Türk Makine, Otomasyon ve HMI İhracatçıları için CRA Rehberi

Türk makine, otomasyon ve HMI ihracatçıları için CRA: uzaktan erişim, kontrolcüler, firmware güncellemeleri, SBOM, destek süresi ve Makine Yönetmeliği.

CRA Evidence Team Yayınlandı 22 Mayıs 2026 Güncellendi 27 Mayıs 2026
AB yıldız halkası, endüstriyel makine çizimi ve Türk makine ekipmanı CRA rehberi başlığıyla blog önizleme görseli
Bu makalede

Türk makine ihracatçısı için asıl soru artık sadece makinenin güvenli çalışıp çalışmadığı değil. HMI paneli uzaktan bağlanıyor mu? PLC firmware'i sahada güncelleniyor mu? Servis ekibi VPN üzerinden makineye erişiyor mu? Bu soruların yanıtı evetse, CE teknik dosyasına siber güvenlik kanıtı eklemeniz gerekir.

AB'nin yeni Makine Yönetmeliği 20 Ocak 2027'de uygulanmaya başlıyor. CRA ise dijital unsur içeren ürünler için ayrı bir siber güvenlik katmanı getiriyor. Bağlı makinelerde bu iki rejim aynı dosyada buluşur, ancak birbirinin yerine geçmez.

Bu rehber, AB'ye bağlı makine, otomasyon hattı, HMI, kontrol panosu ve endüstriyel ekipman ihraç eden Türk üreticilerin nereden başlaması gerektiğini açıklar. CRA'nın CE işaretine eklediği genel katmanı daha önce Türk ihracatçılar için CE işareti rehberinde ele aldık; bu yazı makine ve endüstriyel ekipman tarafına odaklanır.

Özet

  • CRA, Makine Yönetmeliği'nin yerine geçmez: bağlı makinelerde iki dosya birlikte yönetilir.
  • Uzaktan erişim kritik yüzeydir: VPN, modem, servis hesabı ve HMI portalı CRA risk analizine girer.
  • PLC/HMI her zaman önemli ürün değildir: sınıflandırma ürün adıyla değil, işlevle yapılır.
  • SBOM artık makine dosyasının parçasıdır: firmware, HMI yazılımı, açık kaynak kütüphaneler ve tedarikçi bileşenleri izlenmelidir.
  • Destek süresi makine ömrüyle çelişebilir: CRA'da beş yıl taban vardır, ancak endüstriyel kullanım beklentisi daha uzun olabilir.
  • Saha modifikasyonları risklidir: uzaktan firmware değişikliği veya yeni bağlantı özelliği önemli değişiklik sayılabilir.
  • 11 Eylül 2026 erken tarihtir: Madde 14 bildirim yükümlülükleri bu tarihte başlar; 11 Aralık 2027 tam uygulamasını beklemek geç kalmak demektir.

Bağlı makine ne zaman CRA kapsamına girer?

CRA, dijital unsur içeren ve doğrudan ya da dolaylı veri bağlantısı bulunan ürünleri kapsar. Makine internet üzerinden sürekli bağlı olmak zorunda değildir. Bluetooth, Ethernet, endüstriyel modem, USB ile firmware güncellemesi, yerel ağdaki HMI paneli veya servis VPN'i de bağlantı yüzeyi oluşturabilir.

Bu nedenle aşağıdaki ürün aileleri CRA açısından incelenmelidir:

Ürün veya sistem CRA açısından tipik soru
Paketleme makinesi HMI paneli, uzaktan bakım modemi veya firmware güncellemesi var mı?
CNC tezgâhı Kontrol yazılımı sahada güncelleniyor mu, ağ üzerinden program yükleniyor mu?
Tekstil makinesi Operatör paneli, üretim reçetesi veya uzaktan servis bağlantısı veri işliyor mu?
Gıda işleme hattı PLC, sensör ağı veya SCADA bağlantısı ürünün parçası mı?
Robotlu otomasyon hücresi Güvenlik kontrolcüsü, teach pendant veya uzaktan teşhis yazılımı var mı?
Endüstriyel kontrol panosu Müşteriye ayrı bir HMI, modem, VPN veya gateway ile mi teslim ediliyor?

Firmware içermeyen mekanik ekipman CRA'nın ana hedefi değildir. Ancak modern ihracat makinesinde kontrol yazılımı, sensör ağı, güvenlik PLC'si veya HMI bulunuyorsa, ürün ailesi en azından kapsam değerlendirmesine girmelidir.

Net ayrım: Makinenin elektriksel ve mekanik güvenliği CE dosyasında kalır. CRA, bu makinenin yazılım, bağlantı, güncelleme ve güvenlik açığı yönetimi tarafını dosyaya ekler.

CRA ve yeni Makine Yönetmeliği birlikte nasıl çalışır?

Makine Yönetmeliği, makinenin sağlık ve güvenlik gereklerini düzenler. Yeni metin, kontrol sistemlerinin bozulmaya karşı korunması ve güvenli çalışması konusunda siber güvenlik bağlantılı hükümler içerir. CRA ise aynı ürüne daha geniş bir ürün siber güvenliği çerçevesi getirir: SBOM, güvenlik açığı bildirimi, güvenli güncelleme, destek süresi ve teknik dosya kanıtı.

CRA metni, Makine Yönetmeliği kapsamındaki dijital ürünlerin her iki rejime de tabi olabileceğini kabul eder. Pratik sonuç şudur: aynı risk analizi iki dosyayı besleyebilir, ancak tek dosya iki yükümlülüğü otomatik kapatmaz.

Konu Makine Yönetmeliği CRA
Ana amaç Sağlık ve güvenlik Ürün siber güvenliği
Kontrol sistemi güvenliği Tehlikeli duruma yol açan bozulmayı önler Yetkisiz erişim, manipülasyon, açıklık ve güncelleme riskini yönetir
Teknik dosya Makine güvenliği, risk değerlendirmesi, testler Siber risk değerlendirmesi, SBOM, CVD, güvenli güncelleme, destek dönemi
Piyasa sonrası süreç Güvenlik odaklı düzeltme ve izlenebilirlik Açıklık izleme, güvenlik yamaları, ENISA bildirimi
Zamanlama 20 Ocak 2027 Bildirim 11 Eylül 2026, tam uygulama 11 Aralık 2027

Bu ayrım özellikle uzaktan bakım özelliği olan makinelerde önemlidir. Uzaktan servis hesabı yanlış yönetilirse makine tehlikeli bir hareket yapabilir. Aynı olay hem Makine Yönetmeliği açısından güvenlik riski, hem CRA açısından ürün siber güvenliği riski olabilir.

Bağlı makine için CRA kanıt haritası. HMI paneli, PLC, uzaktan servis bağlantısı, firmware güncellemesi ve saha sürüm envanteri makine dosyası, siber kanıt paketi ve AB müşteri sorularına bağlanır.
Uzaktan servis bağlantısı ve firmware güncellemesi olan makinelerde, makine güvenliği dosyası ile CRA siber kanıt paketi birlikte yönetilir.

Elektronik ve akıllı cihaz ihracatçıları için benzer tedarik zinciri sorunlarını Türk elektronik ve akıllı cihaz rehberinde ayrı ele aldık. Makine tarafında fark, güvenlik fonksiyonunun çoğu zaman fiziksel hareketle ve iş güvenliğiyle doğrudan bağlantılı olmasıdır.

PLC, HMI ve uzaktan erişim ürün sınıfını otomatik yükseltir mi?

Hayır. CRA sınıflandırması ürün adıyla yapılmaz. Bir PLC veya HMI paneli yalnızca endüstriyel üründür diye otomatik olarak önemli ürün sayılmaz. Ek III listesinde yer alan işlevlere bakılır.

Pratik sınıflandırma mantığı:

Bileşen veya işlev Tipik CRA yorumu
Sadece makinenin içinde çalışan PLC Genellikle makinenin parçası olarak değerlendirilir
Ayrı satılan endüstriyel VPN cihazı Önemli ürün Class I ihtimali yüksek
Ayrı satılan router, modem veya switch Ek III kapsamında önemli ürün olabilir
Fiziksel veya sanal ağ arayüzü ürünü Ek III Class I çizgisine girebilir
Güvenlik işlevli mikrodenetleyici Ek III Class I ihtimali vardır
Tamper-resistant mikrodenetleyici Ek III Class II ihtimali kontrol edilmelidir
Makineyle birlikte gelen HMI Ürünün genel risk dosyasına girer; tek başına sınıfı belirlemez

Bu ayrım yanlış yapılırsa iki sonuç doğar. Gereksiz yere üçüncü taraf değerlendirme yoluna girebilirsiniz ya da gerçekten önemli bir ağ bileşenini genel ürün gibi ele alabilirsiniz. Karar gerekçesini teknik dosyada kısa ve açık tutmak gerekir.

Mevcut sınıflandırma mantığını daha genel görmek için CRA ürün sınıflandırma rehberini kullanabilirsiniz.

İhracat kanalı ve imalatçı rolü

Türk makine üreticisi için CRA rolü, makinenin AB'de hangi adla ve hangi kanal üzerinden piyasaya sunulduğuna bağlıdır. Aynı makine ailesi için üç farklı rol ortaya çıkabilir.

Satış şekli CRA açısından pratik sonuç
Türkiye'deki üretici kendi markasıyla AB distribütörüne satar İmalatçı yükümlülükleri Türk üreticide kalır
AB'deki bağlı şirket aynı markayla satış yapar Teknik kanıt Türkiye'den gelir, ancak AB şirketi piyasa tarafında merkezi rol oynar
AB sistem entegratörü kendi markasıyla satmak üzere OEM üretim yaptırır AB markası imalatçı rolünü üstlenebilir; Türk üretici sözleşmeyle kanıt sağlar
AB müşterisi sahada önemli değişiklik yapar Değişikliği yapan taraf belirli koşullarda imalatçı yükümlülüğü üstlenebilir

Bu ayrım yalnızca hukuk ekibinin konusu değildir. SBOM'u kim tutacak, ENISA bildirimi için ilk bilgiyi kim verecek, güvenlik yaması hangi depodan çıkacak, destek dönemi müşteriye kim tarafından duyurulacak? Bu sorular satış sözleşmesine ve servis sözleşmesine yazılmalıdır.

OEM senaryosunda Türk üretici çoğu zaman CRA imalatçısı değildir. Buna rağmen AB markası, kendi yükümlülüklerini yerine getirmek için Türk üreticiden şu bilgileri ister:

  • firmware sürüm listesi ve SBOM çıktısı;
  • güvenlik açığı bildirimi için teknik irtibat;
  • kritik açıklık bulunduğunda kaç saat içinde ilk değerlendirme yapılacağı;
  • sahadaki makinelerin hangi sürümde olduğunu gösteren izlenebilirlik kaydı;
  • destek dönemi ve yedek parça bulunabilirliği.

Bu talepler "AB bizi denetliyor" anlamına gelmez. Daha pratik anlamı şudur: AB'deki imalatçı kendi teknik dosyasını tamamlamak için tedarik zincirinden kanıt toplar.

Teknik dosyaya hangi siber güvenlik kanıtları eklenmeli?

Makine üreticisinin teknik dosyası zaten ürün açıklaması, risk analizi, çizimler, test raporları ve AB Uygunluk Beyannamesi içerir. CRA bu dosyaya siber güvenlik eki ekler.

Bağlı makine için en az şu kanıtlar gerekir:

  1. Siber risk değerlendirmesi. Makinenin bağlantı yüzeyleri, varlıkları, tehditleri ve makul kötüye kullanım senaryoları yazılır.
  2. SBOM. HMI yazılımı, PLC runtime bileşenleri, Linux/RTOS katmanı, açık kaynak kütüphaneler, sürücüler ve tedarikçi firmware'i listelenir.
  3. CVD politikası. Güvenlik açığı bildirim adresi, triage sorumluları ve yanıt süreci belirlenir.
  4. Güvenli güncelleme kanıtı. İmzalı firmware, rollback planı, offline güncelleme yöntemi ve dağıtım kayıtları belgelenir.
  5. Destek dönemi gerekçesi. Ürünün beklenen kullanım süresi, yedek parça stratejisi ve destek bitiş tarihi yazılır.
  6. Saha sürüm envanteri. Hangi makinenin hangi firmware ve HMI sürümünü çalıştırdığı izlenebilir olmalıdır.

SBOM'un dayanağı, güvenlik açıklarının ve bileşenlerin belgelenmesini isteyen CRA Ek I Bölüm II'nin 1. noktasıdır. CVD politikası ve bildirim kanalı ise aynı bölümdeki güvenlik açığı yönetimi hükümleriyle birlikte değerlendirilir. Teknik dosya, bu sürecin nasıl yönetildiğini gösterir. SBOM'u yalnızca satış ekinin bir belgesi gibi görmek hata olur; ürün yaşam döngüsü boyunca güncellenmesi gerekir.

Tedarikçi firmware'i ve sözleşme boşlukları

Makine üreticisi çoğu zaman tüm yazılımı kendisi yazmaz. PLC runtime, HMI framework, endüstriyel modem firmware'i, güvenlik rölesi yazılımı, kamera sürücüsü veya uzaktan servis portalı üçüncü taraftan gelebilir.

CRA açısından bu durum sorumluluğu ortadan kaldırmaz. Ürünü AB pazarına sunan imalatçı, entegre ettiği bileşenlerin ürün siber güvenliğini zayıflatmaması için makul özen göstermek zorundadır. Bu yüzden tedarikçi sözleşmesi artık yalnızca teslimat ve garanti maddesiyle sınırlı kalamaz.

Makine üreticisinin tedarikçiden istemesi gereken asgari siber güvenlik maddeleri:

  • ürün veya firmware sürümü bazında SBOM çıktısı;
  • güvenlik açığı bildirimi için güvenlik irtibatı;
  • kritik açıklık bildirimi için kısa iç SLA;
  • destek bitiş tarihi ve yama politikasının yazılı beyanı;
  • imzalı firmware ve rollback kısıtı hakkında teknik açıklama;
  • açıklık düzeltildiğinde uygulanacak müşteri bilgilendirme akışı.

Bu maddeler yoksa teknik dosyada boşluk oluşur. AB müşterisi veya piyasa gözetim otoritesi ürünün güvenlik açığı yönetimini sorduğunda, "tedarikçimiz bilgi vermedi" savunması yeterli olmaz.

Uzaktan servis hesabı: en kritik saldırı yüzeyi

Birçok Türk makine üreticisi için uzaktan servis ticari olarak zorunlu. AB müşterisi arıza duruşu yaşadığında Türkiye'deki mühendis makineye bağlanır, log alır, parametre değiştirir veya firmware yükler. CRA açısından bu akış ürünün en yüksek riskli noktalarından biridir.

Uzaktan servis sürecinde şu kontroller yazılı olmalıdır:

  • her müşteri için ayrı kimlik ve erişim yetkisi;
  • çok faktörlü kimlik doğrulama;
  • varsayılan şifre olmaması;
  • geçici erişim penceresi ve müşteri onayı;
  • servis oturum kayıtları;
  • firmware yükleme için imza doğrulama;
  • güvenlik fonksiyonlarını etkileyen parametrelerde değişiklik kaydı;
  • eski firmware'e kontrolsüz dönüşün engellenmesi.

Makine Yönetmeliği tarafında bu konu güvenli çalışma ve kontrol sistemi güvenilirliğiyle ilgilidir. CRA tarafında ise yetkisiz erişim, bütünlük, açıklık yönetimi ve güvenli güncelleme kanıtıyla ilgilidir. Aynı mühendislik kontrolü iki dosyada da kullanılabilir; ancak her iki gerekçenin ayrı yazılması gerekir.

Destek süresi: beş yıl taban, daha uzun makine ömrü

CRA, destek döneminin ürünün beklenen kullanım süresini yansıtmasını ister ve beş yıllık taban koyar. Makine sektöründe bu basit bir madde değildir. Bir paketleme hattı, CNC tezgâhı veya gıda işleme makinesi AB müşterisinde 10 ila 20 yıl kalabilir.

Bu nedenle "beş yıl yeter" varsayımı her makine için savunulamaz. Ürünün bakım modeli, kontrolcü tedarikçisi, yedek parça bulunabilirliği ve müşteri beklentisi birlikte değerlendirilmelidir.

Pratik destek modeli:

Ürün katmanı Destek kararı
Makine mekanik gövdesi CRA dışı, ancak güvenlik dosyasının parçası
PLC ve güvenlik kontrolcüsü Tedarikçi firmware desteğiyle uyumlu destek dönemi
HMI yazılımı Üretici tarafından izlenen sürüm ve yama politikası
Uzaktan erişim modemi/VPN En yüksek riskli katman; güvenlik yamaları öncelikli
Bulut veya servis portalı Kullanım devam ettiği sürece açıklık izleme ve erişim kontrolü

Destek bitiş tarihini satış anında açık şekilde bildirmek gerekir. Makine satışı için bu bilgi teklif dosyasında, kullanım kılavuzunda ve ürün web sayfasında yer almalıdır.

Saha modifikasyonu ve imalatçı rolünün devri

AB müşterisi makineyi aldıktan sonra yeni bir uzaktan erişim modülü eklerse, HMI yazılımını değiştirirse veya güvenlik fonksiyonunu etkileyen firmware yüklerse ne olur? CRA açısından bu değişiklik önemli olabilir.

Orijinal imalatçı, ithalatçı veya dağıtıcı dışındaki bir kişi ya da şirket, üründe siber güvenlik uyumunu etkileyen önemli değişiklik yapıp değiştirilen ürünü AB pazarında kullanılabilir hale getirirse imalatçı yükümlülükleri o değişiklik için ona geçebilir. Bu kural özellikle sistem entegratörleri, retrofit firmaları ve uzaktan servis sözleşmeleri için önemlidir.

Türk üretici açısından üç belge faydalıdır:

  • hangi değişikliklerin üretici onayı gerektirdiğini açıklayan servis politikası;
  • firmware ve parametre değişiklikleri için imzalı değişiklik kaydı;
  • AB müşterisinin yaptığı yetkisiz değişikliklerde sorumluluk sınırını belirleyen sözleşme maddesi.

Bu belgeler sorumluluğu ortadan kaldırmaz, ancak sahadaki karar hattını netleştirir.

ENISA bildirimi için saha envanteri hazırlığı

CRA'nın bildirim kısmı 11 Aralık 2027 tam uygulama tarihini beklemez. Madde 14, 11 Eylül 2026'dan itibaren uygulanır. Aktif olarak istismar edilen bir güvenlik açığı veya ürünün güvenliğini etkileyen ciddi olay öğrenildiğinde üreticinin ENISA ve koordinatör CSIRT hattına bildirim yapması gerekir.

Bu tarih eski ve yeni ürün ayrımını da karıştırır. Ürün uygunluğu, CE dosyası ve CRA teknik dosyası açısından 11 Aralık 2027 ana tarihtir. Buna karşılık bildirim yükümlülüğü, CRA kapsamındaki ve AB pazarında bulunan ürünler için daha erken başlar. Bu nedenle sahadaki makineleri hiç izlemeyen bir üretici, teknik dosyayı hazırlamış olsa bile ilk aktif istismar olayında zorlanır.

Temel operasyon akışı:

Aşama İçerik
24 saat Erken uyarı: etkilenen ürün, ilk etki, hangi AB ülkelerinde bulunduğu
72 saat Daha ayrıntılı bildirim: açıklığın niteliği, exploit bilgisi, alınan önlem
Düzeltici önlem sonrası 14 gün Açıklık için nihai rapor: etki, şiddet, yama veya azaltım
Ciddi olay bildirimi sonrası 1 ay Olay için nihai rapor: kök neden, etki ve devam eden önlemler

Makine üreticisi için zor kısım teknik analiz değil, envanterdir. Hangi müşteride hangi kontrolcü sürümü var? Hangi HMI imajı kullanılıyor? Uzaktan erişim hesabı hangi makinelerde açık? Bu bilgiler hazır değilse 24 saatlik bildirim süresi gerçekçi değildir.

Sıkça Sorulan Sorular

Makine Yönetmeliği'ne uyum CRA'yı otomatik karşılar mı?

Hayır. Makine Yönetmeliği, makinenin sağlık ve güvenlik gereklerine odaklanır; CRA ise dijital unsur içeren ürünün siber güvenlik yaşam döngüsünü düzenler. Kontrol sistemi güvenliği gibi alanlarda aynı mühendislik kanıtı iki dosyada kullanılabilir, ancak SBOM, CVD politikası, güvenlik güncelleme süreci ve ENISA bildirimi CRA açısından ayrıca yönetilmelidir.

PLC veya HMI kullanan her makine CRA'da önemli ürün sayılır mı?

Hayır. CRA sınıflandırması ürün adıyla değil, ürünün piyasaya hangi işlevle sunulduğuyla yapılır. Makinenin içine entegre bir HMI çoğu durumda makinenin genel risk dosyasına girer; ayrı satılan VPN cihazı, router, switch veya güvenlik işlevli mikrodenetleyici ise Ek III kapsamında ayrıca değerlendirilebilir. Genel sınıflandırma için CRA ürün sınıflandırma rehberini kullanın.

Uzaktan servis bağlantısını kapatırsak CRA kapsamından çıkar mıyız?

Her zaman değil. Ürün firmware güncellemesi, yerel ağ bağlantısı, USB üzerinden yazılım yükleme veya HMI veri aktarımı gibi başka bağlantı yüzeyleri içeriyorsa CRA kapsam değerlendirmesi devam eder. Uzaktan erişimi kapatmak riski azaltabilir, ancak ürünün dijital unsur içerip içermediği ve makul öngörülebilir kullanım senaryosu ayrıca incelenmelidir.

SBOM'u makine müşterisine vermek zorunda mıyız?

CRA, SBOM'un hazırlanmasını ve teknik dokümantasyonda yönetilmesini gerektirir; SBOM'un tamamının herkese açık olması gerekmez. Piyasa gözetim otoritesi gerekçeli talepte bulunursa sunulabilecek durumda olmalıdır. AB müşterileri ise özellikle OEM veya sistem entegratörü olduklarında sözleşmeyle SBOM özeti, portal erişimi veya bileşen kanıtı isteyebilir.

AB Yetkili Temsilcisi atamak zorunda mıyız?

CRA Madde 18 atamayı zorunlu kılmaz; AB dışında yerleşik imalatçı yazılı vekâletle AB Yetkili Temsilcisi atayabilir. Atama yapılırsa temsilcinin görevi esas siber güvenlik yükümlülüklerini üstlenmek değil, teknik dosya ve AB Uygunluk Beyannamesi gibi belgeleri otoritelere hazır tutmak ve piyasa gözetim sürecinde iş birliği yapmaktır.

Sahada kurulu eski makineler için CRA geriye dönük uygulanır mı?

CRA'nın tam ürün uygunluk yükümlülükleri, genel olarak 11 Aralık 2027'den sonra piyasaya sunulan veya bu tarihten sonra önemli değişiklik gören ürünler için devreye girer. Ancak aktif istismar edilen açıklık ve ciddi ürün güvenliği olayı bildirimleri daha erken başlayan ayrı bir başlıktır. Eski makineler için saha envanteri ve güvenlik açığı iletişim kanalı bu yüzden yine önemlidir.

İlk hazırlık adımı ürün sınıflandırması mı, SBOM mu olmalı?

İkisi paralel ilerlemelidir. Sınıflandırma, uygunluk değerlendirme yolunu ve üçüncü taraf ihtiyacını belirler; SBOM ise teknik dosyanın ve güvenlik açığı yönetiminin temel girdisidir. Kapsamı hızlı doğrulamak için CRA uygulanabilirlik kontrolünü çalıştırabilir, ardından ürün ailesi bazında SBOM deneme çıktısı alabilirsiniz.

Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. AB ürün mevzuatı kapsamındaki uygunluk yükümlülükleri için AB mevzuatına hâkim bir hukuk danışmanıyla görüşmeniz gerekir.

Bağlı makine portföyü için ilk kontrol listesi

  1. AB'ye giden ürün envanterini çıkarın. Her makine ailesi için HMI, PLC, modem, VPN, bulut bağlantısı, firmware güncelleme yöntemi ve satış kanalı bilgilerini yazın.
  2. CRA kapsam kararını belgeleyin. Ürün dijital unsur içeriyor mu, doğrudan veya dolaylı bağlantısı var mı, hangi parça ayrı satılıyor? Bu üç soruya yazılı yanıt verin.
  3. Makine Yönetmeliği dosyasıyla CRA ekini ayırın. Aynı risk analizinden yararlanın, ancak siber güvenlik kanıtlarını ayrı bölümde yönetin.
  4. SBOM deneme çıktısı alın. HMI imajı, Linux/RTOS katmanı, açık kaynak kütüphaneler ve tedarikçi firmware'i için CycloneDX veya SPDX denemesi yapın.
  5. Uzaktan servis politikasını yenileyin. Varsayılan şifre, ortak servis hesabı, süresiz VPN ve kayıtsız parametre değişikliği varsa kapatın.
  6. Destek dönemi kararını ürün ailesi bazında verin. Beş yıl tabanı, makine ömrü, tedarikçi firmware desteği ve yedek parça planını birlikte değerlendirin.
  7. ENISA bildirim provasını yapın. Cuma akşamı gelen aktif istismar bildirimi senaryosuyla 24 saatlik karar hattını test edin.
  8. AB Yetkili Temsilcisi kararını yazılı hale getirin. CRA atamayı opsiyonel bırakır. Atama yapılacaksa Madde 18 görevleri vekâlette açıkça yazılmalıdır.

AB müşterisi CRA soru formu, SBOM özeti veya teknik dosya kanıtı istemeye başladıysa, bu kontrol listesini bir ürün ailesinde deneyin. Dış göz gerekiyorsa CRA Evidence kapsam kararını, SBOM boşluklarını, 24 saatlik bildirim hattını ve teknik dosya eklerini birlikte kontrol edebilir. Ücretsiz değerlendirme için başvurun.

CRA Türk Makine İhracatçıları Endüstriyel Ekipman Makine Yönetmeliği Firmware
Share

İlgili Makaleler

Tüm makalelere dön

CRA ürününüze uygulanıyor mu?

Ürününüzün AB Siber Dayanıklılık Yasası kapsamına girip girmediğini öğrenmek için 6 basit soruyu yanıtlayın. Sonucunuzu 2 dakikadan kısa sürede alın.

Şimdi Kontrol Et