TL;DR
Bu sözlük, AB Siber Dayanıklılık Yasası'nın (CRA) temel terminolojisini kapsar: SBOM (Yazılım Malzeme Listesi), CycloneDX, SPDX, VEX (Güvenlik Açığı İstismar Edilebilirlik Değişimi), VKB (Güvenlik Açığı Bilgi Tabanı), CSAF, CVE, EPSS, KEV, TR-03183, ENISA raporlaması, CE işaretlemesi, uyumlaştırılmış standartlar, onaylanmış kuruluşlar, risk değerlendirmesi, teknik dosya gereksinimleri ve uygunluk değerlendirmesi. Aralık 2027 son tarihinden önce CRA uyumluluğuna hazırlanırken bu referansa başvurun.
CRA Uyumluluk Sözlüğü
AB Siber Dayanıklılık Yasası, yazılım tedarik zinciri güvenlik standartları ve uyumluluk gereksinimlerini anlamak için temel terminoloji.
A
Ek VII
CRA Ek VII, imalatçıların dijital unsurları olan ürünler için hazırlamak zorunda olduğu AB Uygunluk Beyanı'nın asgari içeriğini belirtir. Ürün tanımlaması, imalatçı detayları, uygulanan standartlar ve yetkili temsilcinin imzasını içerir.
Madde 13 - İmalatçıların Yükümlülükleri
CRA Madde 13, temel imalatçı yükümlülüklerini belirler: tasarım gereği güvenlik, SBOM bakımı, güvenlik açığı yönetimi, ürün yaşam döngüsü boyunca güvenlik güncellemeleri sağlama ve teknik belgeleri en az 10 yıl muhafaza etme.
Madde 14 - Raporlama Yükümlülükleri
CRA Madde 14, imalatçıların aktif olarak istismar edilen güvenlik açıklarını 24 saat içinde (erken uyarı), 72 saat içinde (ayrıntılı rapor) ve 14 gün içinde (nihai rapor) ENISA'ya bildirmesini zorunlu kılar. Ciddi olaylar aynı modeli izler ancak nihai rapor için 30 günlük son tarih uygulanır.
C
CE İşareti
AB mevzuatına uygunluğu gösteren Avrupa uygunluk işareti. CRA kapsamında, dijital unsurları olan ürünlerin AB pazarında yasal olarak satılabilmesi için CE işareti taşıması zorunludur. Uygunluk değerlendirmesinin tamamlanmasını ve AB Uygunluk Beyanı'nı gerektirir.
Uygunluk Değerlendirmesi
Bir ürünün CRA temel siber güvenlik gereksinimlerini karşıladığını doğrulayan süreç. Varsayılan ürünler, kendi kendine değerlendirme (Modül A) kullanabilirken, Önemli Sınıf I, Sınıf II ve Kritik ürünler onaylanmış kuruluşlar tarafından üçüncü taraf değerlendirmesi gerektirir.
CRA - Siber Dayanıklılık Yasası
Avrupa Birliği'nde satılan dijital unsurları olan ürünler için zorunlu siber güvenlik gereksinimleri belirleyen AB Yönetmeliği 2024/2847. 10 Aralık 2024 tarihinde yürürlüğe girdi. Ana yükümlülükler 11 Aralık 2027'den itibaren uygulanır. Ağ bağlantısına sahip donanım ve yazılım ürünlerini kapsar.
CSAF - Ortak Güvenlik Danışma Çerçevesi
Makine tarafından okunabilir güvenlik danışmaları için OASIS standardı. Güvenlik açığı bildirimlerinin otomatik işlenmesini sağlar. CRA gereksinimleri kapsamında koordineli güvenlik açığı bildirimi (CVD) ve ENISA raporlaması için kullanılır.
CSIRT - Bilgisayar Güvenliği Olaylarına Müdahale Ekipleri
CRA Madde 14 kapsamında imalatçıların aktif olarak istismar edilen güvenlik açıkları ve önemli olaylar hakkında bilgilendirmek zorunda olduğu ve AB düzeyindeki güvenlik açığı müdahalesinde ENISA ile koordinasyon sağlayan yetkili siber güvenlik kuruluşları.
CVD - Koordineli Güvenlik Açığı Bildirimi
Güvenlik açıklarını kamuoyuna duyurulmadan önce satıcılara sorumlu bir şekilde bildirme süreci. CRA Madde 13(8), imalatçıların güvenlik iletişim bilgileri dahil CVD politikalarını oluşturmasını ve yayımlamasını zorunlu kılar.
CVE - Yaygın Güvenlik Açıkları ve Maruziyetler
Kamuoyunda bilinen siber güvenlik açıkları için standartlaştırılmış tanımlayıcı (örn. CVE-2024-12345). MITRE Corporation tarafından yönetilir. Güvenlik açığı takibi, bildirimi ve düzeltme koordinasyonu için küresel olarak kullanılır.
CVSS - Yaygın Güvenlik Açığı Puanlama Sistemi
Güvenlik açığı ciddiyetini 0-10 ölçeğinde değerlendirmek için sektör standardı. CVSS 4.0 en son sürümdür. Temel, zamansal ve çevresel metrikler sağlar. Kritik (9.0-10.0), Yüksek (7.0-8.9), Orta (4.0-6.9), Düşük (0.1-3.9).
CycloneDX
Yazılım Malzeme Listeleri (SBOM) ve ilgili yapılar oluşturmak için OWASP standardı. SBOM, VEX, HBOM, SaaSBOM ve daha fazlasını destekler. Sürüm 1.5 ve üzeri önerilir. BSI TR-03183 tarafından CRA uyumluluğu için tercih edilen format olarak anılır.
Kritik Ürün — CRA Ek IV
Diğer ürünler, ağlar veya hizmetler için temel siber güvenlik işlevleri gerçekleştiren dijital unsurları olan ürünler. CRA Ek IV'te listelenenler arasında donanım güvenlik modülleri (HSM), akıllı kart okuyucuları, güvenli unsurlar ve güvenlik kutularına sahip donanım cihazları yer alır. Kritik ürünler, uygulanabilir bir şema kapsamında Avrupa siber güvenlik sertifikası veya — şema yoksa — onaylanmış bir kuruluş tarafından üçüncü taraf uygunluk değerlendirmesi gerektirir.
D
Varsayılan Ürün Kategorisi
CRA Ek III ve IV'te tanımlanan Önemli veya Kritik kategorilere girmeyen dijital unsurları olan ürünler. Varsayılan ürünler, CRA Ek VIII uyarınca imalatçı tarafından iç kontrol (kendi kendine değerlendirme) yoluyla uygunluk değerlendirmesinden geçebilir, üçüncü taraf müdahalesi gerektirmez. Bu, tüketici ve ticari yazılım ile donanımın büyük çoğunluğunu kapsar.
Dağıtıcı
Tedarik zincirinde, imalatçı veya ithalatçı dışında, dijital unsurları olan bir ürünü AB pazarında kullanıma sunan herhangi bir varlık. Distribütörler, ürünü kullanıma sunmadan önce CE işareti taşıdığını ve AB Uygunluk Beyanı ile birlikte sunulduğunu doğrulamak zorundadır. Bir distribütör ürünü değiştirirse, CRA kapsamında imalatçı konumuna gelir.
E
ENISA - Avrupa Birliği Siber Güvenlik Ajansı
Siber güvenlik politikası ve olay koordinasyonundan sorumlu AB ajansı. CRA kapsamında, imalatçılar aktif olarak istismar edilen güvenlik açıklarını 24 saat içinde ve ciddi olayları 72 saat içinde ENISA'ya bildirmek zorundadır. Raporlama yükümlülüğü 11 Eylül 2026'dan itibaren başlar.
EPSS - İstismar Tahmin Puanlama Sistemi
Bir güvenlik açığının önümüzdeki 30 gün içinde gerçek ortamda istismar edilme olasılığını (%0-100) tahmin eden FIRST.org modeli. CVSS ile birlikte risk tabanlı güvenlik açığı önceliklendirmesi için kullanılır. Yüksek EPSS = düzeltme için daha yüksek öncelik.
AB Uygunluk Beyanı
Bir ürünün CRA dahil uygulanabilir AB mevzuatına uyduğunu belirten resmi belge. İmalatçı veya yetkili temsilci tarafından imzalanmalıdır. CE işareti için zorunludur. Uygulanabilir uyumlaştırılmış standartlara atıfta bulunmalıdır.
H
HBOM - Donanım Malzeme Listesi
İşlemciler, bellek, entegre devreler ve ürün yazılımı dahil bir üründeki donanım bileşenlerinin makine tarafından okunabilir envanteri. Tam ürün şeffaflığı için SBOM'u tamamlar. CycloneDX, HBOM formatını destekler.
Uyumlaştırılmış Standartlar
Tanınmış standardizasyon kuruluşları (CEN, CENELEC, ETSI) tarafından benimsenen ve AB Resmi Gazetesi'nde atıfta bulunulan Avrupa standartları. Uyumlaştırılmış standartlara uyan ürünler, karşılık gelen CRA temel gereksinimleri açısından uygunluk karinesi avantajından yararlanır ve bu da uygunluk değerlendirmesini basitleştirir.
I
İthalatçı
AB dışındaki bir imalatçıdan dijital unsurları olan bir ürünü Avrupa pazarına sunan AB merkezli bir varlık. İthalatçılar, imalatçının uygunluk değerlendirmesini gerçekleştirdiğini, CE işaretinin uygulandığını ve teknik belgelerin mevcut olduğunu doğrulamak zorundadır. Uyumsuz ürünler için ortak sorumluluk taşırlar.
Önemli Ürün (Sınıf I) — CRA Ek III, Bölüm I
Siber güvenlikle ilgili bir işlev gerçekleştiren veya yüksek risk taşıyan dijital unsurları olan ürünler. Sınıf I; kimlik yönetim sistemleri, VPN'ler, ağ yönetim araçları, SIEM sistemleri, önyükleyiciler ve CRA Ek III Bölüm I'de listelenen diğer kategorileri içerir. İmalatçılar, tüm temel gereksinimleri kapsayan uyumlaştırılmış standartları uygulamalı (kendi kendine değerlendirme yapılmasına olanak tanır) ya da onaylanmış bir kuruluş tarafından üçüncü taraf uygunluk değerlendirmesinden geçmelidir.
Önemli Ürün (Sınıf II) — CRA Ek III, Bölüm II
Kritik siber güvenlik işlevleri gerçekleştiren ve önemli risk taşıyan dijital unsurları olan ürünler. Sınıf II; işletim sistemleri, hipervizörler, güvenlik duvarları, saldırı tespit sistemleri, mikrodenetleyiciler, endüstriyel otomasyon sistemleri ve CRA Ek III Bölüm II'de listelenen diğer kategorileri içerir. Bu ürünler, uyumlaştırılmış standartların varlığına bakılmaksızın her zaman onaylanmış bir kuruluş tarafından üçüncü taraf uygunluk değerlendirmesi gerektirir.
K
KEV - Bilinen İstismar Edilen Güvenlik Açıkları
CISA'nın gerçek ortamda aktif olarak istismar edilen güvenlik açıklarının yetkili kataloğu. Onaylanmış gerçek dünya tehditlerini temsil ettikleri için düzeltme açısından en yüksek önceliğe sahiptir. Federal kurumlar, KEV güvenlik açıklarını belirtilen süreler içinde düzeltmek zorundadır.
M
İmalatçı
Dijital unsurları olan bir ürünü geliştiren veya üreten ve kendi adı veya ticari markası altında AB pazarına sunan varlık. İmalatçılar birincil CRA yükümlülüklerini taşır: risk değerlendirmesi yapma, SBOM'ları güncel tutma, güvenlik açıklarını yönetme, en az beş yıl boyunca güvenlik güncellemeleri sağlama ve istismar edilen güvenlik açıklarını ENISA'ya bildirme.
N
NVD - Ulusal Güvenlik Açığı Veritabanı
NIST tarafından yönetilen ABD hükümeti güvenlik açığı veri deposu. CVE tanımlayıcıları üzerine inşa edilmiştir. CVSS puanları, CPE (etkilenen ürün) bilgisi, CWE sınıflandırmaları ve düzeltme kılavuzu sağlar.
Onaylanmış Kuruluş
Ürünlerin yasal gereksinimleri karşılayıp karşılamadığını değerlendirmek için bir AB üye devleti tarafından atanmış bağımsız uygunluk değerlendirme kuruluşu. CRA Ek III ve IV kapsamında Önemli Sınıf I, Sınıf II ve Kritik ürünler için üçüncü taraf uygunluk değerlendirmesinde zorunludur.
O
OSV.dev - Açık Kaynak Güvenlik Açığı Veritabanı
Google tarafından yönetilen Açık Kaynak Güvenlik Açığı veritabanı. GitHub (GHSA), Go, Rust, PyPI ve 15'ten fazla ekosistenden güvenlik danışmalarını tek bir sorgulanabilir API'de toplar. CRA Evidence, CVE kimliği almadan önce ekosisteme özgü veritabanlarının takip ettiği danışmaları yakalamak için NVD'nin yanı sıra ikincil güvenlik açığı kaynağı olarak OSV.dev kullanır.
P
PDE - Dijital Unsurları Olan Ürün
Başka bir cihaza veya ağa (doğrudan veya dolaylı) bağlantısı olan herhangi bir yazılım veya donanım ürünü. CRA düzenlemesinin temel kapsamıdır. IoT cihazları, endüstriyel ekipmanlar, tüketici elektroniği ve bağımsız yazılımları içerir.
PURL - Paket URL
Ekosistemler genelinde yazılım paketlerini tanımlamak için standartlaştırılmış format (örn. pkg:npm/lodash@4.17.21). Bileşenleri benzersiz şekilde tanımlamak için SBOM'larda kullanılır. Otomatik güvenlik açığı eşleştirme ve lisans uyumluluğunu etkinleştirir.
R
RDPS - Uzak Veri İşleme Çözümleri
Dijital unsurları olan bir ürünün parçası olarak verileri uzaktan işleyen bulut veya SaaS işlevi. Üç bölümlü testi karşılaması halinde ürünün CRA uygunluk değerlendirmesi kapsamına girer: veriler 'uzaktan' işlenir, ürün onsuz temel bir işlevini kaybeder ve imalatçı tarafından veya onun sorumluluğu altında tasarlanmıştır. Bu testi karşılamayan üçüncü taraf SaaS, Madde 13(5) durum tespiti kapsamında yine de bir bileşen olarak değerlendirilmelidir.
Risk Değerlendirmesi
Dijital unsurları olan bir ürünle ilişkili siber güvenlik risklerini belirleme, analiz etme ve değerlendirme sistematik süreci. CRA Madde 13(2) tarafından zorunlu kılınır ve teknik dosyada belgelenmelidir. Ürün yaşam döngüsü boyunca tehditleri, güvenlik açıklarını, olası etkileri ve risk azaltma önlemlerini kapsar.
S
SBOM - Yazılım Malzeme Listesi
Sürümler, lisanslar ve ilişkiler dahil yazılım bileşenlerinin ve bağımlılıklarının resmi, makine tarafından okunabilir envanteri. Güvenlik açığı yönetimi ve tedarik zinciri şeffaflığı için CRA Madde 13(4) tarafından zorunlu kılınır. CycloneDX veya SPDX formatında olabilir.
SPDX - Yazılım Paketi Veri Değişimi
Yazılım malzeme listesi bilgilerini iletmek için ISO/IEC 5962:2021 standardı. Linux Foundation tarafından geliştirilmiştir. Lisans uyumluluğu ve güvenlik açığı takibi için yaygın olarak kullanılır. CRA uyumluluğu için Sürüm 2.2.1 ve üzeri önerilir.
T
Teknik Dosya
CRA uyumluluğunu kanıtlayan eksiksiz belge paketi. Risk değerlendirmesi, SBOM, güvenlik tasarım belgeleri, güvenlik açığı yönetim prosedürleri, test sonuçları ve AB Uygunluk Beyanı'nı içerir. 10 yıl veya ürün ömrü boyunca (hangisi daha uzunsa) muhafaza edilmelidir.
TR-03183
SBOM oluşturma ve yönetimi için ayrıntılı gereksinimler sağlayan Alman BSI (Federal Bilgi Güvenliği Ofisi) Teknik Kılavuzu. CRA Madde 13 uyumluluğu için en iyi uygulama olarak yaygın biçimde anılır. Minimum SBOM alanlarını, formatlarını ve güncelleme gereksinimlerini belirtir.
V
VKB - Güvenlik Açığı Bilgi Tabanı
NVD/cvelistV5, OSV.dev, GitHub Danışmaları, CISA KEV ve EPSS gibi birden fazla kaynaktan gelen danışmaları tek bir sorgulanabilir bilgi tabanında toplayan sürekli güncellenen güvenlik açığı veritabanı. Tek bir kaynağa karşı talep üzerine bağımlılıkları taramak yerine, VKB tüm bilinen güvenlik açıklarının yerel bir aynasını tutar ve yeni CVE'ler yayımlandıkça bunları yazılım bileşenleriyle eşleştirir. Bu, tespit gecikmesini saatlerden veya günlerden dakikalara indirir; birden fazla kaynağa çapraz referans verilmesi, gözden kaçan danışma riskini azaltır.
VEX - Güvenlik Açığı İstismar Edilebilirlik Değişimi
Belirli bir üründeki güvenlik açıklarının istismar edilebilirlik durumunu bildiren belge. Bir CVE'nin ürününüzü etkileyip etkilemediğini belirtir (etkilenmiş, etkilenmemiş, düzeltilmiş, soruşturma altında). Aşağı yön kullanıcıların yanlış pozitiflerden kaynaklanan uyarı yorgunluğunu azaltmasına yardımcı olur.