Asya Üreticiler için CRA

Türkiye'de üretim yapıyor ve AB'ye ihracat yapıyorum. AB Siber Dayanıklılık Yasası (CRA) benden ne istiyor?

Ben etkileniyor muyum?

Ürününüz yazılım veya ürün yazılımı içeriyorsa ve herhangi bir AB ülkesine satış yapıyorsanız, büyük olasılıkla kapsam dahilsinizdir. Uygulanabilirlik kontrol aracıyla doğrulayın.

Ürününüzün CRA kapsamında olup olmadığını kontrol edin →

Rolünüz: İmalatçı mı, İthalatçı mı?

AB distribütörü veya ithalatçısı aracılığıyla satış yapsanız bile, 2027 sonrasında sipariş vermeden önce uyumluluk belgelerinizi sözleşmeyle talep edeceklerdir.

Mevcut Türk belgeleri ile CRA arasındaki fark

CE sürecini zaten biliyorsunuz — CRA aynı yapıyı izler. Fark: SBOM, teknik dosya ve ENISA bildirimi. Mevcut belgeleri başlangıç noktası olarak alır, boşlukları sistematik biçimde kapatırız.

TSE（Türk Standardları Enstitüsü） CE İşareti IEC 62443-4-1 ISO/IEC 27001 USOM（BTK）

Belge bazlı CRA kapsam tablosu →

AB Yetkili Temsilcisi (CRA Madde 18 · opsiyonel)

AB'de yerleşik tüzel kişiliği olmayan imalatçılar, CRA Madde 18(1) uyarınca yazılı vekâletle bir AB Yetkili Temsilcisi atayabilir. Atama opsiyoneldir; CRA metninde MDR Madde 11 veya RED Madde 5'teki gibi AB dışı imalatçılar için zorunluluk öngören bir hüküm yer almaz. Madde 18(3) atama hâlinde görev sınırlarını tanımlar: AB Uygunluk Beyannamesi ile teknik dosyanın en az 10 yıl (veya destek dönemi, hangisi daha uzunsa) saklanması, piyasa gözetim otoritelerinin makul taleplerine yanıt, risk eliminasyonunda iş birliği. Madde 18(2) uyarınca Madde 13'teki esaslı siber güvenlik yükümlülükleri vekâlet kapsamı dışındadır; nihaî sorumluluk imalatçıda kalır.

AB Yetkili Temsilcisi ve CRA Madde 18 açıklaması →

CRA'nın üretmenizi zorunlu kıldığı belgeler

SBOM: ürününüzdeki tüm yazılım bileşenlerinin eksiksiz envanteri
Güvenlik açığı açıklama süreci ve kamuya açık iletişim noktası
Ürün tasarımını ve güvenlik önlemlerini belgeleyen Teknik Dosya
AB Uygunluk Beyannamesi (EU DoC)
Ürün üzerinde CE işareti
Gerekli AB pazarı dillerinde kullanıcı talimatları

Süregelen yükümlülükleriniz

Gönderilen bileşenlerinizi etkileyen yeni CVE'leri izleyin
Ürün ömrü boyunca güvenlik güncellemeleri yayımlayın (en az 5 yıl)
Aktif olarak istismar edilen bir güvenlik açığı keşfedilirse 24 saat içinde ENISA'ya bildirim
Güvenlik olayı raporlama: 24 saatlik erken uyarı, 72 saatlik tam bildirim, 30 günlük nihai rapor

Temel Terimler

SBOM Teknik Dosya AB Uygunluk Beyanı CVD ENISA Risk Değerlendirmesi CE İşareti

Faydalı ücretsiz araçlar

Syft ve cdxgen — kod tabanınızdan veya kapsayıcınızdan SBOM oluşturmaSyft ve cdxgen: kod tabanınızdan veya konteynerinizden SBOM oluşturma
Trivy: bileşenleriniz için CVE taraması
OSV.dev: paket adı ve sürümüne göre CVE arama

Türkiye pazarı SSS →

İlgili Rehberler

CE İşaretiniz Var: CRA 2027'den İtibaren Ne Ekliyor?

CE sürecini bilen Türk ihracatçılar için CRA'nın getirdiği ek zorunluluklar.

CRA ve Türk Elektronik/Akıllı Cihaz Üreticileri

AB'nin en büyük beyaz eşya tedarikçisi için pratik rehber.

CRA Ürün Sınıflandırması: Varsayılan mı, Önemli mi, Kritik mi?

Ürününüzün hangi kategoriye girdiğini ve uygunluk değerlendirme yolunu belirleyin.

Ücretsiz CRA değerlendirmesi talep edin

Ücretsiz 45 dakikalık bir görüşme ayırtın. Ürününüzü analiz edip CRA'nın tam olarak ne gerektirdiğini açıklayacağız; ücret yok, yükümlülük yok.

Ücretsiz Değerlendirme Talep Edin