AB’ye ihracatta yeni düzenleme: CRA
Avrupa’da artık ilk soru şu olacak: Ürünün güvenli mi? Cevap net ve kanıtlı değilse, gümrükten değil, teklif masasından dönersiniz. Cyber Resilience Act (CRA) bu yüzden geliyor. Akıllı sanayici için bir nevi yeni ihracat pasaportu.
CRA, AB’nin Siber Dayanıklılık Tüzüğü. Gömülü yazılım içeren makineler, IoT cihazları, yazılımlar ve bulut bağlantılı sistemler dahil dijital unsurlu ürünlere asgari siber güvenlik şartları getiriyor. Tasarımdan kullanım ömrünün sonuna kadar güncelleme, zafiyet yönetimi ve kanıtlanabilir güvenlik istenmekte. ENISA verilerine göre saldırılardan en çok etkilenenler KOBİ’ler. CRA, bu tehdide karşı kurumsal dayanıklılığı standartlaştırmayı hedefliyor. Süreç başladı. 2026 ortasında bildirim ve belirli raporlama adımları başlayacak; 2027 sonunda da genel uygulama penceresi tamamlanacak. Omnibus Direktifi e-ticaret vitrinini indirim şeffaflığı, yorum doğrulama, kişiselleştirilmiş fiyat bildirimini vs düzenliyor. CRA ise ürünün teknik güvenliğini. AB’ye satışta bu iki hattı birlikte yöneten şirket, aynı ekranda ticari dürüstlük + teknik güvenlik çıtasını gösterir. ENISA tarafı olay/zafiyet bildiriminin omurgası. 24s/72s ritmini burada tutturursunuz.
Zafiyeti saklamak değil, hızlı ve şeffaf yönetmek makbul.
Bu düzenleme, AB ile iş yapan sanayiciler, KOBİ›ler ve girişimciler için ağır yük gelebilir, zorlayabilir. Ama önceden hazırlanılır, adım adım yönetilirse birçok fırsat var.
Etkilenenler: Gömülü yazılımlı makine üreticileri, IoT ve yazılım firmaları, e-ticaretle AB’ye satış yapanlar, kendi markasıyla satış yapan ithalatçı/dağıtıcılar.
Zorluklar: Kaynakların dağınıklığı, test maliyetleri, ekip eğitimi, tedarik zincirini SBOM ve yama disipliniyle şeffaflaştırma.
Fırsatlar: Erken uyumla pazar erişimi hızlanabilir, “güvenli ürün” iddiası ihale ve tedarikçi değerlendirmelerinde puan getirebilir, iade ve gecikmeler azalabilir, siber risk sigortası ve finansmanda şartlar iyileşebilir.
Sanayici ve KOBİ’ler neler yapmalı?
Pratik bir örnek iş listesi hazırladım. Ancak yine de aşağıda belirttiğim başvurulacak ve çalışılacak yerlerle iletişime geçilerek sürecin yürütülmesini öneriyorum.
Envanter ve sınıflandırma: Dijital unsurlu ürünlerinizi çıkarma. Kritik/önemli/diğer şeklinde etiketleme.
Risk ve güvenli varsayılanlar: Parola/kimlik politikası, kripto, loglama, güncelleme ve geri alma (rollback) mimarisi yazılı halini oluşturma.
SBOM (Yazılım Malzeme Listesi): Hangi kütüphane–hangi sürüm? Tedarikçi sözleşmelerine yama SLA’si, zafiyet bildirim süresi, denetim hakkı ekleme.
PSIRT + 24s/72s: Ürün Güvenliği Olay Ekibi. 24 saat erken uyarı / 72 saat güncelleme akışını prova etme.
Teknik dosya (Annex VII): SAST/DAST/pentest özetleri, mimari ve kullanıcı güvenlik talimatları tek klasörde, denetçi için dosyayı hazır etme.
Destek süresi: Ürün başına güvenlik güncelleme taahhüdünüzü resmen ilan etme.
qÜrün sayfalarında Omnibus gerekliliklerini (son 30 günün en düşük fiyatı, yorum doğrulama bilgisi) görünür kılma. CRA açısından güncelleme destek süresi ve zafiyet bildirim (CVD) iletişim kanalını açıkça belirtme. Arka planda SBOM ve yama kanıtlarını saklama. Bu, pazaryerlerinde sıralama ve güven puanınızı doğrudan etkiler.
Teknik ve belgelendirme:
TSE, TÜBİTAK BİLGEM
Dönüşüm bütçesi, dijitalleşme destekleri:
KOSGEB, TÜBİTAK TEYDEB PSIRT/SOME: BTK/USOM (TR-CERT)
CE ve uygunluk beyanı:
Ticaret Bakanlığı/TAREKS
Saha mentörlüğü ve deneyim:
TOBB Odaları, Sektör Meclisleri, Siber Güvenlik Kümelenmesi, Bilişim-Siber Güvenlik STK’ları, Model Fabrikalar
Uygulama iş ortağı:
SOC ve yerli yazılım firmaları
Not: TOBB Yazılım Meclisi Teknolojik Alan Odaklı Komiteleri CRA odağında çalışmalara başlamıştır.
Son söz: Akıllı üretiminize güvenlik eklendiğinde, denetimde zaman kazanıp, ihalede puan toplayıp, ihracatta hızlanarak Siber Dayanıklılığı avantaja çevirebilirsiniz.
