AB Siber Dayanıklılık Yasası (CRA) — Türk Üreticiler için SSS

Evet — AB pazarına dijital unsurlar içeren ürünler sunuyorsanız, şirketinizin merkezi nerede olursa olsun CRA sizin için geçerlidir. "Piyasaya sunmak", bir ürünü dağıtım ortakları, çevrimiçi mağazalar veya AB'de faaliyet gösteren bayiler aracılığıyla dahil olmak üzere ilk kez AB müşterilerine erişilebilir kılmak anlamına gelir.

AB dışı köken için herhangi bir muafiyet bulunmamaktadır. AB Gümrük Birliği üyeliği mallardaki tarife engellerini ortadan kaldırır ancak mevzuat eşdeğerliği sağlamaz — CRA bir ürün güvenliği yönetmeliğidir ve ürünü takip eder, üreticinin konumunu değil.

CRA, yazılım veya ürün yazılımı (firmware) içeren ve bir ağa ya da başka bir cihaza bağlanabilen her ürünü kapsar. Türk üreticiler için bu kapsam şunları içerir:

• Ağ bağlantılı endüstriyel ekipman ve otomasyon sistemleri
• IoT cihazları ve bağlantılı donanım
• Ağ ve iletişim ürünleri
• Bağlantı özellikli tüketici elektroniği
• AB müşterilerine satılan veya lisanslanan yazılım ürünleri

Kapsam dışı: eşdeğer gerekliliklere sahip sektöre özgü yönetmeliklerle kapsanan ürünler (belirli tıbbi cihazlar, havacılık bileşenleri, tip onayı kapsamındaki motorlu taşıtlar).

AB'ye donanım veya yazılım ihraç ediyorsanız ve herhangi bir ağ bağlantısı özelliği taşıyorsa, aksi ispat edilene kadar kapsam dahilinde olduğunu varsayın.

Hayır. CRA kapsamında, dağıtım veya CE işaretleme yönetimini kimin üstlendiğinden bağımsız olarak, siber güvenlik gerekliliklerinin birincil sorumluluğu üreticiye aittir. AB distribütörünüz sınırlı yükümlülükler üstlenir (teknik uyumluluk değil, durum tespiti kontrolleri), ancak Madde 13–15 kapsamındaki üretici yükümlülüklerinin yerine getirilmesinde size ikame olamaz.

Ürünleriniz uyumsuzsa, pazar gözetimi otoriteleri üreticiyi takip eder. Distribütörünüzün sizi tespit etmek için iş birliği yapması talep edilecektir.

Hayır — ancak Gümrük Birliği size gerçek pratik avantajlar sağlar. CRA bir ticaret tedbiri değil, ürün güvenliği yönetmeliğidir. Menşe ülkeden bağımsız olarak AB pazarına sunulan tüm ürünlere uygulanır. Gümrük Birliği üyeliği CRA muafiyeti sağlamaz.

Bununla birlikte, Türk üreticiler CRA uyumluluğunu yönetmek konusunda çoğu AB dışı üreticiye kıyasla daha iyi konumdadır:

• CE işaretleme aşinalığı: Uygunluk değerlendirme sürecini (teknik belgeler, Uygunluk Beyanı, CE işareti) zaten biliyorsunuz. CRA bu tanıdık yapının üzerine bir siber güvenlik katmanı ekliyor.
• AB pazarı erişim iş akışları: AB pazarı için lojistik, dağıtım ve idari süreçleriniz zaten kurulu. CRA uyumluluğu mevcut ürün yayınlama süreçlerinize entegre edilir.
• AB onaylanmış kuruluşlarıyla ilişkiler: Düzenlenmiş sektörlerdeki Türk üreticiler genellikle AB onaylanmış kuruluşlarıyla mevcut ilişkilere sahiptir — CRA daha yüksek riskli ürünler için üçüncü taraf değerlendirme gerektirdiğinde bu bir avantajdır.

CRA'yı, sıfırdan inşa edilecek yeni bir sistem olarak değil, AB pazarı erişimi için zaten yaptığınız mevzuat uyumluluk çalışmasının bir uzantısı olarak değerlendirin.

AB pazarıyla ilişkinize göre değişir:

• AB pazarına bağımsız bir ürün olarak sunulan yazılım geliştiriyorsanız (AB son kullanıcılarına satılan, lisanslanan veya dağıtılan): evet, CRA doğrudan üretici olarak size uygulanır.
• Bir AB üreticisi için sipariş usulüyle yazılım geliştiriyorsanız: CRA yükümlülükleri üreticiye aittir, size değil. Ancak uyumluluğu sizin uygulamalarınıza bağlı olduğundan, üretici SBOM üretimi, güvenli geliştirme yaşam döngüsü ve güvenlik açığı ifşası gibi CRA uyumlu güvenlik uygulamalarını sözleşmeyle sizden talep edecektir.

Her iki durumda da CRA'yı anlamak, AB pazarına hizmet veren yazılım şirketleri için artık ticari bir gerekliliktir. Türk yazılım şirketleri, AB müşterilerinden giderek artan biçimde CRA ile ilgili gereksinimler almaktadır. Yükümlülüklerinizi anlamanıza ve bunları karşılayan teknik uygulamaları oluşturmanıza yardımcı oluyoruz.

• Eylül 2026: Güvenlik açığı bildirimi yükümlülükleri yürürlüğe giriyor — ENISA'ya 24 saatlik bildirim
• Aralık 2027: Tam CRA uygulaması — AB pazarına sunulan tüm ürünler uyumlu olmalıdır

Aralık 2027'den önce pazarda bulunan ürünler geçiş dönemi grace period'undan yararlanır. Aralık 2027'den sonra ilk kez piyasaya sunulan ürünler başlangıçtan itibaren uyumlu olmak zorundadır.

İki son tarih arasındaki 15 aylık fark kritik öneme sahiptir: güvenlik süreçlerinizin, tam teknik belgeleriniz ve uygunluk değerlendirmeleriniz tamamlanmadan önce işlevsel olması gerekmektedir.

Evet. AB pazar gözetimi otoriteleri geniş uygulama yetkilerine sahiptir:

• Ürünün piyasaya sürülmesinin yasaklanması
• AB pazarından zorunlu çekilme
• Son kullanıcılardan zorunlu ürün geri çağırma
• 15 milyon Euro veya küresel yıllık cirosunun %2,5'ine kadar mali cezalar (hangisi daha yüksekse)

Uygulama AB düzeyinde koordine edilir — bir üye devlette alınan karar 27'sinde de geçerlidir.

Aralık 2027'den önce AB pazarına sunulan ürünler geçiş hükümlerinden yararlanır. Ancak:

• Aralık 2027'den sonra aynı ürünü satmaya devam ediyorsanız uyumlu olması gerekir
• Önemli bir yazılım veya ürün yazılımı güncellemesi yayımlarsanız tam uyumluluk yükümlülükleri tetiklenebilir
• Güvenlik açığı bildirimi yükümlülükleri (Eylül 2026) halihazırda kullanımda olan ürünler için de geçerlidir

En yüksek hacimli AB ürünleriniz için uyumluluk değerlendirmesine şimdi başlamanızı öneririz.

SBOM (Yazılım Malzeme Listesi), ürününüzdeki her yazılım bileşeninin, kütüphanenin ve bağımlılığın — açık kaynak bileşenler, üçüncü taraf kütüphaneler ve sürümleri dahil — eksiksiz bir envanterini sunar.

CRA üreticilerden şunları zorunlu kılar:

• Ürün başına SBOM oluşturma ve sürdürme
• Her bileşendeki bilinen güvenlik açıklarını takip etme
• Talep üzerine SBOM'u düzenleyicilere açıklama
• Güvenlik açığı yönetiminin operasyonel temeli olarak kullanma

SBOM'lar her sürümle birlikte güncellenmelidir. Üreticilerin büyük çoğunluğu yazılım bileşenlerini hiç sistematik biçimde takip etmemiştir. Her çalışmayı bir SBOM denetimiyle başlatıyoruz.

ISO 27001, kurumsal bilgi güvenliği yönetimini kapsar — ürün düzeyinde siber güvenlik gerekliliklerini kapsamaz.

CRA, siber güvenliğin ürünün kendisine yerleştirilmesini zorunlu kılar:

• Her ürün sürümünde SBOM üretimi
• Ürün yazılımı ve yazılıma yerleştirilmiş güvenlik açığı yönetimi
• ENISA raporlama yükümlülükleri (24 saat/72 saat/14 günlük süreler)
• CRA kapsamında CE işaretlemesi
• AB Uygunluk Beyanı

Bunların hiçbiri ISO 27001 kapsamına girmez.

BTK (Bilgi Teknolojileri ve İletişim Kurumu) siber güvenlik yükümlülükleri olan şirketler için, telekomünikasyon ve BİT alanındaki bağlantılı ürünlerde CRA ile belirli bir örtüşme mevcuttur. TSE standartları tanıdık bir yerel sertifikasyon çerçevesi sunmakla birlikte CRA uygunluk değerlendirme gerekliliklerinin muadili değildir.

ISO 27001'i iç güvenlik yönetim sisteminiz olarak düşünün — piyasaya kuruluşunuzun güvenliği iyi yönettiğini gösterir. CRA ise harici ürün sertifikasyon katmanıdır — piyasaya ürünlerinizin güvenli olduğunu gösterir.

Mevcut sertifikalarınızın tam olarak neyi kapsadığını ve CRA'nın üstüne ne eklediğini belirlemek için yapılandırılmış bir boşluk analizi yürütüyoruz.

CRA uyumluluğu tek seferlik bir denetim değildir — geliştirme iş akışınıza gömülü sürekli süreçler gerektirir:

• SBOM üretimi: derleme sırasında otomatik (CycloneDX veya SPDX formatında), CI/CD ile entegre
• Bağımlılık güvenlik açığı taraması: NVD/GHSA/ENISA EUVD'ye karşı sürekli izleme
• Güvenlik açığı önceliklendirme ve yanıt: SBOM ile ilişkilendirilmiş, tanımlanmış sürelerle belgelenmiş süreç
• CI'da güvenlik testleri: SAST, bağımlılık denetimleri, konteyner taraması boru hattı kapıları olarak
• Sürüm belgeleri: CVE giderme kayıtlarına bağlı otomatik değişiklik günlükleri

Bu iş akışlarını GitHub Actions, GitLab CI, Jenkins veya benzer sistemlerde doğrudan tasarlayıp uyguluyoruz. Size bir kontrol listesi teslim etmiyoruz.

CRA Madde 14 — süreler aktif istismardan haberdar olduğunuz andan itibaren müzakere edilemez biçimde uygulanır:

• 24 saat: Ürününüzdeki aktif olarak istismar edilen herhangi bir güvenlik açığını ENISA'ya bildirin
• 72 saat: Ön değerlendirmeli ilk güvenlik açığı raporu
• 14 gün: Ayrıntılı teknik rapor

Üreticilerin büyük çoğunluğunun bu sürelere eşleme yapılmış hiçbir güvenlik açığı ifşa süreci yoktur. Bu en yüksek riskli boşluktur: Eylül 2026 uygulaması, Aralık 2027'deki tam CRA uygulamasından önce devreye giriyor.

CVD (Koordineli Güvenlik Açığı İfşası) politikası tasarlamanıza, iç önceliklendirme sürecini kurmanıza ve ekibinizin bu süreler dahilinde çalışmaya hazır olmasını sağlamanıza yardımcı oluyoruz.

Tipik bir çalışma dört aşamada ilerler:

1. Değerlendirme: Mevcut ürünleri, geliştirme sürecini ve mevcut sertifikaları (ISO 27001, CE işaretleme belgeleri, BTK uyumluluk kayıtları) denetleyin. CRA gereklilikleriyle eşleştirin. Öncelikleri içeren yazılı boşluk analizi oluşturun.
2. İş akışı entegrasyonu: SBOM üretimini, güvenlik açığı takibini ve CI/CD boru hattı değişikliklerini tasarlayıp uygulayın — CRA'yı bir belgeleme egzersizi değil, operasyonel bir iş akışına dönüştürün.
3. Belgeleme ve hukuk: CRA'nın gerektirdiği teknik belgeleri hazırlayın, hukuk ekibinizle koordineli çalışın (ya da birlikte çalıştığımız AB avukatlarıyla sizi buluşturun), AB pazarı gerekliliklerini karşılamak üzere teknik belgelerin çevirisini yönetin.
4. Süregelen destek: Güvenlik açığı izleme, yıllık incelemeler, yeni ürün sürümleri için destek, pazar gözetimi sorgulamalarına yanıt konusunda yardım.

Uzaktan çalışıyoruz. Türk çalışmalar için saat dilimine uygun planlama yapıyoruz.

KVKK (Kişisel Verilerin Korunması Kanunu) ile CRA kapsam bakımından farklıdır: KVKK veri korumayı ve kişisel veri işlemeyi, CRA ise ürün siber güvenliğini kapsar. Aynı yönetmelik değillerdir.

Ancak aynı AB düzenleyici yapısını paylaşırlar:

• Belgelenmiş süreçler ve tanımlanmış yükümlülükler
• Gerçek cezalarla uygulama
• Uyumluluğu yalnızca iddia etmek yerine kanıtlama zorunluluğu
• Tek seferlik sertifikasyon değil, süregelen yükümlülükler

Şirketiniz KVKK'yı başarıyla yönettiyse, CRA'nın gerektirdiği uyumluluk altyapısına ve anlayışına zaten sahipsiniz. Belgelenmiş süreçlerin nasıl kurulacağını, sorumlulukların nasıl atanacağını ve dişleri olan bir düzenleyici çerçeve altında nasıl faaliyet gösterileceğini biliyorsunuz.

Teknik içerik farklıdır — ürün güvenliği, SBOM üretimi, güvenlik açığı yönetimi — ancak uyumluluk yönetim yaklaşımı doğrudan aktarılabilir. Güçlü KVKK programlarına sahip Türk şirketleri, karşılaştırılabilir düzenleyici deneyimi olmayan pazarlardaki muhataplarına kıyasla genellikle CRA'ya daha hızlı uyum sağlar.

CRA uyumluluğunun iki boyutu vardır: teknik ve hukuki. Çoğu şirketin her ikisine de ihtiyacı vardır.

Ürün güvenliği ve CE işaretlemesi konusunda uzmanlaşmış AB nitelikli avukatlarla birlikte çalışıyoruz. Teknik çeviriyi (mühendislik gerçekliğini avukatların ihtiyaç duyduğu belgelere dönüştürmeyi) üstleniyor ve iki ayrı takip yönetmek zorunda kalmamanız için her iki taraf arasındaki koordinasyonu sağlıyoruz.

CRA teknik belgelerinin, ürününüzün satıldığı her AB üyesi devletin resmi dilinde mevcut olması zorunludur. Teknik belgelerin, Uygunluk Beyanı'nın ve kullanıcıya yönelik güvenlik bilgilerinin çevirisini yönetiyoruz.

AB'de kuruluşunuz yoksa bir AB Yetkili Temsilcisi atamanıza da yardımcı oluyoruz — Türk şirketler dahil tüm AB dışı üreticiler için CRA zorunluluğudur.

CRA, CE işaretleme gerekliliklerinin yerini almaz — üstüne zorunlu siber güvenlik yükümlülükleri ekler.

Mevcut CE işaretleme aşinalığınız, CRA uygunluk değerlendirme iş akışı için doğrudan pratik bir avantajdır: yapı (teknik belgeler, Uygunluk Beyanı, CE işareti) aynıdır. CRA bir siber güvenlik risk değerlendirmesi ve süregelen yükümlülükler ekler; tanıdık uygunluk değerlendirme sürecinin yerini almaz.

• Radyo Ekipmanı Direktifi (RED): Madde 3.3(d)(e)(f) kapsamındaki siber güvenlik gereklilikleri Ağustos 2025'te yürürlüğe girdi. Kablosuz ürünler için RED ve CRA önemli ölçüde örtüşmektedir — tek bir teknik değerlendirme her ikisini de karşılayabilir.
• Makine Yönetmeliği: Yeni yönetmelik (Ocak 2027 itibarıyla geçerli) emniyet ile ilgili kontrol işlevleri için siber güvenlik gerekliliklerini içermektedir. IEC 62443'e atıfta bulunulmaktadır. CRA, yazılım bileşenleri için ayrıca uygulanır.

Ürünleriniz birden fazla AB yönetmeliği kapsamına giriyorsa, uyumluluk çalışmasının tekrarlanmasını önlemek amacıyla örtüşmeleri çalışmanın başında haritalandırıyoruz.