Danışmanlık hizmetleri · dört aşamalı teslim
CRA uyum danışmanlığı · teknik dosya, açıklık bildirimi ve piyasa gözetimi 4 aşamada
Değerlendirme, iş akışı entegrasyonu, teknik dosya, sürekli operasyon. Her aşamanın ne çıktısı olduğu, mevcut belgelerin nereye oturduğu, hangi işi kapsam dışı bıraktığımız ve teklif sürecinin nasıl işlediği burada kalem kalem yazılıdır. Mevzuatın süreleri ve kapsamı için ana sayfadaki özet, bu sayfa ise teslim odaklıdır.
CRA uyumunun dört aşaması ve her aşamanın çıktısı
Aşama başına ne yapıldığı ve neyin teslim edildiği, müşterinin iç onay dosyasına doğrudan konulabilecek netlikte listelenmiştir.
Değerlendirme · mevcut durum ile CRA gereklilikleri arasındaki boşluğu görünür kılma
Ürün yelpazesi, Ar-Ge süreci ve elde bulunan belgeler CRA Ek I karşısında taranır; öncelik sırasına göre yazılı boşluk analizi teslim edilir.
- CRA kapsam raporu: ürün hattı bazında 13. madde imalatçı yükümlülükleri ile Ek III sınıflandırması (varsayılan, Önemli Sınıf I/II, Kritik).
- Boşluk analizi: Ek I temel siber güvenlik gereklilikleri ile mevcut durum arasındaki fark, Ar-Ge ekibinin doğrudan uygulayabileceği iyileştirme planı ile beraber.
- Mevcut belgelerin eşlemesi: TSE belgesi, IEC 62443-4-1/4-2, ISO/IEC 27001, KVKK bildirim pratiği, varsa EUCC hazırlığı; hangi kalemlerin tekrar kullanılabileceği.
- Sınıflandırma kararı: Ek III veya Ek IV kapsamında olup olmadığı ve uygun uygunluk değerlendirme yolu (ürün sınıflandırması rehberi).
İş akışı entegrasyonu · CRA gerekliliklerinin Ar-Ge süreçlerine yerleştirilmesi
CRA evrak işi olarak değil, işletim süreci olarak ele alınır. Mevcut CI/CD ardışık düzenine gereklilikler yerleştirilir; SBOM üretimi için BSI TR-03183 teknik kılavuzu temel alınır.
- SBOM üretimi: derleme sırasında otomatik üretim (CycloneDX veya SPDX), CI/CD entegrasyonu (GitHub Actions, GitLab CI, Jenkins).
- Açıklık taraması: NVD, GHSA ve ENISA EUVD kaynaklarına karşı bağımlılık bazlı sürekli tarama.
- Ardışık düzen kapıları: CI üzerinde SAST, bağımlılık denetimi, konteyner taraması kapılarının kurulumu.
- Açıklık müdahale prosedürü: SBOM temelli, süreleri tanımlı yazılı olay müdahale dokümantasyonu.
- Koordineli açıklık ifşası (CVD): USOM duyuru pratiği ile hizalı politika ve security.txt (RFC 9116) uygulaması.
Teknik dosya · AB alıcısının ve piyasa gözetim otoritelerinin talep ettiği belge seti
CRA Ek VII uyarınca eksiksiz teknik dosya ve AB pazarının talep ettiği çeviriler hazırlanır. Hukuk bürosu değiliz; hukuki görüş, mevzuat yorumu veya sözleşme denetimi sunulmaz.
- Teknik dosya: CRA Ek VII formatında, Ar-Ge sorumlusu tarafından imza atılabilir nihai sürüm.
- EU Uygunluk Beyanı: CRA standardına göre taslaklanan beyanname sürümü.
- Kullanıcı güvenlik bilgisi: ürünün satıldığı AB üye devletinin resmî dilinde sunulan içerik.
- Çeviri seti: güvenlik risk değerlendirmesi, test raporları, açıklık yönetim kaydı, uygunluk beyanı ve kullanıcı güvenlik bilgisi için AB resmî dillerine çeviri.
- AB yetkili temsilci seçimi desteği: aday karşılaştırması ve sözleşme incelemesi (rolü kendimiz üstlenmeyiz, aşağıda tekrar edilir).
- Hukuk ile köprü: teknik içeriğin, müşterinin iç hukuk ekibi veya dış avukatın doğrudan yorumlayabileceği biçime dönüştürülmesi.
Sürekli operasyon · ürün yaşam döngüsü boyunca (en az 5 yıl) destek
CRA tek seferlik denetim değildir; ürün yaşam döngüsü boyunca en az beş yıl süren yükümlülük dizisidir.
- CVE izleme: sahaya verilmiş ürünlerin bileşenleri için açıklık duyurularının takibi.
- Madde 14 bildirim operasyonu: 24 saat erken uyarı, 72 saat tam bildirim, 14 gün nihai rapor ENISA yazışma şablonları ve USOM raporlaması ile paralel yürütme.
- Yıllık yeniden inceleme: Ek I uyum durumunun düzenli aralıklarla gözden geçirilmesi.
- Yeni ürün kapsamı: yeni ürün pazara sürüldüğünde kapsam ve belge setinin yeniden düzenlenmesi.
- Pazar gözetim yazışmaları: AB üye devletlerinin pazar gözetim otoritelerinden gelen yazılı sorulara yanıt desteği.
Elinizdeki belgeler CRA'nın neresine denk gelir: yeniden kullanılabilir olanlar ve yeni iş
Mevcut belgeleri başlangıç noktası saymak, tekrar işini en hızlı azaltan yoldur. Aşağıdaki dokuz kart, Türk imalatçılarda sıkça karşılaşılan belgelerin CRA karşısındaki konumunu gösterir.
CE, ürünün AB pazarına sürülmesi için asgari yasal çatıdır. CRA bu çatıya siber güvenlik boyutunu ekler. CE sürecinde hazırlanmış ürün dosyası Ek VII çatısına taşınır; SBOM, açıklık bildirimi ve 5 yıllık güvenlik güncellemesi taahhüdü ayrıca eklenir.
RED Delegated Act 2022/30 madde 3.3(d/e/f) CRA Ek I birinci bölümünün bir alt kümesiyle örtüşür. Kablosuz ürün hatları için mevcut radyo/EMC dosyası, CRA teknik dosyasının başlangıç şablonu olarak kullanılır.
Güvenli yazılım geliştirme yaşam döngüsü standardı. CRA ile en doğrudan örtüşen kalemdir; mevcut sertifika varsa SDL işinin büyük bölümü yeniden kullanılır. Makine okunur SBOM, Ek VII biçimi ve ENISA bildirim prosedürü ayrıca doldurulur.
Ek I birinci bölümünün şifreleme, erişim kontrolü ve güvenli güncelleme mekanizmaları gerekliliklerini karşılar. Endüstriyel kontrol/PLC üreten imalatçılar için sık karşılaşılan temeldir; Ek VII dosyası ve Önemli Sınıf II durumunda Onaylanmış Kuruluş değerlendirmesi ayrıca planlanır.
Kurumsal bilgi güvenliği yönetim sistemi. Kurum tarafı için yönetişim altyapısı sunar, ancak ürün bazlı CRA gerekliliklerini kapsamaz. Kurum tarafı boşluk analizinin başlangıç noktası olarak değerlendirilir.
Türk Standartları Enstitüsü TSE belgesi iç pazar için temel uyum belgesidir. CRA kapsamında Onaylanmış Kuruluş değildir; Önemli Sınıf II ürünler için AB tarafında atanmış bir Notified Body ile çalışmak gerekir. TSE test raporlarındaki bazı başlıklar Ek VII ek dosyası olarak kullanılabilir.
KVKK 24 saat / 72 saat veri ihlali bildirim refleksi, CRA'nın 24 saat erken uyarı / 72 saat ciddi olay bildirim sürelerinin doğrudan karşılığıdır. Mevcut KVKK ihlal müdahale sürecinin çıktı şablonu, ENISA muhataplı CRA sürecine uyarlanır.
Alman federal bilgi güvenliği ofisinin (BSI) teknik kılavuzu TR-03183 CRA SBOM gereklilikleri için pratik uygulama rehberi sunar. Format seçimi (CycloneDX/SPDX), asgari öznitelik kümesi ve üretim zamanlaması için başvurulan kaynaktır.
Mevcut USOM koordineli açıklık duyurusu pratiği, ENISA bildirim akışına şablon sağlar. Tek bir olay için çift kanallı çıktı (USOM + ENISA SRP) standardı kurulur; tekrar eden iş azaltılır. Sektör koordinasyonu için TESİD CRA merkezi referans alınır.
ENISA'nın yönettiği AB siber güvenlik sertifikasyon şeması. CRA için uyumlaştırılmış standartlar henüz tamamlanmadığından, Önemli Sınıf I ürünler EUCC üzerinden Ek I uygunluğunu gösterebilir; seçmeli yol, zorunlu değil.
Üstlenilmeyen işler
Müşterinin iç karar sürecini netleştirmek için üstlenilmeyen kalemler baştan yazılır. Bu işler için uygun kuruluşa ayrıca talepte bulunulmalıdır.
Onaylanmış Kuruluş (Notified Body) işi
(AB) 2024/2847 sayılı Tüzüğün 32. maddesi uyarınca yapılan üçüncü taraf uygunluk değerlendirmesi bu hizmetin dışındadır. Önemli Sınıf II gibi Onaylanmış Kuruluş değerlendirmesi gereken ürünlerde AENOR ve Applus gibi İspanya merkezli AB Onaylanmış Kuruluşlarının karşılaştırması yapılır; asıl değerlendirme ve belgelendirme yalnızca bu kuruluş tarafından yürütülür.
Hukuk bürosu işi
Hukuki görüş, mevzuat yorumu, sözleşme denetimi, dava takibi gibi işler bu hizmetin dışındadır. Hukuki meseleler müşterinin iç hukuk ekibine veya tercih edilen avukata havale edilmelidir. Rolümüz teknik içeriğin hukuk tarafınca doğrudan değerlendirilebilir biçime getirilmesidir.
AB Yetkili Temsilci (Authorised Representative)
(AB) 2024/2847 sayılı Tüzüğün 18. maddesinde tanımlanan AB yetkili temsilci rolü bu hizmetin dışındadır (AB'de tüzel kişiliği olmayan imalatçılar bu rolü bir AB kuruluşuna zorunlu olarak atar). Hizmet kapsamında yalnızca aday karşılaştırması ve sözleşme incelemesi desteği sunulur.
İlk temastan proje başlangıcına kadar yol haritası
İlk temas, 45 dakikalık görüşme, iç onay ve proje başlangıcı aşamalarında her iki tarafın sorumlulukları bu dört kartta gösterilir.
İlk temas
Web sitesi üzerinden 45 dakikalık ücretsiz görüşme için randevu alınır. İlk görüşme öncesinde NDA imzalanmaz.
Müşteri tarafı: ürün, mevcut belge durumu, iç tartışma özeti.
45 dakikalık görüşme
Telefon veya video konferans üzerinden CRA sınıfı, öncelikli boşluklar ve yaklaşık kapsam netleştirilir.
Bizim tarafımız: görüşme sonrası 48 saat içinde yazılı boşluk özeti, kapsam ve teklif taslağı.
İç onay
Teklif yazdırılabilir, PDF veya iç paylaşıma uygun biçimde teslim edilir; satın alma süreci için ek soru formu desteklenir.
Müşteri tarafı: paydaş mutabakatı, ek soruların derlenmesi.
Proje başlangıcı
Sözleşme imzalandıktan sonra dört aşamalı hizmet başlar; ilk çıktı (boşluk analizi) 2-4 hafta içinde teslim edilir.
Müşteri tarafı: Ar-Ge ve iletişim temsilcisinin belirlenmesi, mevcut belgelerin paylaşımı.
Her iş için ayrı teklif, kamuya açık fiyat listesi yoktur
Neden rakam yayımlanmıyor
CRA danışmanlığının biçimi müşterinin CRA'daki rolüne (imalatçı, ithalatçı, dağıtıcı), hedef ürünün teknik karmaşıklığına, ürün hattı sayısına ve mevcut hazırlık düzeyine göre şekillenir. Tek bir gömülü ürünle onlarca SKU sahibi orta/büyük ölçekli imalatçı tamamen farklı iş tanımlarına denk gelir.
Kesin rakam 45 dakikalık ücretsiz görüşmenin ardından her müşteriye özel olarak açıklanır. Görüşmenin bitişinden itibaren 48 saat içinde kapsam, çıktı, zaman çizelgesi ve fiyatı içeren yazılı teklif iletilir.
Birlikte çalışma yöntemi hakkında en çok gelen beş soru
Mevzuata ilişkin sorular Türk imalatçılar için FAQ sayfasına bırakılmıştır; bu bölüm yalnızca çalışma biçimine odaklıdır.
Gizlilik sözleşmesi (NDA) hangi aşamada imzalanır?
45 dakikalık ücretsiz görüşme öncesinde NDA aranmaz; bu aşamada yalnızca genel kapsam ve boşluk konuşulur. Detaylı ürün verisine (tasarım belgeleri, kaynak kod, test raporları) geçildiği anda NDA imzalanır; her iki tarafın standart şablonlarından biri kabul edilir.
Mevcut hukuk büromuz veya danışmanımız ile paralel çalışabilir misiniz?
Evet. Bizim görev alanımız teknik ve belgeleme tarafıdır; hukuk bürosunun mevzuat yorumu ve sözleşme önerileri ile doğal olarak tamamlayıcı yürür. Genel BT danışmanlığıyla paralel çalışırken, iş bölümü baştan yazılı olarak belirlenir ve çıktı çakışması engellenir.
Türkçe, İngilizce ve İspanyolca çalışıyor musunuz; Türkiye-CET saat farkı süreci nasıl etkiler?
Çalışma dillerimiz Türkçe, İngilizce ve İspanyolca'dır. Türkiye saatiyle 10:00-18:00 aralığı (İspanya saatiyle 08:00-16:00) toplantı için uygundur; sabahın ilk saatleri İspanya'da iş dışı olduğundan eşzamanlı toplantı verilmez. Asenkron belge incelemesi saat farkından etkilenmez.
Sözleşmeden ilk boşluk analizi teslimine kadar ne kadar sürüyor?
Genellikle 2-4 hafta. Ürün hattı sayısı, mevcut belge bütünlüğü ve iç görüşme için ayırılabilen takvim bu süreyi belirler. Ön teklif aşamasında verilen takvim ve kilometre taşları bağlayıcıdır.
Sözleşme bittikten sonra operasyon aşamasında da destek verebilir misiniz?
Evet. Aşama 04 sürekli operasyon desteği yıllık retainer sözleşmesi ile ayrı yürütülür; kapsam CVE izleme, ENISA bildirim operasyonunun yedeği ve yeni ürün lansmanlarında kapsamın yeniden çıkarılmasıdır. Aşama 01-03 sözleşmesinin ardından ya da eşzamanlı olarak devreye alınabilir.
CRA Evidence hakkında
2026'da kurulan, CRA odaklı bağımsız danışmanlık
Senda Tech Solutions S.L., İspanya'nın Oviedo şehrinde tescillidir ve AB'de yerleşik bağımsız bir danışmanlık kuruluşudur. Yalnızca Siber Dayanıklılık Tüzüğü uyumuna odaklıdır; genel amaçlı danışmanlık sunulmaz. Yerel AB mevzuat ortamında, AB dışı imalatçıların pratik meseleleri gerçek vakalar üzerinden ele alınır.
- Tüzel kişilik
- Senda Tech Solutions S.L.
- Kuruluş yılı
- 2026
- Adres
- Oviedo, Asturias, İspanya (AB sınırları içinde)
- Uzmanlık alanı
- AB Siber Dayanıklılık Tüzüğü ((AB) 2024/2847 sayılı Tüzük) uyumu
- Çalışma biçimi
- Uzaktan (video konferans, e-posta, paylaşımlı doküman)
- Çalışma dilleri
- Türkçe, İngilizce, İspanyolca
Yazılı kapsam ve teklif 48 saat içinde
45 dakikalık görüşmenin ardından kapsam, çıktı, zaman çizelgesi ve fiyatı içeren teklif yazılı olarak iletilir.
Aşamalı yazılı teklif isteyin