yol haritası (Şimdi → 2027)

flowchart LR
    NOW["Nisan 2026\nÜrün sınıflandırması\nTedarikçi SBOM maddesi"] --> YAZ["Yaz 2026\nCVD politikası\nsecurity.txt yayın\nENISA SRP hesap açılışı"]
    YAZ --> ENISA["11 Eylül 2026\nENISA bildirim yükümlülüğü\n24 saat / 72 saat / 14 gün"]
    ENISA --> GUZ["Son çeyrek 2026\nTeknik dosya taslağı\nAB Uygunluk Beyannamesi şablonu\nOnaylanmış Kuruluş başvurusu"]
    GUZ --> BH["2027 ilk yarı\nHarmonize standart takibi\nOnaylanmış Kuruluş değerlendirmesi\nSBOM otomasyonu tam"]
    BH --> TAM["11 Aralık 2027\nCRA tam yürürlük\nCE markası için CRA\ndelili zorunlu"]

11 Eylül 2026 ara tarih: bildirim ve raporlama yükümlülükleri burada başlıyor, CE markası zorunluluğu hâlâ 2027 Aralık'ta ama güvenlik açığı yönetim süreci 15 ay önce işlemeye başlıyor.

Bu tarih, sahada zaten kurulu olan ürünleri de kapsıyor. 2025'te Almanya veya Hollanda'da kurulmuş 500 adet AC şarj istasyonunuz için bile 2026 Eylül'ünden sonra aktif istismar edilen bir açık bulunursa ENISA'ya bildirim yapmak zorunlusunuz. Saha envanteri (hangi cihaz nerede, hangi firmware sürümü) şimdi oluşturulmalı.

Türk ticaret odaları ve TOBB

Türkiye Odalar ve Borsalar Birliği (TOBB), CRA için farkındalık bültenleri yayımlamış durumda. OSD (Otomotiv Sanayii Derneği) EV şarj altyapısı için ayrı bir çalışma grubu yürütüyor. İlgili sektör dernekleri, Onaylanmış Kuruluş seçimi ve toplu satın alma için bir koordinasyon noktası olabilir. Tek başına bir 60 kişilik üretici için Onaylanmış Kuruluş'la müzakere maliyeti yüksek, sektör düzeyinde çerçeve anlaşma maliyeti düşürüyor.

EPDK ve yerel düzenleyici çerçeve

Enerji Piyasası Düzenleme Kurumu (EPDK), Türkiye'de EV şarj istasyonu işletmeci lisansı ve akıllı sayaç teknik şartnamelerini yönetiyor. EPDK gereklilikleri iç pazarı düzenliyor, CRA'nın AB pazar koşullarını değiştirmiyor. İki rejim paralel: Türk iç pazarı için EPDK şartnamesi, AB ihracatı için CRA uygunluğu.

EPDK şartnamesi altında hazırlanmış teknik dokümantasyonunuz varsa bunun bir kısmı CRA Ek VII teknik dosyasında tekrar kullanılabilir: ürün tanımı, fonksiyonel blok şeması, test raporları. Siber güvenlik bölümü EPDK şartnamesinde genelde yer almıyor, CRA için ayrıca hazırlanması gerekiyor.

Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve Ulusal Siber Olaylara Müdahale Merkezi (USOM), Türkiye'de siber olay bildirim otoriteleri. 5809 sayılı Elektronik Haberleşme Kanunu ve ilgili yönetmelikler kapsamında belirli kritik altyapı işletmecileri için USOM'a bildirim zorunluluğu var. Bu ayrı bir rejim. AB pazarına ihracat yapıyorsanız ENISA bildirimi ek olarak yapılmak zorunda, USOM bildirimi onun yerine geçmiyor.

AB'de yetkili temsilci seçimi

CRA Madde 18(1), AB dışında yerleşik imalatçıların yazılı vekâletle bir AB Yetkili Temsilcisi atayabileceğini düzenler; atama opsiyoneldir ve MDR Madde 11 ile RED Madde 5'teki gibi zorunlu bir koşul CRA metninde yer almaz. Türk üretici için, atamayı tercih ettiğinizde yetkili temsilci AB'de yerleşik bir tüzel kişidir; genelde bir uygunluk danışmanlık firması veya mevcut CE Yetkili Temsilciniz.

Atamayı tercih ettiğinizde, yazılı vekâletin kapsayabileceği görevler CRA Madde 18(3) ile sınırlandırılmıştır:

• Teknik dosyayı 10 yıl boyunca saklamak ve AB piyasa gözetim ve denetim otoritesinin talebi üzerine ibraz etmek
• AB Uygunluk Beyannamesinin bir kopyasını bulundurmak
• İmalatçı adına piyasa gözetim otoriteleriyle yazışmak
• Piyasaya arz edilen ürünlerin listesini ve sürümlerini tutmak

AB Yetkili Temsilcisi atamayı tercih ediyor ve mevcut CE temsilciniz varsa, CRA Madde 18(3) görevlerinin yazılı vekâlette açıkça yer alması gerekir; aksi halde ek bir protokol imzalanması faydalı olur. Bazı temsilciler CRA kapsamını ek ücretle sunuyor, bazısı CRA için ayrı bir sözleşme talep ediyor. Fiyat aralığı yıllık 1.500-6.000 EUR bandında, ürün portföyü büyüklüğüne göre değişiyor.

8 adımlık pratik kontrol listesi

1. Ürün sınıflandırmasını yazılı olarak tamamlayın. Her ürün hattı için Ek III karşılaştırması, varsayılan / Class I önemli gerekçesi, OCPP ve ISO 15118 bağlantı yüzeyi notu. Bu adım öncelikli, çünkü Onaylanmış Kuruluş gerekip gerekmediğini bu belirliyor. Atlarsanız teknik dosyanın temeli eksik kalıyor.
2. OCPP yığını ve firmware tedarikçinizle SBOM sözleşme maddesi imzalayın. Efor orta, çünkü mevcut sözleşme ekiyle çözülebiliyor. Atlarsanız kendi SBOM'unuzu oluşturamıyorsunuz, Madde 13(3) açık ihlal.
3. Kendi derleme hattınızda SBOM üretimini otomatikleştirin. Syft, CycloneDX Maven/Gradle eklentisi veya Buildroot entegrasyonu. Efor 2-4 hafta mühendislik. Tedarikçi SBOM'u ile karşılaştırma temeli bu.
4. CVD politikası yazın, security.txt dosyasını ürün web sitenizde yayınlayın. RFC 9116 biçimi. Efor 1 hafta. Bu olmadan dış araştırmacı güvenlik açığını kamuoyuyla doğrudan paylaşıyor, 24 saat saatin başlangıcını siz kontrol edemiyorsunuz.
5. ENISA tek raporlama platformunda imalatçı hesabı açın, dahili 24 saat bildirim SOP'unu yazın. Karar hattı, yedek kişiler, kanıt toplama adımları, bildirimin kim tarafından onaylanacağı. Efor 2-3 hafta. Saat başladığında prosedür arayan zaten gecikmiş oluyor.
6. 5 yıl güncelleme taahhüdü için OTA altyapısını planlayın. İmzalama anahtarı, dağıtım sunucusu, geri alma mekanizması, offline cihaz prosedürü. Efor 3-6 ay. En büyük mühendislik yatırımı, erken başlamazsanız Aralık 2027 tarihi kaçıyor.
7. Teknik dosyayı Ek VII formatına göre hazırlayın. Ürün açıklaması, risk değerlendirmesi, SBOM, uygunluk değerlendirme sonucu, güvenlik güncelleme politikası, destek dönemi sonu tarihi. Onaylanmış Kuruluş bu dosyayı denetliyor.
8. AB Yetkili Temsilcisi kararını verin (Madde 18 · opsiyonel). CRA Madde 18(1) atamayı zorunlu kılmaz; MDR Madde 11 ile RED Madde 5'in aksine CRA metninde "AB dışı imalatçı atamak zorundadır" hükmü yoktur. Operasyonel olarak AB tek temas noktası, Madde 18(3)(a) çerçevesinde 10 yıl belge saklama ve mevcut MDR/RED temsilcinizle entegre operasyon istiyorsanız atamayı seçebilirsiniz. Mevcut CE markası temsilciniz varsa yazılı vekâlete CRA özel görevlerini ekleyin; yeni atama tercih edilirse süreç 2-3 ay sürer. Atamamayı tercih edenler için AB ithalatçısı (Madde 19) üzerinden veya doğrudan otorite yanıt yolunu yazılı olarak belgeleyin.

Onaylanmış Kuruluş seçimi ve pazarlama

11 Aralık 2027 öncesinde CRA için Onaylanmış Kuruluş kapasitesi AB genelinde sınırlı olacak. Class I önemli ürün üreticilerinin tamamı aynı anda başvurduğunda kuyruklar oluşuyor. 2026 yaz aylarında ön başvuru yapmayan üreticiler, 2027 sonbaharında değerlendirme yuvası bulamama riskiyle karşılaşıyor.

Türkiye'de Onaylanmış Kuruluş statüsünde akredite kuruluşlar, radyoelektrik ve makine direktifleri kapsamında mevcut. CRA kapsamında Onaylanmış Kuruluş akreditasyonu ayrı bir süreç ve Nisan 2026 itibarıyla henüz kimse akredite değil. Pratik sonuç: Türk üretici Onaylanmış Kuruluş'u AB'de aramak zorunda. TÜV Rheinland, Bureau Veritas, SGS, DEKRA, TÜV SÜD gibi pan-Avrupa kuruluşlar ilk sırada değerlendirilebilir.

Seçim kriterleri:

• CRA kapsamında akreditasyon kapsamı (tüm Ek III ürünleri değil, belirli kategoriler akredite oluyor)
• Onaylanmış Kuruluş'un RED 2022/30 kapsamındaki varlığı (aynı kuruluşla hem RED hem CRA yönetmek iş yükünü azaltıyor)
• Türkçe veya Türkçe tercümanla çalışma desteği
• İlk değerlendirmede ortalama süre (4-6 hafta iyi, 6 ay kötü)
• Ücret yapısı: sabit kotasyon mu, zaman ve malzeme mi

Fiyat aralığı Class I önemli ürün için 15.000-45.000 EUR arasında, ürünün karmaşıklığına göre. Her yıl yeniden değerlendirme 5.000-15.000 EUR. Bu rakamlar ürün birim maliyet hesabına amortisman olarak dağıtılmalı.

Üretim süreci ve DevSecOps entegrasyonu

CRA Ek I Bölüm II güvenlik açığı yönetim sürecini "ürün ömrü boyunca" şart koşuyor. Bu, üretim süreci ile geliştirme süreci arasındaki sınırı bulanıklaştırıyor.

Pratik DevSecOps uygulaması için Türk EV şarj üreticisinin yol haritası:

• Kod deposu: her commit'te statik kod analizi (SAST), bağımlılık tarama (OWASP Dependency-Check veya Snyk), sır (secret) tarama. Hata eşiği yüksek olanlar CI boru hattını durduruyor.
• Derleme hattı: imzalı derleme çıktıları, SBOM üretimi, üçüncü taraf bileşen güvenlik açığı taraması (Trivy, Grype).
• Test ortamı: donanım benzetim (HIL) ortamında OCPP fuzzing, TLS handshake testleri, sertifika süresi dolmuş senaryosu, yeniden oynatma (replay) saldırı simülasyonu.
• Üretim ortamı: her ürüne benzersiz sertifika ve cihaz kimliği, HSM ile imzalanmış firmware, üretim hattında kurulan anahtarların geri izlenebilirliği.
• Saha izleme: ürün tabanından geri bildirim, anormal davranış algılama, uzaktan log toplama, MQTT veya OCPP üzerinden güvenlik olayı telemetrisi.

Bu altyapının kurulumu 6-12 ay, mevcut yazılım ekibinin siber güvenlik yetkinliği kazanması 12-18 ay. Dışarıdan uzman desteği ile bu süreç kısalıyor ama tamamen devredilmiyor, ekip içi yetkinlik CRA süreçlerinin kalıcılığı için zorunlu.

Tüketici iletişimi ve etiketleme

CRA Madde 13(18), ürün paketinde ve kullanım kılavuzunda yer alması gereken bilgileri listeliyor. EV şarj istasyonu için pratik sonuç:

• Ürün adı, model, seri numarası, donanım revizyonu
• AB Uygunluk Beyannamesinin nerede bulunduğu (URL veya QR kod)
• Güvenlik destek dönemi sonu tarihi (ay ve yıl)
• Güvenlik açığı bildirim kanalı (URL ve e-posta)
• Güvenlik açığı bildiriminin nasıl yapılacağı (Türkçe, İngilizce ve hedef AB dilinde)
• AB Yetkili Temsilcisi atandıysa adı ve adresi (Madde 18 · opsiyonel)

Etiketin fiziksel boyutu sınırlı, bu bilgilerin tamamı cihaz üzerine sığmıyor. Pratikte cihaz üzerinde QR kod + kalıcı URL, kullanım kılavuzunda tam bilgi, ürün web sayfasında güncel kanallar yayın stratejisi kullanılıyor.

CRA Evidence Danışmanlık Hizmeti

CRA Evidence, Türkiye'de yerleşik EV şarj ve akıllı enerji ekipmanı üreticileri için CRA'ya hazırlık danışmanlığı sunuyor. Hizmet kapsamı:

• Ürün sınıflandırma raporu: Ek III karşılaştırması, Onaylanmış Kuruluş gerekliliği analizi, harmonize standart haritalaması.
• Tedarikçi SBOM akışı kurulumu: OCPP ve firmware tedarikçilerinizle SBOM sözleşme maddesi şablonu, kendi derleme hattınızda SBOM üretim otomasyonu.
• ENISA bildirim prosedürü: 24 saat / 72 saat / 14 gün SOP, CVD politikası, security.txt yayını, SRP hesap açılışı.
• Teknik dosya boşluk analizi: Ek VII formatına göre mevcut teknik dosyanızın siber güvenlik bölümü eksikleri ve tamamlama planı.
• RED 2022/30 ile CRA örtüşme haritası: EN 18031 uyumunuzun CRA Ek I kapsamını ne kadar karşıladığının yazılı analizi.

İlk adım 45 dakikalık ücretsiz ön değerlendirme görüşmesi ve yazılı bir boşluk raporu. Ücret yok, sonraki adım için zorunluluk yok.

CRA'nın ürününüze uygulanıp uygulanmadığını kontrol edin →

Ücretsiz değerlendirme için başvurun →

Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. AB ürün mevzuatı kapsamındaki uygunluk yükümlülükleri için AB mevzuatına hâkim bir hukuk danışmanıyla görüşmeniz gerekir.