CRA Uyumluluk Sözlüğü
AB Siber Dayanıklılık Yasası, yazılım tedarik zinciri güvenlik standartları ve uyumluluk gereksinimlerini anlamak için temel terminoloji.
Eşleşen terim bulunamadı.
A
AB Makine Yönetmeliği - (AB) 2023/1230 sayılı Yönetmelik
Makine Direktifi 2006/42/EC'nin yerini alan ve 20 Ocak 2027'den itibaren uygulanacak AB yönetmeliği. Dijital unsurlar içeren makineler için teknik dosyada (Ek III §1.1.9 — manipülasyona karşı koruma) siber güvenlik kanıtı gerektirir. Dijital unsurlar içeren ürünler bu yönetmeliğe ve CRA'ya aynı anda uymak zorundadır.
AB Uygunluk Beyanı
Bir ürünün CRA dahil uygulanabilir AB mevzuatına uyduğunu belirten resmi belge. İmalatçı veya yetkili temsilci tarafından imzalanmalıdır. CE işareti için zorunludur. Uygulanabilir uyumlaştırılmış standartlara atıfta bulunmalıdır.
Authorised representative - Madde 18
AB Tüzüğü 2024/2847 (CRA) Madde 18(1) uyarınca üretici, yazılı vekâletname ile AB'de yerleşik bir gerçek veya tüzel kişiyi yetkili temsilci olarak atayabilir. Atama, AB dışındaki üreticiler için yetkili temsilci atanmasını zorunlu kılan MDR Madde 11 veya RED Madde 5'in aksine, CRA kapsamında ihtiyaridir. Madde 18(3) uyarınca yetkili temsilci, AB Uygunluk Beyanı ile teknik dosyayı en az 10 yıl boyunca (veya destek süresi daha uzunsa o süre boyunca) piyasa gözetim makamlarının emrinde tutar, gerekçeli talep üzerine bilgi sağlar ve riskleri ortadan kaldırmaya yönelik işlemlerde işbirliği yapar. Madde 18(2), Madde 13'ün esasa ilişkin siber güvenlik yükümlülüklerini vekâlet kapsamı dışında bırakır. Madde 19 ithalatçı rolünden ayrı bir roldür. Madde 18 açıklayıcı içeriği için /cra-authorised-representative sayfasına bakın.
C
CE İşareti
AB mevzuatına uygunluğu gösteren Avrupa uygunluk işareti. CRA kapsamında, dijital unsurları olan ürünlerin AB pazarında yasal olarak satılabilmesi için CE işareti taşıması zorunludur. Uygunluk değerlendirmesinin tamamlanmasını ve AB Uygunluk Beyanı'nı gerektirir.
CRA - Siber Dayanıklılık Yasası
Avrupa Birliği'nde satılan dijital unsurları olan ürünler için zorunlu siber güvenlik gereksinimleri belirleyen AB Yönetmeliği 2024/2847. 10 Aralık 2024 tarihinde yürürlüğe girdi. Ana yükümlülükler 11 Aralık 2027'den itibaren uygulanır. Ağ bağlantısına sahip donanım ve yazılım ürünlerini kapsar.
CSAF - Ortak Güvenlik Danışma Çerçevesi
Makine tarafından okunabilir güvenlik danışmaları için OASIS standardı. Güvenlik açığı bildirimlerinin otomatik işlenmesini sağlar. CRA gereksinimleri kapsamında koordineli güvenlik açığı bildirimi (CVD) ve ENISA raporlaması için kullanılır.
CSIRT - Bilgisayar Güvenliği Olaylarına Müdahale Ekipleri
Designated cybersecurity bodies that manufacturers must notify of actively exploited vulnerabilities and severe incidents under CRA Article 14, and that coordinate with ENISA on EU-level vulnerability response.
CVD - Koordineli Güvenlik Açığı Bildirimi
Güvenlik açıklarını kamuoyuna duyurulmadan önce satıcılara sorumlu bir şekilde bildirme süreci. CRA Madde 13(8), imalatçıların güvenlik iletişim bilgileri dahil CVD politikalarını oluşturmasını ve yayımlamasını zorunlu kılar.
CVE - Yaygın Güvenlik Açıkları ve Maruziyetler
Kamuoyunda bilinen siber güvenlik açıkları için standartlaştırılmış tanımlayıcı (örn. CVE-2024-12345). MITRE Corporation tarafından yönetilir. Güvenlik açığı takibi, bildirimi ve düzeltme koordinasyonu için küresel olarak kullanılır.
CVSS - Yaygın Güvenlik Açığı Puanlama Sistemi
Güvenlik açığı ciddiyetini 0-10 ölçeğinde değerlendirmek için sektör standardı. CVSS 4.0 en son sürümdür. Temel, zamansal ve çevresel metrikler sağlar. Kritik (9.0-10.0), Yüksek (7.0-8.9), Orta (4.0-6.9), Düşük (0.1-3.9).
CycloneDX
Yazılım Malzeme Listeleri (SBOM) ve ilgili yapılar oluşturmak için OWASP standardı. SBOM, VEX, HBOM, SaaSBOM ve daha fazlasını destekler. Sürüm 1.5 ve üzeri önerilir. BSI TR-03183 tarafından CRA uyumluluğu için tercih edilen format olarak anılır.
D
Dağıtıcı
Tedarik zincirinde, imalatçı veya ithalatçı dışında, dijital unsurları olan bir ürünü AB pazarında kullanıma sunan herhangi bir varlık. Distribütörler, ürünü kullanıma sunmadan önce CE işareti taşıdığını ve AB Uygunluk Beyanı ile birlikte sunulduğunu doğrulamak zorundadır. Bir distribütör ürünü değiştirirse, CRA kapsamında imalatçı konumuna gelir.
E
Ek VII
CRA Ek VII, imalatçıların dijital unsurları olan ürünler için hazırlamak zorunda olduğu AB Uygunluk Beyanı'nın asgari içeriğini belirtir. Ürün tanımlaması, imalatçı detayları, uygulanan standartlar ve yetkili temsilcinin imzasını içerir.
ENISA - Avrupa Birliği Siber Güvenlik Ajansı
EU agency responsible for cybersecurity policy and incident coordination. Under CRA Article 14, manufacturers report actively exploited vulnerabilities and severe incidents to ENISA and the coordinating CSIRT via a single reporting platform, with an early-warning notification within 24 hours and a follow-up notification within 72 hours. The reporting obligation starts 11 September 2026.
EPSS - İstismar Tahmin Puanlama Sistemi
Bir güvenlik açığının önümüzdeki 30 gün içinde gerçek ortamda istismar edilme olasılığını (%0-100) tahmin eden FIRST.org modeli. CVSS ile birlikte risk tabanlı güvenlik açığı önceliklendirmesi için kullanılır. Yüksek EPSS = düzeltme için daha yüksek öncelik.
H
HBOM - Donanım Malzeme Listesi
İşlemciler, bellek, entegre devreler ve ürün yazılımı dahil bir üründeki donanım bileşenlerinin makine tarafından okunabilir envanteri. Tam ürün şeffaflığı için SBOM'u tamamlar. CycloneDX, HBOM formatını destekler.
I
İmalatçı
Dijital unsurları olan bir ürünü geliştiren veya üreten ve kendi adı veya ticari markası altında AB pazarına sunan varlık. İmalatçılar birincil CRA yükümlülüklerini taşır: risk değerlendirmesi yapma, SBOM'ları güncel tutma, güvenlik açıklarını yönetme, en az beş yıl boyunca güvenlik güncellemeleri sağlama ve istismar edilen güvenlik açıklarını ENISA'ya bildirme.
İthalatçı
AB dışındaki bir imalatçıdan dijital unsurları olan bir ürünü Avrupa pazarına sunan AB merkezli bir varlık. İthalatçılar, imalatçının uygunluk değerlendirmesini gerçekleştirdiğini, CE işaretinin uygulandığını ve teknik belgelerin mevcut olduğunu doğrulamak zorundadır. Uyumsuz ürünler için ortak sorumluluk taşırlar.
K
KEV - Bilinen İstismar Edilen Güvenlik Açıkları
CISA'nın gerçek ortamda aktif olarak istismar edilen güvenlik açıklarının yetkili kataloğu. Onaylanmış gerçek dünya tehditlerini temsil ettikleri için düzeltme açısından en yüksek önceliğe sahiptir. Federal kurumlar, KEV güvenlik açıklarını belirtilen süreler içinde düzeltmek zorundadır.
Kritik Ürün - CRA Ek IV
Diğer ürünler, ağlar veya hizmetler için temel siber güvenlik işlevleri gerçekleştiren dijital unsurları olan ürünler. CRA Ek IV'te listelenenler arasında donanım güvenlik modülleri (HSM), akıllı kart okuyucuları, güvenli unsurlar ve güvenlik kutularına sahip donanım cihazları yer alır. Kritik ürünler, uygulanabilir bir şema kapsamında Avrupa siber güvenlik sertifikası veya, şema yoksa, onaylanmış bir kuruluş tarafından üçüncü taraf uygunluk değerlendirmesi gerektirir.
M
Madde 13 - İmalatçıların Yükümlülükleri
CRA Madde 13, temel imalatçı yükümlülüklerini belirler: tasarım gereği güvenlik, SBOM bakımı, güvenlik açığı yönetimi, ürün yaşam döngüsü boyunca güvenlik güncellemeleri sağlama ve teknik belgeleri en az 10 yıl muhafaza etme.
Madde 14 - Raporlama Yükümlülükleri
CRA Madde 14, imalatçıların aktif olarak istismar edilen güvenlik açıklarını 24 saat içinde (erken uyarı), 72 saat içinde (ayrıntılı rapor) ve 14 gün içinde (nihai rapor) ENISA'ya bildirmesini zorunlu kılar. Ciddi olaylar aynı modeli izler ancak nihai rapor için 30 günlük son tarih uygulanır.
N
NVD - Ulusal Güvenlik Açığı Veritabanı
NIST tarafından yönetilen ABD hükümeti güvenlik açığı veri deposu. CVE tanımlayıcıları üzerine inşa edilmiştir. CVSS puanları, CPE (etkilenen ürün) bilgisi, CWE sınıflandırmaları ve düzeltme kılavuzu sağlar.
O
Onaylanmış Kuruluş
Ürünlerin yasal gereksinimleri karşılayıp karşılamadığını değerlendirmek için bir AB üye devleti tarafından atanmış bağımsız uygunluk değerlendirme kuruluşu. CRA Ek III ve IV kapsamında Önemli Ürün (Sınıf I), Önemli Ürün (Sınıf II) ve Kritik ürünler için üçüncü taraf uygunluk değerlendirmesinde zorunludur.
OSV.dev - Açık Kaynak Güvenlik Açığı Veritabanı
Google tarafından yönetilen Açık Kaynak Güvenlik Açığı veritabanı. GitHub (GHSA), Go, Rust, PyPI ve 15'ten fazla ekosistenden güvenlik danışmalarını tek bir sorgulanabilir API'de toplar. CRA Evidence, CVE kimliği almadan önce ekosisteme özgü veritabanlarının takip ettiği danışmaları yakalamak için NVD'nin yanı sıra ikincil güvenlik açığı kaynağı olarak OSV.dev kullanır.
Önemli Ürün (Sınıf I) - CRA Ek III, Bölüm I
Siber güvenlikle ilgili bir işlev gerçekleştiren veya yüksek risk taşıyan dijital unsurları olan ürünler. Sınıf I; kimlik yönetim sistemleri, VPN'ler, ağ yönetim araçları, SIEM sistemleri, önyükleyiciler ve CRA Ek III Bölüm I'de listelenen diğer kategorileri içerir. İmalatçılar, tüm temel gereksinimleri kapsayan uyumlaştırılmış standartları uygulamalı (kendi kendine değerlendirme yapılmasına olanak tanır) ya da onaylanmış bir kuruluş tarafından üçüncü taraf uygunluk değerlendirmesinden geçmelidir.
Önemli Ürün (Sınıf II) - CRA Ek III, Bölüm II
Kritik siber güvenlik işlevleri gerçekleştiren ve önemli risk taşıyan dijital unsurları olan ürünler. Sınıf II; işletim sistemleri, hipervizörler, güvenlik duvarları, saldırı tespit sistemleri, mikrodenetleyiciler, endüstriyel otomasyon sistemleri ve CRA Ek III Bölüm II'de listelenen diğer kategorileri içerir. Bu ürünler, uyumlaştırılmış standartların varlığına bakılmaksızın her zaman onaylanmış bir kuruluş tarafından üçüncü taraf uygunluk değerlendirmesi gerektirir.
P
PDE - Dijital Unsurları Olan Ürün
A product with digital elements is hardware or software placed on the EU market whose intended or reasonably foreseeable use involves a direct or indirect data connection to another device or network. The legal definition is in CRA Article 3(1). The CRA distinguishes four forms: software products (Article 3(4)), hardware products (Article 3(5)), components placed on the market separately (Article 3(6), including firmware and SDKs), and remote data processing solutions supplied by the manufacturer (Article 3(2), cloud or remote services necessary for the product to perform its functions). A pure cloud SaaS without an installable client is generally outside the CRA; a hybrid product where the manufacturer's cloud service is necessary for the product to function is in scope through Article 3(2). The decisive test is the data connection, and Article 3(8), (9), and (10) distinguish logical, physical, and indirect connections.
prEN 50742
Makine güvenliği için taslak Avrupa standardı; manipülasyona karşı koruma gereksinimlerini kapsar. (AB) 2023/1230 sayılı Makine Yönetmeliği'nin §1.1.9 maddesinin uygulanması için teknik şartnameler sağlar. İki uygunluk yolu tanımlar: bağımsız bir yaklaşım ile halihazırda bu endüstriyel siber güvenlik çerçevesinde çalışan üreticiler için IEC 62443 ile entegrasyon. Uyumlaştırılmış standart olarak yayımlandığında, uygunluk Makine Yönetmeliği'nin siber güvenlik gereksinimlerine uygunluk karinesi oluşturur. Yayımın 2026 sonunda yapılması beklenmektedir.
PURL - Paket URL
Ekosistemler genelinde yazılım paketlerini tanımlamak için standartlaştırılmış format (örn. pkg:npm/lodash@4.17.21). Bileşenleri benzersiz şekilde tanımlamak için SBOM'larda kullanılır. Otomatik güvenlik açığı eşleştirme ve lisans uyumluluğunu etkinleştirir.
R
RDPS - Uzak Veri İşleme Çözümleri
Dijital unsurları olan bir ürünün parçası olarak verileri uzaktan işleyen bulut veya SaaS işlevi. Üç bölümlü testi karşılaması halinde ürünün CRA uygunluk değerlendirmesi kapsamına girer: veriler 'uzaktan' işlenir, ürün onsuz temel bir işlevini kaybeder ve imalatçı tarafından veya onun sorumluluğu altında tasarlanmıştır. Bu testi karşılamayan üçüncü taraf SaaS, Madde 13(5) durum tespiti kapsamında yine de bir bileşen olarak değerlendirilmelidir.
Risk Değerlendirmesi
Dijital unsurları olan bir ürünle ilişkili siber güvenlik risklerini belirleme, analiz etme ve değerlendirme sistematik süreci. CRA Madde 13(2) tarafından zorunlu kılınır ve teknik dosyada belgelenmelidir. Ürün yaşam döngüsü boyunca tehditleri, güvenlik açıklarını, olası etkileri ve risk azaltma önlemlerini kapsar.
S
SBOM - Yazılım Malzeme Listesi
Sürümler, lisanslar ve ilişkiler dahil yazılım bileşenlerinin ve bağımlılıklarının resmi, makine tarafından okunabilir envanteri. Güvenlik açığı yönetimi ve tedarik zinciri şeffaflığı için CRA Madde 13(4) tarafından zorunlu kılınır. CycloneDX veya SPDX formatında olabilir.
SCA - Yazılım bileşen analizi
Yazılım bileşen analizi (SCA), bir yazılım ürünündeki açık kaynak ve üçüncü taraf bileşenleri, sürümleri, lisansları ve bilinen güvenlik açıklarını belirler. SBOM oluşturmak, SBOM'u sürümler boyunca güncel tutmak ve CRA Madde 13 kapsamındaki güvenlik açığı izlemeyi beslemek için yaygın olarak kullanılır.
SPDX - Yazılım Paketi Veri Değişimi
Yazılım malzeme listesi bilgilerini iletmek için ISO/IEC 5962:2021 standardı. Linux Foundation tarafından geliştirilmiştir. Lisans uyumluluğu ve güvenlik açığı takibi için yaygın olarak kullanılır. CRA uyumluluğu için Sürüm 2.2.1 ve üzeri önerilir.
T
Teknik Dosya
CRA uyumluluğunu kanıtlayan eksiksiz belge paketi. Risk değerlendirmesi, SBOM, güvenlik tasarım belgeleri, güvenlik açığı yönetim prosedürleri, test sonuçları ve AB Uygunluk Beyanı'nı içerir. 10 yıl veya ürün ömrü boyunca (hangisi daha uzunsa) muhafaza edilmelidir.
TR-03183
SBOM oluşturma ve yönetimi için ayrıntılı gereksinimler sağlayan Alman BSI (Federal Bilgi Güvenliği Ofisi) Teknik Kılavuzu. CRA Madde 13 uyumluluğu için en iyi uygulama olarak yaygın biçimde anılır. Minimum SBOM alanlarını, formatlarını ve güncelleme gereksinimlerini belirtir.
U
Uygunluk Değerlendirmesi
Process verifying that a product meets CRA essential cybersecurity requirements. Default products self-assess (Module A). Important Class I can also self-assess where harmonised standards, common specifications, or a cybersecurity certification scheme are fully applied, and otherwise uses third-party assessment. Class II and Critical products use third-party assessment (Module B+C or Module H) or a European cybersecurity certification scheme.
Uyumlaştırılmış Standartlar
Tanınmış standardizasyon kuruluşları (CEN, CENELEC, ETSI) tarafından benimsenen ve AB Resmi Gazetesi'nde atıfta bulunulan Avrupa standartları. Uyumlaştırılmış standartlara uyan ürünler, karşılık gelen CRA temel gereksinimleri açısından uygunluk karinesi avantajından yararlanır ve bu da uygunluk değerlendirmesini basitleştirir.
V
Varsayılan Ürün Kategorisi
CRA Ek III ve IV'te tanımlanan Önemli veya Kritik kategorilere girmeyen dijital unsurları olan ürünler. Varsayılan ürünler, CRA Ek VIII uyarınca imalatçı tarafından iç kontrol (kendi kendine değerlendirme) yoluyla uygunluk değerlendirmesinden geçebilir, üçüncü taraf müdahalesi gerektirmez. Bu, tüketici ve ticari yazılım ile donanımın büyük çoğunluğunu kapsar.
VEX - Güvenlik Açığı İstismar Edilebilirlik Değişimi
Belirli bir üründeki güvenlik açıklarının istismar edilebilirlik durumunu bildiren belge. Bir CVE'nin ürününüzü etkileyip etkilemediğini belirtir (etkilenmiş, etkilenmemiş, düzeltilmiş, soruşturma altında). Aşağı yön kullanıcıların yanlış pozitiflerden kaynaklanan uyarı yorgunluğunu azaltmasına yardımcı olur.
VKB - Güvenlik Açığı Bilgi Tabanı
NVD/cvelistV5, OSV.dev, GitHub Danışmaları, CISA KEV ve EPSS gibi birden fazla kaynaktan gelen danışmaları tek bir sorgulanabilir bilgi tabanında toplayan sürekli güncellenen güvenlik açığı veritabanı. Tek bir kaynağa karşı talep üzerine bağımlılıkları taramak yerine, VKB tüm bilinen güvenlik açıklarının yerel bir aynasını tutar ve yeni CVE'ler yayımlandıkça bunları yazılım bileşenleriyle eşleştirir. Bu, tespit gecikmesini saatlerden veya günlerden dakikalara indirir; birden fazla kaynağa çapraz referans verilmesi, gözden kaçan danışma riskini azaltır.