Türk ihracatçılar için CRA rol rehberi

Makine, elektronik, EV şarj ve beyaz etiket ürünlerde Türk üretici, AB markası, ithalatçı, dağıtıcı ve yetkili temsilci rollerini ayırın.

CRA Evidence Team Yayınlandı 21 Haziran 2026
Türk üreticiden AB markasına, ithalatçıya, dağıtıcıya ve yetkili temsilciye giden CRA rol ve kanıt akışını gösteren şema
Bu makalede

Türk üreticiler için CRA'da ilk soru çoğu zaman ürün sınıfı değil, roldür. Ürünü AB pazarına kimin adıyla koyuyorsunuz? Kendi markanızla mı satıyorsunuz, AB alıcısı kendi markasını mı basıyor, ithalatçı sadece kontrol mü yapıyor, dağıtıcı ürünü olduğu gibi mi satıyor?

Makine, otomasyon, HMI, akıllı ev elektroniği, EV şarj cihazı, enerji ekipmanı ve beyaz etiket ürünlerde aynı teknik ürün farklı satış kanallarında farklı sorumluluk doğurabilir. Bu rehber bu rol ayrımını netleştirir.

Ürün kapsamı ve CE dosyasına eklenecek siber güvenlik katmanı için CE işaretli Türk ihracatçılar rehberine, makine ve otomasyon tarafı için Türk makine ve endüstriyel ekipman rehberine, EV şarj tarafı için Türk EV şarj ve akıllı enerji rehberine bakın.

Özet

  • Türk şirketi ürünü kendi adı veya markasıyla AB'ye sunuyorsa, genellikle imalatçı rolündedir
  • AB markası aynı ürünü kendi adıyla satıyorsa, dışa dönük imalatçı çoğu zaman AB markasıdır
  • OEM veya beyaz etiket satışta Türk üretici "görünmez" olsa bile SBOM, güvenlik açığı, güncelleme ve teknik dosya kanıtı vermek zorunda kalır
  • İthalatçı ve dağıtıcı imalatçının yerine geçmez; ama CE işareti, belge, destek süresi, iletişim bilgisi ve risk işaretlerini kontrol eder
  • Yetkili temsilci isteğe bağlı bir AB irtibat rolüdür; tasarım, risk değerlendirmesi, güvenlik açığı yönetimi ve uygunluk sorumluluğunu devralmaz
  • İthalatçı, dağıtıcı veya AB müşterisi ürünü kendi markasıyla satarsa ya da firmware, bulut veya güncelleme yolunu önemli biçimde değiştirirse imalatçı sorumluluğu ona geçebilir

Rolü satış adı belirler

CRA'da imalatçı sadece ürünü fabrikada üreten şirket değildir. Ürünü kendi adı veya ticari markası altında AB pazarına sunan şirket esas alınır.

Türk üretici, AB markası, ithalatçı, dağıtıcı ve yetkili temsilci için CRA rol haritası. Beyaz etiket satışta AB markası dışa dönük imalatçı olur; Türk üretici SBOM ve güvenlik açığı kanıtı sağlar. Kendi marka satışı veya büyük değişiklik imalatçı sorumluluğunu değiştirebilir.
CRA rolü sadece üretim yerine göre değil, ürünün AB'de kimin adıyla satıldığına ve ürünü kimin değiştirdiğine göre belirlenir.
Satış yapısı Dışa dönük rol Türk tarafında hazırlanacak kanıt
Türk şirketi kendi markasıyla AB'ye satıyor Türk şirketi imalatçı Teknik dosya, SBOM, güncelleme politikası, güvenlik açığı süreci, AB bildirim hazırlığı
AB markasına OEM / beyaz etiket üretim AB markası imalatçı olabilir Ürün ve firmware kanıtı, SBOM, yama SLA'sı, teknik dosyanın ilgili bölümleri
AB ithalatçısı Türk markalı ürünü getiriyor Türk şirketi imalatçı, ithalatçı kontrol rolünde İthalatçının görebileceği belge, işaretleme, destek süresi, irtibat bilgisi
Dağıtıcı kendi markasıyla yeniden satıyor Dağıtıcı imalatçı olabilir Marka değişikliği sonrası ürün dosyası ve sorumluluk paylaşımı
Entegratör firmware, bulut veya kullanım amacını değiştiriyor Değiştiren taraf imalatçı olabilir Değişiklik sınırı, etki analizi, önceki ve yeni kanıtlar

Bileşenler ne zaman kendi dosyasını gerektirir?

Türk üretici bağlantılı bir kontrol kartını, haberleşme modülünü, gateway'i, firmware paketini veya servis yazılımını kendi adı veya markasıyla AB pazarına sunuyorsa, o bileşen ayrı bir dijital unsur içeren ürün olarak değerlendirilebilir.

Kararı üç soruyla başlatın.

Soru Pratik yorum
Yazılım, firmware veya veri işleyen donanım içeriyor mu? Kontrol kartı, gateway, bağlantı modülü ve firmware paketi genellikle incelenir
Türk şirketinin adı veya markasıyla AB'ye sunuluyor mu? Evetse Türk şirketi bu bileşenin imalatçısı olabilir
Doğrudan veya dolaylı veri bağlantısı var mı? Bağlantı işlevi olmayan aynı özellikte yedek parçaları otomatik CRA kapsamına yazmayın

Aynı bileşen yalnızca AB markasının bitmiş ürününe gömülüyorsa dışa dönük sorumluluk çoğu zaman bitmiş ürün markasında kalır. Buna rağmen marka, SBOM, güvenlik açığı kararı, yama ve destek süresi kanıtını sözleşmeyle ister.

Not: Aynı modül, farklı satış yollarında Türk tarafın rolünü değiştirir. Bir bileşen üreticisinin endüstriyel haberleşme gateway'ini iki yoldan sevk ettiğini varsayalım. Birinci yol, kendi markasını basıp AB'deki bir dağıtıcıya doğrudan satıştır. Bu durumda gateway tek başına pazara sunulan bir dijital bileşen ürünüdür ve Türk üretici o ürünün imalatçısı olur. Teknik dosya, uygunluk değerlendirmesi, SBOM, güvenlik açığı işleme ve destek süresi tümüyle Türk tarafın yükümlülüğündedir. İkinci yol, aynı gateway'i bir AB makine markasına verip o markanın bitmiş ürününe gömmektir. Bu durumda bitmiş ürünü kendi adıyla pazara süren AB markası imalatçıdır ve Türk tarafın yükümlülüğü mevzuattan değil tedarik sözleşmesinden doğar. Yani SBOM ve güvenlik açığı dayanağını markaya iletme kanıt görevidir. Firmware kodu aynı olsa bile sorumluluk çizgisi iki yolda tamamen farklıdır.

OEM satışta kanıt sorumluluğu neden bitmez?

AB markası dışa dönük imalatçı olduğunda bile, ürün dosyasını tamamlamak için Türk üreticinin kanıtına ihtiyaç duyar.

Örneğin Türkiye'deki bir üretici AB markası için akıllı priz, inverter, EV şarj cihazı, HMI paneli veya makine kontrolörü üretiyorsa, gerçek firmware SBOM'u, yama geçmişi, tedarikçi bileşenleri, güvenlik açığı değerlendirmesi ve destek süresi bilgisi Türk taraftadır. AB markası kendi adına satış yapabilir; ama bu bilgileri kendisi tahmin ederek dosya oluşturamaz.

Sözleşmeye girmesi gereken tipik konular şunlardır:

  • Ürün, firmware ve bulut bileşenleri için SBOM
  • Aktif istismar şüphesinde kısa süreli ilk bildirim
  • Güvenlik açığının ürünü etkileyip etkilemediğine dair karar kaydı
  • Güvenlik yaması, sürüm notu ve müşteri SKU eşlemesi
  • Destek süresi ve ürün ömrü sonu planı
  • Teknik dosyada kullanılacak tasarım, test ve risk kanıtı
  • AB markasının yetkili makamlara veya müşterilere gösterebileceği kanıt bağlantıları

Buradaki ayrım önemli: dışa dönük yasal rol ile sözleşmesel kanıt görevi aynı şey değildir. OEM olduğunuz için AB makamına doğrudan bildirim yapmayacağınız durumlar olabilir. Ama OEM olduğunuz için SBOM veya güvenlik açığı verisi vermeyeceğiniz anlamı çıkmaz.

Sözleşmeye "iş birliği yapılacaktır" yazmak yetmez; güvenlik açığı çıktığında kimin ne zaman ne vereceği belirsiz kalır. Madde bazında somut değerleri önceden sabitleyin:

Sözleşme maddesi Sözleşmede sabitlenecek somut değer
SBOM Format (CycloneDX veya SPDX), kapsam birimi (ürün/bileşen/firmware sürümü bazında), güncelleme zamanı
Güvenlik açığı ilk değerlendirmesi Sorumlu şirket, ilk yanıt süresi, iletişim kanalı (PSIRT)
Yama Yama sürümü sağlama yükümlülüğü, sürüm notu dili, dağıtım yolu
Destek süresi Destek bitiş ay/yılı, uzun ömürlü ürün için uzatma koşulu
Teknik dosya iş birliği Sağlanacak tasarım/test/risk belgelerinin kapsamı, otorite talebine yanıt süresi

Kendi markanızla AB'ye satıyorsanız

Türk şirketi ürününü kendi adıyla AB'ye sunuyorsa, CRA dosyasını kendi yönetmelidir. Bu, sadece teknik doküman hazırlamak değildir; ürün piyasadayken güvenlik açığı almak, değerlendirmek, düzeltmek, güncelleme sağlamak ve ciddi durumlarda kısa sürede bildirim yapabilmek anlamına gelir.

Kendi marka satışta temel paket şu olmalıdır:

Paket İçerik
Belge ve işaretleme CE işareti, AB uygunluk beyanı, ürün kimliği, üretici irtibatı, destek bitiş tarihi
Siber güvenlik kanıtı SBOM, CVD irtibatı, güvenlik açığı prosedürü, güvenlik güncelleme politikası
Teknik dosya indeksi Risk değerlendirmesi, tasarım kontrolleri, test kayıtları, tedarikçi kanıtı, kullanılan standart ve sertifikalar
Olay irtibatı PSIRT irtibatı, AB satış ülkeleri, ithalatçı ve dağıtıcı listesi, müşteri SKU bilgisi

2026 Eylül'den itibaren aktif olarak istismar edilen güvenlik açıkları ve önemli ürün güvenliği olayları için kısa süreli bildirim akışı gerekir. Bu nedenle Türk üreticinin sadece belge dosyasına değil, 24 saat içinde karar verecek bir iç sürece de ihtiyacı vardır.

İthalatçı ve dağıtıcı neyi kontrol eder?

AB ithalatçısı, üreticinin gerekli değerlendirmeyi yaptığını, teknik dosyayı hazırladığını, CE işareti ve uygunluk beyanını düzenlediğini, kullanıcı bilgilerini ve destek süresini sağladığını kontrol eder. Dağıtıcı de ürünü piyasaya vermeden önce görünür belgeleri, üretici ve ithalatçı bilgilerini, kullanıcı talimatlarını ve risk işaretlerini kontrol eder.

Bu roller imalatçının yerine geçmez. İthalatçı veya dağıtıcı Türk üreticinin SBOM'unu, risk değerlendirmesini veya güvenlik güncelleme sürecini sıfırdan yazan taraf değildir. Ancak açık bir eksik görürlerse ürünü piyasaya veremez veya risk bilgisini iletmek zorunda kalırlar.

Bu yüzden Türk ihracatçı için pratik sonuç şudur: "AB'de ithalatçım var" demek yeterli değildir. İthalatçının kontrol edebileceği ve gerektiğinde saklayabileceği kanıt paketini önceden hazırlamak gerekir.

Yetkili temsilci imalatçının yerine geçmez

AB dışında yerleşik Türk üretici, AB içinde bir yetkili temsilci atayabilir. Bu atama pratikte faydalı olabilir: makamlarla irtibat, uygunluk beyanı ve teknik dosyanın saklanması, piyasa gözetimi taleplerine yanıt gibi işler için AB içinde bir adres oluşturur.

Ancak yetkili temsilci tasarım, geliştirme, risk değerlendirmesi, destek süresi, güvenlik açığı yönetimi veya ürünün uygunluğunu devralan şirket değildir. Vekalet belgesi neyi kapsıyorsa onu yapar. Türk üretici sözleşmede kendi çekirdek sorumluluklarını tamamen devretmiş gibi yazmamalıdır.

Önce şu liste net olmalıdır:

  • AB'ye giden ürünler
  • Teknik dosyanın nerede tutulduğu
  • AB uygunluk beyanını kimin imzaladığı
  • Güvenlik açığı geldiğinde kimin karar verdiği
  • İthalatçı, dağıtıcı ve ana AB müşterilerinin listesi

Vekaletle nelerin devredileceği ve vekaletname nasıl yazılacağı konuları AB yetkili temsilcisinin rolü ve vekalet kapsamı sayfasında ayrıntılı ele alınmaktadır.

Rolü değiştiren riskli hamleler

İthalatçı, dağıtıcı, bayi, sistem entegratörü veya AB müşterisi aşağıdaki hamleleri yaparsa basit satıştan çıkar, imalatçı sorumluluğuna yaklaşır:

  • Ürünü kendi adı veya markasıyla satmak
  • Firmware'i değiştirmek
  • Güncelleme sunucusunu veya imza anahtarını değiştirmek
  • Bulut yönetim servisini farklı bir servisle değiştirmek
  • Ürünün kullanım amacını veya güvenlik sınırını değiştirmek
  • Güvenlik özelliğini kapatmak veya yeni güvenlik özelliği eklemek
  • Destek süresi veya güncelleme politikasını değiştirmek

Değişiklik ürün güvenliğini etkiliyorsa sorumluluk sadece değiştirilen bölümle sınırlı kalabilir veya ürünün tamamına yayılabilir. Bunu satıştan sonra tartışmak yerine, sözleşmede değişiklik öncesi kanıt, değişiklik sonrası kanıt, müşteri bildirimi ve yama sorumluluğu ayrı ayrı yazılmalıdır.

Buna karşılık, aşağıdaki işlemler imalatçı rolünü değiştirmez:

  • Üreticinin kendi güvenlik güncellemesini olduğu gibi dağıtmak veya uygulamak
  • Kullanım amacını değiştirmeyen ve riski artırmayan küçük arayüz değişikliği (örneğin bir görüntüleme dili eklemek)
  • Ambalaj veya etiketi yenilemek ya da kullanım amacını değiştirmeyen bakım ve onarım
  • Bağlantı işlevi katmayan, aynı özellikte bir parçayı değiştirmek

Belirleyici ölçüt iki sorudur: değişiklik ürünün siber güvenlik uygunluğunu etkiliyor mu, yoksa ürünün öngörülen kullanım amacını değiştiriyor mu? Her ikisi de hayırsa, işlem satış veya kurulum kapsamında kalır ve imalatçı rolü özgün üreticiye ait olmaya devam eder.

Güvenlik açığı ve ciddi olayda rol dağılımı

Aktif olarak istismar edilen bir güvenlik açığı veya ciddi bir ürün güvenliği olayı çıktığında CRA kısa süreler koyuyor. Dışa dönük imalatçı, ENISA'nın Tek Bildirim Platformu (SRP) üzerinden tek bir koordinatör CSIRT'e bildirim yapar. Süreç şu şekilde işler:

  • 24 saat içinde: erken uyarı
  • 72 saat içinde: güvenlik açığına veya olaya ilişkin ayrıntılı bildirim
  • Nihai rapor: güvenlik açığında düzeltici veya azaltıcı tedbir sağlandıktan sonra 14 gün içinde, ciddi olayda 72 saatlik bildirimden sonra bir ay içinde
  • Bunların yanı sıra, etkilenen kullanıcılara bilgi verilmesi

Bu bildirim yükümlülüğü 11 Eylül 2026'dan itibaren geçerlidir. Ürüne ilişkin temel yükümlülüklerin tamamı ise 11 Aralık 2027'den itibaren uygulanır.

Buradaki pratik sorun şudur: dışa dönük imalatçı AB markası olsa bile, 24 saatlik erken uyarı için gereken bilgilerin büyük bölümü Türk taraftadır. Hangi firmware sürümünün etkilendiği, istismarın niteliği, geçici azaltma önlemi ve yama takvimi; tasarımı ve güncellemeleri elinde tutan Türk imalatçının ilk karar vereceği konulardır.

Rol Açık veya olay anında ne yapar
Türk imalatçı (tasarım ve güncellemeyi elinde tutan) İlk değerlendirme, etkilenen sürümlerin belirlenmesi, yama ve sürüm notu, dışa dönük imalatçıya anında bildirim
Dışa dönük imalatçı (kendi markalı Türk imalatçı ya da AB markası) SRP üzerinden bildirim, etkilenen kullanıcılara bilgi, nihai rapor
İthalatçı ve dağıtıcı Üretici ve otorite iletişiminin iletilmesi, etkilenen ürünün satış ve stok yönetimi
AB yetkili temsilcisi Vekaletname kapsamında otorite iletişimini destekleme, belgeler sunma

OEM sözleşmesinde "bildirimi kimin yapacağı" ile "24 saat içinde değerlendirme materyalini kimin sağlayacağı" ayrı ayrı yazılmalıdır. Dışa dönük imalatçı bildirim öznesi olsa bile Türk tarafının gecikmesi erken uyarı süresini aşındırır. Hangi CSIRT'e bildirileceğini önceden belirlemek için CSIRT karar rehberine bakın.

Sıkça Sorulan Sorular

AB markası için beyaz etiket üretim yapıyorsak CRA bizi ilgilendirir mi?

Evet. AB markası dışa dönük imalatçı olabilir, ancak ürün dosyasını tamamlamak için Türk üreticiden SBOM, güvenlik açığı kararı, yama bilgisi, destek süresi ve teknik kanıt ister. Bu yükümlülük çoğu zaman sözleşme, tedarikçi denetimi ve müşteri portalı üzerinden gelir.

AB ithalatçımız varsa imalatçı sorumluluğu biter mi?

Hayır. Ürün Türk şirketinin adıyla satılıyorsa imalatçı rolü Türk şirkette kalır. İthalatçı kontrol ve piyasa arzı görevleri taşır, ama üreticinin SBOM'unu, güncelleme politikasını, güvenlik açığı sürecini ve teknik dosyasını onun yerine oluşturmaz.

Yetkili temsilci atarsak teknik ve bildirim sorumluluğunu devredebilir miyiz?

Hayır, kapsam sınırlıdır. Yetkili temsilci makamlarla iletişim ve belge saklama gibi işleri destekleyebilir. Tasarım, risk değerlendirmesi, güvenlik açığı yönetimi, destek süresi ve ürün uygunluğu imalatçı tarafında kalır.

Dağıtıcı ürünümüzü kendi markasıyla satarsa ne olur?

Kendi adı veya markasıyla piyasaya sunarsa dağıtıcı imalatçı sorumluluğuna girebilir. Aynı sonuç, ürünün siber güvenliğini etkileyen büyük firmware, bulut, güncelleme yolu veya kullanım amacı değişikliklerinde de doğabilir. Bu nedenle marka kullanımı ve değişiklik yetkisi sözleşmede açık yazılmalıdır.

AB'de yerleşik değilsek hangi CSIRT'e bildirim yaparız?

CRA bildirimi ENISA SRP üzerinden tek bir AB koordinatör CSIRT'ine yapılır. AB'de ürün güvenliği kararlarını veren ana yerleşiminiz yoksa sıralama yetkili temsilci, ithalatçı, dağıtıcı ve en çok kullanıcının bulunduğu ülke şeklindedir. Ayrıntılı karar ağacı için AB'de hangi CSIRT rehberine bakın.

Sonraki adımlar

  1. Satış adını ürün bazında ayırın. Kendi marka, AB markası OEM, beyaz etiket, dağıtıcı satışı ve entegratör kanalını aynı tabloya atmayın. Ürünün CRA kapsamında olup olmadığından emin değilseniz CRA uygulanabilirlik kontrol aracı ile başlayın.
  2. AB tarafındaki rolleri listeleyin. İthalatçı, dağıtıcı, yetkili temsilci, AB marka sahibi ve ana müşterileri ürün dosyasına bağlayın.
  3. OEM sözleşmesine kanıt maddeleri koyun. SBOM, güvenlik açığı kararı, yama, destek süresi ve teknik dosya desteğini açık yazın.
  4. Değişiklik tetikleyicilerini tanımlayın. Firmware, bulut, güncelleme yolu, marka ve kullanım amacı değişirse kimin yeniden değerlendireceğini belirleyin.
  5. Bildirim akışını prova edin. Aktif istismar şüphesi geldiğinde kim karar verir, kim AB markasına veya ithalatçıya haber verir, hangi kanıt gönderilir? AB'de ana yerleşiminiz yoksa CSIRT sıralamasını önceden belirleyin.

Türk üretici, AB markası, ithalatçı, dağıtıcı ve yetkili temsilci hangi kanıtı tutacak, güvenlik açığı geldiğinde kim karar verecek ve müşteri bildirimini kim yapacak; asıl ticari risk burada oluşur. CRA Evidence danışmanlık ekibi, ürün ailesi bazında rol ayrımını yapar, OEM sözleşmelerinde SBOM, güvenlik açığı kararı, yama sorumluluğu ve bildirim akışı sınırlarını netleştirir. Başlamak için ücretsiz değerlendirme için başvurun.

Bu yazı genel bilgilendirme amaçlıdır ve hukuki danışmanlık değildir. Ürün, sözleşme ve satış kanalı bazında AB ürün regülasyonu konusunda uzman danışmanla değerlendirme yapılmalıdır.

CRA Türk İhracatçılar AB Markası İthalatçı Dağıtıcı OEM
Share

İlgili Makaleler

Tüm makalelere dön

CRA ürününüze uygulanıyor mu?

Ürününüzün AB Siber Dayanıklılık Yasası kapsamına girip girmediğini öğrenmek için 6 basit soruyu yanıtlayın. Sonucunuzu 2 dakikadan kısa sürede alın.

Şimdi Kontrol Et