CRA açığını USOM'a mı bildireceksiniz? AB'de hangi CSIRT?
CRA açığı USOM'a değil, ENISA üzerinden tek bir AB koordinatör CSIRT'ine bir kez bildirilir. AB'de yerleşik olmayan Türk üreticiler adresi nasıl belirler?
Bu makalede
- Özet
- Tek kural: bir kez, tek bir koordinatör CSIRT'e
- Önce AB yerleşiklik testi, sonra sıralama
- AB 27 ülkesi bildirim CSIRT tablosu
- Yanlış adrese düşmenin sekiz tuzağı
- USOM ayrıdır, yetkili temsilci açık bildirim merkezi değildir
- Liste yaşayan bir belgedir
- Bildirim öncesi mini kontrol listesi
- Sıkça Sorulan Sorular
- CRA Evidence Danışmanlık Hizmeti
Türkiye'de bir açık tespit ettiğinizde ilk refleksiniz büyük olasılıkla USOM'a koşmak olur. Mantıklı görünür: USOM Türkiye'nin ulusal siber olay merkezidir. Ama CRA kapsamında bir AB ürün açığı için bu yanlış adrestir. USOM'un CRA bildiriminde rolü yoktur.
Doğru adres tek bir AB koordinatör CSIRT'idir ve oraya ENISA üzerinden bir kez bildirirsiniz. 27 ülkeye 27 ayrı bildirim yapmazsınız. AB'de yerleşik olmayan bir Türk imalatçı, doğru adresi AB yerleşiklik testi ve 4 basamaklı sıralamayla belirler. Aşağıdaki tablo 27 üye devletin koordinatör CSIRT adaylarını gösterir.
Özet
- Tek adres, tek bildirim: Aktif istismar edilen bir açığı ENISA'ya ve tek bir koordinatör CSIRT'e aynı anda bildirirsiniz. Kanal ENISA Tek Bildirim Platformu (SRP).
- USOM CRA adresi değildir: USOM bildirimi paralel bir Türk yükümlülüğü olabilir, ama CRA yükümlülüğünü karşılamaz.
- Önce AB yerleşiklik testi: AB'de ürün güvenliği kararlarını veren bir biriminiz varsa, o ülkenin CSIRT'ine bildirirsiniz. Sıralama hiç çalışmaz.
- AB'de yerleşik değilseniz 4 basamaklı sıralama: yetkili temsilci, sonra en büyük ithalatçı, sonra en büyük dağıtıcı, sonra en çok kullanıcı.
- 27 ülke tablosu: Çoğu CSIRT için doğru kuruluş, ülke içindeki benzer isimli kuruluşlardan farklıdır. Tablo tuzakları işaret eder.
- Liste yaşayan bir belgedir: ENISA, resmî CRA bildirim uç noktası listesini henüz yayımlamadı. Bildirim anında SRP sayfasından doğrulayın.
Tek kural: bir kez, tek bir koordinatör CSIRT'e
CRA bildirim mekanizması tek kanaldan işler. Aktif olarak istismar edilen bir açık tespit ettiğinizde tek bir yere bildirirsiniz: ENISA Tek Bildirim Platformu. Bu platform raporu aynı anda iki tarafa ulaştırır: tek bir koordinatör CSIRT ve ENISA.
Raporu alan koordinatör CSIRT, ürününüzün satıldığını bildirdiğiniz her AB üyesi ülkenin CSIRT'ine raporu kendisi iletir. Dağıtımı siz yapmazsınız. Almanya, Hollanda, İtalya ve İspanya'da satış yapıyorsanız bile dört kez bildirmezsiniz. Bir kez bildirir, gerisini koordinatör halleder.
Zamanlamayı hazır tutun: ilk fark ettiğinizde 24 saat içinde erken uyarı, 72 saat içinde bildirim, düzeltici önlem hazır olduktan sonra 14 gün içinde nihai rapor.
Önce AB yerleşiklik testi, sonra sıralama
Tek adresi belirlemeden önce bir yol ayrımı var ve çoğu üretici bunu atlar.
AB içinde, ürünlerinizin siber güvenlik kararlarının ağırlıklı olarak alındığı bir biriminiz varsa, bildirim adresiniz o üye devletin koordinatör CSIRT'idir. Bu durumda 4 basamaklı sıralama hiç çalışmaz. Bir AB şubeniz ürün güvenlik kararlarını veriyorsa, mesele orada biter.
Sıralama yalnızca AB'de ana yerleşiminiz yoksa devreye girer. Türkiye'de üretip AB'ye ihraç eden, AB'de karar veren bir birimi olmayan imalatçıların büyük bölümü bu ikinci durumdadır. CRA kapsamında kimin "imalatçı" sayıldığını netleştirmek için CE işareti ihracatçı rehberindeki senaryolara bakabilirsiniz.
AB'de yerleşik değilseniz: 4 basamaklı sıralama
Sıralama katı bir öncelik şelalesidir. İlk bir üye devlet veren basamakta durursunuz:
- Yetkili temsilci. Ürünlerinizin en çoğunu üstlenen yetkili temsilcinin bulunduğu ülke.
- İthalatçı. Yetkili temsilci yoksa, ürünlerinizin en çoğunu piyasaya süren ithalatçının ülkesi.
- Dağıtıcı. İthalatçı yoksa, ürünlerinizin en çoğunu piyasada bulunduran dağıtıcının ülkesi.
- Kullanıcı. Hiçbiri yoksa, ürünlerinizi en çok işleten kullanıcıların bulunduğu ülke.
Somut örnek: yetkili temsilciniz Almanya'da, en büyük ithalatçınız Hollanda'da. Bildirim adresiniz Almanya, yani BSI / CERT-Bund. Çünkü yetkili temsilci sıralamada ilk sırada gelir ve ithalatçı basamağına hiç inmezsiniz.
Bazı noktalar açık değil. Birden fazla yetkili temsilciniz varsa hangisinin esas alınacağı belirsizdir. Tek yetkili temsilci şartı olduğunu söyleyemeyiz. "En çok ürün" sayım esası da net değil: ürün adedi mi, SKU mu, ürün ailesi mi? "Kullanıcı" tanımı da açık değil. En çok ürününüzü işleten operatör olarak okuyun, uydurma bir yüzde kuralına güvenmeyin. Yetkili temsilci atamak ise CRA kapsamında zorunlu değildir, isteğe bağlıdır.
AB 27 ülkesi bildirim CSIRT tablosu
Aşağıdaki tablo her üye devletin koordinatör CSIRT'ini ve durumunu gösterir. Durum sütunu üç değerden birini alır: Kesinleşti (resmî atama yapıldı), Bekleniyor (ulusal CSIRT / CVD koordinatörü belli, aktarım sürüyor, ENISA resmî listeyi yayımlayınca güncellenecek), Belirsiz (bölünmüş model veya henüz atama yok).
| # | Ülke | Koordinatör CSIRT | Durum |
|---|---|---|---|
| 1 | Avusturya | CERT.at / GovCERT (geçici) | Belirsiz (NISG 2026 yalnızca 1 Ekim 2026'da yürürlükte) |
| 2 | Belçika | CCB / CERT.be | Kesinleşti |
| 3 | Bulgaristan | CERT Bulgaria (CERT.bg) | Bekleniyor |
| 4 | Hırvatistan | NCSC-HR (CERT.hr/CARNET değil) | Kesinleşti |
| 5 | Kıbrıs | CSIRT-CY (DSA bünyesinde) | Bekleniyor |
| 6 | Çekya | NÚKIB / GovCERT.CZ (CSIRT.CZ değil) | Kesinleşti |
| 7 | Danimarka | FE, portal cvd.sit-wb.dk | Bekleniyor |
| 8 | Estonya | CERT-EE (RIA bünyesinde) | Bekleniyor |
| 9 | Finlandiya | NCSC-FI (Traficom) | Kesinleşti |
| 10 | Fransa | ANSSI / CERT-FR | Bekleniyor |
| 11 | Almanya | BSI / CERT-Bund | Kesinleşti |
| 12 | Yunanistan | NCSA'nın CSIRT'i (askerî Hellenic CSIRT değil) | Kesinleşti |
| 13 | Macaristan | NKI / NCSC-HU | Bekleniyor |
| 14 | İrlanda | NCSC Ireland | Bekleniyor |
| 15 | İtalya | CSIRT Italia (ACN) | Kesinleşti |
| 16 | Letonya | CERT.LV | Kesinleşti |
| 17 | Litvanya | NKSC (CERT-LT) | Kesinleşti |
| 18 | Lüksemburg | CIRCL (GOVCERT.LU değil) | Kesinleşti |
| 19 | Malta | CSIRTMalta | Kesinleşti |
| 20 | Hollanda | NCSC-NL | Kesinleşti |
| 21 | Polonya | CSIRT NASK (CERT.PL) | Kesinleşti |
| 22 | Portekiz | CERT.PT (CNCS) | Kesinleşti |
| 23 | Romanya | DNSC (CERT-RO değil) | Kesinleşti |
| 24 | Slovakya | SK-CERT (NBU) | Kesinleşti |
| 25 | Slovenya | SI-CERT | Kesinleşti |
| 26 | İspanya | INCIBE-CERT / CCN-CERT | Belirsiz (ikili model) |
| 27 | İsveç | CERT-SE (MCF, eski adıyla MSB) | Bekleniyor |
Toplam: 17 Kesinleşti, 8 Bekleniyor, 2 Belirsiz.
Yanlış adrese düşmenin sekiz tuzağı
Birçok ülkede benzer isimli iki kuruluş vardır. Üretici yanlışlıkla diğer kuruluşa bildirim yapar. Bunlar en sık görülen sapmalar:
- İspanya: INCIBE-CERT ile CCN-CERT ayrıdır. İkili model nedeniyle hangi raporun nereye gideceğini bildirim anında doğrulayın.
- Çekya: Koordinatör GovCERT.CZ'dir, akademik CSIRT.CZ değil.
- Hırvatistan: Koordinatör NCSC-HR'dir, CERT.hr / CARNET değil.
- Romanya: Koordinatör DNSC'dir, eski CERT-RO değil.
- Yunanistan: Koordinatör NCSA'nın sivil CSIRT'idir, askerî Hellenic CSIRT değil.
- Lüksemburg: Koordinatör CIRCL'dir, GOVCERT.LU değil.
- Danimarka: CSIRT, savunma istihbaratı (FE) bünyesindedir. Bildirim portalı
cvd.sit-wb.dkayrı adrestir. - İsveç: Eski MSB adı artık MCF'dir. CERT-SE bu çatı altındadır.
USOM ayrıdır, yetkili temsilci açık bildirim merkezi değildir
İki ayrı yanlış anlama, bu konuyu en çok karıştırandır.
Birincisi USOM. USOM'un CRA bildiriminde rolü yoktur. Türk iç mevzuatı USOM'a kendi ayrı bildirim yükümlülüğünüzü getirebilir. Bu paralel ve ek bir yükümlülüktür. CRA yükümlülüğünü ne karşılar ne de onun yerine geçer. İki kanalı ayrı yönetin.
İkincisi yetkili temsilci. "Yetkili temsilcinin ülkesine bildirin" demek, "raporu yetkili temsilciye gönderin" demek değildir. Tek platform vardır: ENISA SRP, bir yetkili temsilci platformu değil. Yetkili temsilci hukukî bir irtibat noktası ve belge saklayıcısıdır. AB Uygunluk Beyannamesi ve teknik dosyayı saklar, piyasa gözetim otoritelerine yanıt verir. Bir açık bildirim merkezi değildir.
Ve rapor olarak SBOM göndermezsiniz. 24 saatlik erken uyarıyı, 72 saatlik bildirimi ve 14 günlük nihai raporu (önemli siber olaylarda nihai rapor için bir ay) sunarsınız. SBOM teknik dosyanızda kalır.
Liste yaşayan bir belgedir
ENISA, CRA SRP elektronik bildirim uç noktalarının resmî listesini henüz yayımlamadı. Liste 11 Eylül 2026'dan önce bekleniyor.
Tablodaki CSIRT'ler her ülkenin NIS2 CVD koordinatörüdür ve CRA uç noktası olmaları bekleniyor. Bildirim anında her satırı ENISA SRP sayfasından doğrulayın. Tablo en son Haziran 2026'da doğrulandı. Resmî liste yayımlandığında her Bekleniyor ve Belirsiz satırı güncellenecek.
Yanlış adrese gönderilen bildirim geç bildirim sayılabilir ve CRA cezaları en fazla 15 milyon avro veya küresel cironun %2,5'i düzeyine çıkar. Doğru adresi bildirim öncesinde teyit etmek, sonradan düzeltmekten ucuzdur.
Bildirim öncesi mini kontrol listesi
Bu üç işi şimdi, açık çıkmadan tamamlayın:
- AB ekonomik operatör dağılımınızı çıkarın. Yetkili temsilci, ithalatçı ve dağıtıcılarınızı ülke bazında listeleyin. Neden ilk sırada: koordinatör adresiniz bu listeden çıkar ve açık çıktığında 24 saatiniz vardır, kim nerede diye o gün araştıramazsınız.
- SRP açıldığında ön kayıt yaptırın. Platform devreye girince hesabınızı ve uç noktanızı önceden hazırlayın. Neden önemli: ilk bildiriminizi platformu ilk kez öğrenirken yapmak, 24 saatlik pencereyi yakar.
- Erken uyarı alanlarını hazır tutun. Ürün adı, satış yapılan üye devletler ve istismar durumunu önceden şablona dökün. Neden gerekli: 24 saatlik erken uyarı boş bir formla başlamaz. Satış yaptığınız ülkeleri bildirmeniz dağıtımı tetikler.
Sıkça Sorulan Sorular
CRA açığını kendi ülkemin CERT'ine (USOM) bildirmem yeterli mi?
Hayır. USOM'un CRA bildiriminde rolü yoktur. CRA açığını ENISA Tek Bildirim Platformu üzerinden tek bir AB koordinatör CSIRT'ine bildirmeniz gerekir. USOM'a yapılan bildirim varsa, bu ayrı bir Türk yükümlülüğüdür ve CRA yükümlülüğünüzü karşılamaz.
AB'de yerleşik değilsem hangi AB CSIRT'ine bildiririm?
4 basamaklı sıralamayı uygularsınız: önce yetkili temsilcinizin ülkesi, sonra en büyük ithalatçınızın, sonra en büyük dağıtıcınızın, en son en çok kullanıcının olduğu ülke. İlk bir üye devlet veren basamakta durursunuz. AB'de ürün güvenliği kararlarını veren bir biriminiz varsa, sıralama hiç çalışmaz ve doğrudan o ülkeye bildirirsiniz. Rolünüzü netleştirmek için CE işareti ihracatçı rehberindeki imalatçı senaryolarına bakabilirsiniz.
Ürünü sattığım her AB üyesi ülkede bildirim yapmam gerekir mi?
Hayır. Bir kez bildirirsiniz. Raporu alan koordinatör CSIRT, ürünün satıldığını bildirdiğiniz her ülkenin CSIRT'ine raporu kendisi iletir. Sizin tek göreviniz, erken uyarıda satış yaptığınız üye devletleri belirtmektir.
Raporu yetkili temsilcime mi gönderirim?
Hayır. Tek bildirim kanalı ENISA SRP'dir, yetkili temsilci değil. Yetkili temsilci hukukî bir irtibat noktası ve belge saklayıcısıdır. AB Uygunluk Beyannamesi ve teknik dosyayı saklar, otoritelere yanıt verir. "Yetkili temsilcinin ülkesi" yalnızca koordinatör CSIRT'i belirleyen bir sıralama ölçütüdür, raporun gönderildiği yer değil.
Birden fazla AB ülkesinde ithalatçı veya dağıtıcım varsa ne olur?
Sıralamada ürünlerinizin en çoğunu üstlenen ekonomik operatörün ülkesi esas alınır. Ama önce üst basamağa bakarsınız: yetkili temsilciniz varsa ithalatçı basamağına hiç inmezsiniz. "En çok ürün" sayım esasının adet mi yoksa SKU mu olduğu CRA metninde net değildir. Bu yüzden dağılımınızı önceden belgelendirip bildirim öncesinde teyit edin.
CRA bildirim uç noktalarının resmî listesi yayımlandı mı?
Henüz hayır. ENISA, SRP elektronik bildirim uç noktalarının resmî listesini 11 Eylül 2026'dan önce yayımlamayı bekliyor. Tablo, her ülkenin NIS2 CVD koordinatörünü gösterir ve CRA uç noktası olmaları beklenir. Bildirim anında ENISA SRP sayfasından doğrulayın.
Kendi ülkemin CERT'ine (USOM) bildirim CRA yükümlülüğünü karşılar mı?
Hayır. USOM bildirimi, Türk iç mevzuatından doğabilecek paralel ve ek bir yükümlülüktür. CRA bildirimi yalnızca ENISA SRP üzerinden bir AB koordinatör CSIRT'ine yapılır. İki kanalı ayrı yönetin. Biri diğerinin yerine geçmez.
CRA Evidence Danışmanlık Hizmeti
CRA Evidence danışmanlık ekibi, AB'ye ihraç eden Türk imalatçıların bildirim adresini ve hazırlığını netleştirir. Devreye aldığımız işler:
- AB ekonomik operatör dağılımınızdan koordinatör CSIRT adresinizi belirleme
- 24 saat erken uyarı, 72 saat bildirim ve nihai rapor için bildirim prosedürü kurma
- Yetkili temsilci, ithalatçı ve dağıtıcı bilgi akışını bildirim takvimiyle hizalama
- Teknik dosya ve SBOM boşluklarını CRA gereksinimleriyle eşleştirme
- USOM ve CRA kanallarını ayrı tutan operasyonel ayrım
Kapsam ve önceliklendirmeyi dışarıdan kontrol ettirmek isterseniz ücretsiz değerlendirme için başvurun. Ürününüzün CRA kapsamında olup olmadığından emin değilseniz önce CRA uygulanabilirlik kontrolünü çalıştırın.
Bu içerik bilgilendirme amaçlı olup hukuki tavsiye niteliği taşımamaktadır. AB ürün mevzuatı kapsamındaki uyum yükümlülükleri için AB hukukuna hâkim bir hukuk danışmanına başvurmanızı öneririz.
İlgili Makaleler
Türk EV Şarj ve Akıllı Enerji Üreticileri için CRA Rehberi
CRA ürününüze uygulanıyor mu?
Ürününüzün AB Siber Dayanıklılık Yasası kapsamına girip girmediğini öğrenmek için 6 basit soruyu yanıtlayın. Sonucunuzu 2 dakikadan kısa sürede alın.