CRA Uyumluluk Sözlüğü
AB Siber Dayanıklılık Yasası, yazılım tedarik zinciri güvenlik standartları ve uyumluluk gereksinimlerini anlamak için temel terminoloji.
Eşleşen terim bulunamadı.
A
AB Makine Yönetmeliği - (AB) 2023/1230 sayılı Yönetmelik
Makine Direktifi 2006/42/EC'nin yerini alan ve 20 Ocak 2027'den itibaren uygulanacak AB yönetmeliği. Dijital unsurlar içeren makineler için teknik dosyada (Ek III §1.1.9 — manipülasyona karşı koruma) siber güvenlik kanıtı gerektirir. Dijital unsurlar içeren ürünler bu yönetmeliğe ve CRA'ya aynı anda uymak zorundadır.
AB Uygunluk Beyanı
Bir ürünün CRA dahil uygulanabilir AB mevzuatına uyduğunu belirten resmi belge. İmalatçı veya yetkili temsilci tarafından imzalanmalıdır. CE işareti için zorunludur. Uygulanabilir uyumlaştırılmış standartlara atıfta bulunmalıdır.
Authorised representative - Madde 18
Under Article 18(1) of Regulation (EU) 2024/2847 (the EU Cyber Resilience Act), a manufacturer may, by written mandate, appoint an EU-established legal or natural person as authorised representative. Appointment is optional under the CRA, unlike MDR Article 11 or RED Article 5 which require an authorised representative for non-EU manufacturers. Under Article 18(3), the authorised representative holds the EU Declaration of Conformity and the technical documentation at the disposal of market surveillance authorities for at least 10 years (or the support period, whichever is longer), provides information on reasoned request, and cooperates on actions taken to eliminate risks. Article 18(2) excludes the substantive Article 13 cybersecurity obligations from the mandate. Distinct from the Article 19 importer role. See the Article 18 explainer at /cra-authorised-representative.
C
CE İşareti
AB mevzuatına uygunluğu gösteren Avrupa uygunluk işareti. CRA kapsamında, dijital unsurları olan ürünlerin AB pazarında yasal olarak satılabilmesi için CE işareti taşıması zorunludur. Uygunluk değerlendirmesinin tamamlanmasını ve AB Uygunluk Beyanı'nı gerektirir.
CRA - Siber Dayanıklılık Yasası
Avrupa Birliği'nde satılan dijital unsurları olan ürünler için zorunlu siber güvenlik gereksinimleri belirleyen AB Yönetmeliği 2024/2847. 10 Aralık 2024 tarihinde yürürlüğe girdi. Ana yükümlülükler 11 Aralık 2027'den itibaren uygulanır. Ağ bağlantısına sahip donanım ve yazılım ürünlerini kapsar.
CSAF - Ortak Güvenlik Danışma Çerçevesi
Makine tarafından okunabilir güvenlik danışmaları için OASIS standardı. Güvenlik açığı bildirimlerinin otomatik işlenmesini sağlar. CRA gereksinimleri kapsamında koordineli güvenlik açığı bildirimi (CVD) ve ENISA raporlaması için kullanılır.
CSIRT - Bilgisayar Güvenliği Olaylarına Müdahale Ekipleri
CRA Madde 14 kapsamında imalatçıların aktif olarak istismar edilen güvenlik açıkları ve önemli olaylar hakkında bilgilendirmek zorunda olduğu ve AB düzeyindeki güvenlik açığı müdahalesinde ENISA ile koordinasyon sağlayan yetkili siber güvenlik kuruluşları.
CVD - Koordineli Güvenlik Açığı Bildirimi
Güvenlik açıklarını kamuoyuna duyurulmadan önce satıcılara sorumlu bir şekilde bildirme süreci. CRA Madde 13(8), imalatçıların güvenlik iletişim bilgileri dahil CVD politikalarını oluşturmasını ve yayımlamasını zorunlu kılar.
CVE - Yaygın Güvenlik Açıkları ve Maruziyetler
Kamuoyunda bilinen siber güvenlik açıkları için standartlaştırılmış tanımlayıcı (örn. CVE-2024-12345). MITRE Corporation tarafından yönetilir. Güvenlik açığı takibi, bildirimi ve düzeltme koordinasyonu için küresel olarak kullanılır.
CVSS - Yaygın Güvenlik Açığı Puanlama Sistemi
Güvenlik açığı ciddiyetini 0-10 ölçeğinde değerlendirmek için sektör standardı. CVSS 4.0 en son sürümdür. Temel, zamansal ve çevresel metrikler sağlar. Kritik (9.0-10.0), Yüksek (7.0-8.9), Orta (4.0-6.9), Düşük (0.1-3.9).
CycloneDX
Yazılım Malzeme Listeleri (SBOM) ve ilgili yapılar oluşturmak için OWASP standardı. SBOM, VEX, HBOM, SaaSBOM ve daha fazlasını destekler. Sürüm 1.5 ve üzeri önerilir. BSI TR-03183 tarafından CRA uyumluluğu için tercih edilen format olarak anılır.
D
Dağıtıcı
Tedarik zincirinde, imalatçı veya ithalatçı dışında, dijital unsurları olan bir ürünü AB pazarında kullanıma sunan herhangi bir varlık. Distribütörler, ürünü kullanıma sunmadan önce CE işareti taşıdığını ve AB Uygunluk Beyanı ile birlikte sunulduğunu doğrulamak zorundadır. Bir distribütör ürünü değiştirirse, CRA kapsamında imalatçı konumuna gelir.
E
Ek VII
CRA Ek VII, imalatçıların dijital unsurları olan ürünler için hazırlamak zorunda olduğu AB Uygunluk Beyanı'nın asgari içeriğini belirtir. Ürün tanımlaması, imalatçı detayları, uygulanan standartlar ve yetkili temsilcinin imzasını içerir.
ENISA - Avrupa Birliği Siber Güvenlik Ajansı
Siber güvenlik politikası ve olay koordinasyonundan sorumlu AB ajansı. CRA kapsamında, imalatçılar aktif olarak istismar edilen güvenlik açıklarını 24 saat içinde ve ciddi olayları 72 saat içinde ENISA'ya bildirmek zorundadır. Raporlama yükümlülüğü 11 Eylül 2026'dan itibaren başlar.
EPSS - İstismar Tahmin Puanlama Sistemi
Bir güvenlik açığının önümüzdeki 30 gün içinde gerçek ortamda istismar edilme olasılığını (%0-100) tahmin eden FIRST.org modeli. CVSS ile birlikte risk tabanlı güvenlik açığı önceliklendirmesi için kullanılır. Yüksek EPSS = düzeltme için daha yüksek öncelik.
H
HBOM - Donanım Malzeme Listesi
İşlemciler, bellek, entegre devreler ve ürün yazılımı dahil bir üründeki donanım bileşenlerinin makine tarafından okunabilir envanteri. Tam ürün şeffaflığı için SBOM'u tamamlar. CycloneDX, HBOM formatını destekler.
I
İmalatçı
Dijital unsurları olan bir ürünü geliştiren veya üreten ve kendi adı veya ticari markası altında AB pazarına sunan varlık. İmalatçılar birincil CRA yükümlülüklerini taşır: risk değerlendirmesi yapma, SBOM'ları güncel tutma, güvenlik açıklarını yönetme, en az beş yıl boyunca güvenlik güncellemeleri sağlama ve istismar edilen güvenlik açıklarını ENISA'ya bildirme.
İthalatçı
AB dışındaki bir imalatçıdan dijital unsurları olan bir ürünü Avrupa pazarına sunan AB merkezli bir varlık. İthalatçılar, imalatçının uygunluk değerlendirmesini gerçekleştirdiğini, CE işaretinin uygulandığını ve teknik belgelerin mevcut olduğunu doğrulamak zorundadır. Uyumsuz ürünler için ortak sorumluluk taşırlar.
K
KEV - Bilinen İstismar Edilen Güvenlik Açıkları
CISA'nın gerçek ortamda aktif olarak istismar edilen güvenlik açıklarının yetkili kataloğu. Onaylanmış gerçek dünya tehditlerini temsil ettikleri için düzeltme açısından en yüksek önceliğe sahiptir. Federal kurumlar, KEV güvenlik açıklarını belirtilen süreler içinde düzeltmek zorundadır.
Kritik Ürün - CRA Ek IV
Diğer ürünler, ağlar veya hizmetler için temel siber güvenlik işlevleri gerçekleştiren dijital unsurları olan ürünler. CRA Ek IV'te listelenenler arasında donanım güvenlik modülleri (HSM), akıllı kart okuyucuları, güvenli unsurlar ve güvenlik kutularına sahip donanım cihazları yer alır. Kritik ürünler, uygulanabilir bir şema kapsamında Avrupa siber güvenlik sertifikası veya, şema yoksa, onaylanmış bir kuruluş tarafından üçüncü taraf uygunluk değerlendirmesi gerektirir.
M
Madde 13 - İmalatçıların Yükümlülükleri
CRA Madde 13, temel imalatçı yükümlülüklerini belirler: tasarım gereği güvenlik, SBOM bakımı, güvenlik açığı yönetimi, ürün yaşam döngüsü boyunca güvenlik güncellemeleri sağlama ve teknik belgeleri en az 10 yıl muhafaza etme.
Madde 14 - Raporlama Yükümlülükleri
CRA Madde 14, imalatçıların aktif olarak istismar edilen güvenlik açıklarını 24 saat içinde (erken uyarı), 72 saat içinde (ayrıntılı rapor) ve 14 gün içinde (nihai rapor) ENISA'ya bildirmesini zorunlu kılar. Ciddi olaylar aynı modeli izler ancak nihai rapor için 30 günlük son tarih uygulanır.
N
NVD - Ulusal Güvenlik Açığı Veritabanı
NIST tarafından yönetilen ABD hükümeti güvenlik açığı veri deposu. CVE tanımlayıcıları üzerine inşa edilmiştir. CVSS puanları, CPE (etkilenen ürün) bilgisi, CWE sınıflandırmaları ve düzeltme kılavuzu sağlar.
O
Onaylanmış Kuruluş
Ürünlerin yasal gereksinimleri karşılayıp karşılamadığını değerlendirmek için bir AB üye devleti tarafından atanmış bağımsız uygunluk değerlendirme kuruluşu. CRA Ek III ve IV kapsamında Önemli Ürün (Sınıf I), Önemli Ürün (Sınıf II) ve Kritik ürünler için üçüncü taraf uygunluk değerlendirmesinde zorunludur.
OSV.dev - Açık Kaynak Güvenlik Açığı Veritabanı
Google tarafından yönetilen Açık Kaynak Güvenlik Açığı veritabanı. GitHub (GHSA), Go, Rust, PyPI ve 15'ten fazla ekosistenden güvenlik danışmalarını tek bir sorgulanabilir API'de toplar. CRA Evidence, CVE kimliği almadan önce ekosisteme özgü veritabanlarının takip ettiği danışmaları yakalamak için NVD'nin yanı sıra ikincil güvenlik açığı kaynağı olarak OSV.dev kullanır.
Önemli Ürün (Sınıf I) - CRA Ek III, Bölüm I
Siber güvenlikle ilgili bir işlev gerçekleştiren veya yüksek risk taşıyan dijital unsurları olan ürünler. Sınıf I; kimlik yönetim sistemleri, VPN'ler, ağ yönetim araçları, SIEM sistemleri, önyükleyiciler ve CRA Ek III Bölüm I'de listelenen diğer kategorileri içerir. İmalatçılar, tüm temel gereksinimleri kapsayan uyumlaştırılmış standartları uygulamalı (kendi kendine değerlendirme yapılmasına olanak tanır) ya da onaylanmış bir kuruluş tarafından üçüncü taraf uygunluk değerlendirmesinden geçmelidir.
Önemli Ürün (Sınıf II) - CRA Ek III, Bölüm II
Kritik siber güvenlik işlevleri gerçekleştiren ve önemli risk taşıyan dijital unsurları olan ürünler. Sınıf II; işletim sistemleri, hipervizörler, güvenlik duvarları, saldırı tespit sistemleri, mikrodenetleyiciler, endüstriyel otomasyon sistemleri ve CRA Ek III Bölüm II'de listelenen diğer kategorileri içerir. Bu ürünler, uyumlaştırılmış standartların varlığına bakılmaksızın her zaman onaylanmış bir kuruluş tarafından üçüncü taraf uygunluk değerlendirmesi gerektirir.
P
PDE - Dijital Unsurları Olan Ürün
Başka bir cihaza veya ağa (doğrudan veya dolaylı) bağlantısı olan herhangi bir yazılım veya donanım ürünü. CRA düzenlemesinin temel kapsamıdır. IoT cihazları, endüstriyel ekipmanlar, tüketici elektroniği ve bağımsız yazılımları içerir.
prEN 50742
Makine güvenliği için taslak Avrupa standardı; manipülasyona karşı koruma gereksinimlerini kapsar. (AB) 2023/1230 sayılı Makine Yönetmeliği'nin §1.1.9 maddesinin uygulanması için teknik şartnameler sağlar. İki uygunluk yolu tanımlar: bağımsız bir yaklaşım ile halihazırda bu endüstriyel siber güvenlik çerçevesinde çalışan üreticiler için IEC 62443 ile entegrasyon. Uyumlaştırılmış standart olarak yayımlandığında, uygunluk Makine Yönetmeliği'nin siber güvenlik gereksinimlerine uygunluk karinesi oluşturur. Yayımın 2026 sonunda yapılması beklenmektedir.
PURL - Paket URL
Ekosistemler genelinde yazılım paketlerini tanımlamak için standartlaştırılmış format (örn. pkg:npm/lodash@4.17.21). Bileşenleri benzersiz şekilde tanımlamak için SBOM'larda kullanılır. Otomatik güvenlik açığı eşleştirme ve lisans uyumluluğunu etkinleştirir.
R
RDPS - Uzak Veri İşleme Çözümleri
Dijital unsurları olan bir ürünün parçası olarak verileri uzaktan işleyen bulut veya SaaS işlevi. Üç bölümlü testi karşılaması halinde ürünün CRA uygunluk değerlendirmesi kapsamına girer: veriler 'uzaktan' işlenir, ürün onsuz temel bir işlevini kaybeder ve imalatçı tarafından veya onun sorumluluğu altında tasarlanmıştır. Bu testi karşılamayan üçüncü taraf SaaS, Madde 13(5) durum tespiti kapsamında yine de bir bileşen olarak değerlendirilmelidir.
Risk Değerlendirmesi
Dijital unsurları olan bir ürünle ilişkili siber güvenlik risklerini belirleme, analiz etme ve değerlendirme sistematik süreci. CRA Madde 13(2) tarafından zorunlu kılınır ve teknik dosyada belgelenmelidir. Ürün yaşam döngüsü boyunca tehditleri, güvenlik açıklarını, olası etkileri ve risk azaltma önlemlerini kapsar.
S
SBOM - Yazılım Malzeme Listesi
Sürümler, lisanslar ve ilişkiler dahil yazılım bileşenlerinin ve bağımlılıklarının resmi, makine tarafından okunabilir envanteri. Güvenlik açığı yönetimi ve tedarik zinciri şeffaflığı için CRA Madde 13(4) tarafından zorunlu kılınır. CycloneDX veya SPDX formatında olabilir.
SPDX - Yazılım Paketi Veri Değişimi
Yazılım malzeme listesi bilgilerini iletmek için ISO/IEC 5962:2021 standardı. Linux Foundation tarafından geliştirilmiştir. Lisans uyumluluğu ve güvenlik açığı takibi için yaygın olarak kullanılır. CRA uyumluluğu için Sürüm 2.2.1 ve üzeri önerilir.
T
Teknik Dosya
CRA uyumluluğunu kanıtlayan eksiksiz belge paketi. Risk değerlendirmesi, SBOM, güvenlik tasarım belgeleri, güvenlik açığı yönetim prosedürleri, test sonuçları ve AB Uygunluk Beyanı'nı içerir. 10 yıl veya ürün ömrü boyunca (hangisi daha uzunsa) muhafaza edilmelidir.
TR-03183
SBOM oluşturma ve yönetimi için ayrıntılı gereksinimler sağlayan Alman BSI (Federal Bilgi Güvenliği Ofisi) Teknik Kılavuzu. CRA Madde 13 uyumluluğu için en iyi uygulama olarak yaygın biçimde anılır. Minimum SBOM alanlarını, formatlarını ve güncelleme gereksinimlerini belirtir.
U
Uygunluk Değerlendirmesi
Bir ürünün CRA temel siber güvenlik gereksinimlerini karşıladığını doğrulayan süreç. Varsayılan ürünler, kendi kendine değerlendirme (Modül A) kullanabilirken, Önemli Ürün (Sınıf I), Önemli Ürün (Sınıf II) ve Kritik ürünler onaylanmış kuruluşlar tarafından üçüncü taraf değerlendirmesi gerektirir.
Uyumlaştırılmış Standartlar
Tanınmış standardizasyon kuruluşları (CEN, CENELEC, ETSI) tarafından benimsenen ve AB Resmi Gazetesi'nde atıfta bulunulan Avrupa standartları. Uyumlaştırılmış standartlara uyan ürünler, karşılık gelen CRA temel gereksinimleri açısından uygunluk karinesi avantajından yararlanır ve bu da uygunluk değerlendirmesini basitleştirir.
V
Varsayılan Ürün Kategorisi
CRA Ek III ve IV'te tanımlanan Önemli veya Kritik kategorilere girmeyen dijital unsurları olan ürünler. Varsayılan ürünler, CRA Ek VIII uyarınca imalatçı tarafından iç kontrol (kendi kendine değerlendirme) yoluyla uygunluk değerlendirmesinden geçebilir, üçüncü taraf müdahalesi gerektirmez. Bu, tüketici ve ticari yazılım ile donanımın büyük çoğunluğunu kapsar.
VEX - Güvenlik Açığı İstismar Edilebilirlik Değişimi
Belirli bir üründeki güvenlik açıklarının istismar edilebilirlik durumunu bildiren belge. Bir CVE'nin ürününüzü etkileyip etkilemediğini belirtir (etkilenmiş, etkilenmemiş, düzeltilmiş, soruşturma altında). Aşağı yön kullanıcıların yanlış pozitiflerden kaynaklanan uyarı yorgunluğunu azaltmasına yardımcı olur.
VKB - Güvenlik Açığı Bilgi Tabanı
NVD/cvelistV5, OSV.dev, GitHub Danışmaları, CISA KEV ve EPSS gibi birden fazla kaynaktan gelen danışmaları tek bir sorgulanabilir bilgi tabanında toplayan sürekli güncellenen güvenlik açığı veritabanı. Tek bir kaynağa karşı talep üzerine bağımlılıkları taramak yerine, VKB tüm bilinen güvenlik açıklarının yerel bir aynasını tutar ve yeni CVE'ler yayımlandıkça bunları yazılım bileşenleriyle eşleştirir. Bu, tespit gecikmesini saatlerden veya günlerden dakikalara indirir; birden fazla kaynağa çapraz referans verilmesi, gözden kaçan danışma riskini azaltır.