Siber Dayanıklılık Yasası (CRA) nedir?
Siber Dayanıklılık Yasası (AB Tüzüğü 2024/2847), AB pazarına yerleştirilen “dijital öğeli ürünler” için AB’nin siber güvenlik gereklilikleri üzerine yatay düzenlemesidir — donanım, yazılım, IoT ve bağlantılı hizmetleri kapsar. CRA, tüketici ve B2B dijital ürünlerinin yamalı güvenlik manzarasını ürün yaşam döngüsü boyunca temel siber güvenlik gereksinimleri belirleyerek ele almayı amaçlar. Kasım 2024’te yürürlüğe girdi; ana yükümlülükler Aralık 2027’den itibaren uygulanır.
Kapsam: dijital öğeli ürünler
- Donanım: bağlantılı cihazlar, sensörler, yönlendiriciler, akıllı ev aletleri.
- Yazılım: tüketici uygulamaları, B2B yazılımı, gömülü sistemler.
- Kritik kategori: kimlik yönetimi, tarayıcılar, parola yöneticileri, antivirüs, VPN, akıllı sayaç bileşenleri — daha sıkı uygunluk değerlendirmesiyle karşılaşır.
- Hariç tutulan: tıbbi cihazlar, motorlu taşıtlar, sivil havacılık (sektöre özgü düzenlemeyle kapsanır).
Temel gereksinimler
- Tasarımla ve varsayılan olarak güvenlik: ilk sürümden minimum saldırı yüzeyi.
- Güvenlik açığı yönetimi: koordineli ifşa, destek süresi boyunca güvenlik güncellemeleri.
- Dokümantasyon: uyumu kanıtlayan teknik dokümantasyon.
- Uygunluk değerlendirmesi: öz-değerlendirme veya üçüncü taraf denetimi (kritik ürünler için) sonrası CE işareti.
- Olay raporlaması: aktif olarak sömürülen güvenlik açıkları 24/72/14 günlük pencerelerde ENISA’ya.
- Destek süresi: üretici, beklenen ürün kullanım süresi için güvenlik güncellemesi sağlamalı (birçok kategori için en az 5 yıl).
Türk üreticileri için
AB pazarına IoT, donanım veya yazılım koyan Türk üreticileri CRA kapsamındadır. Mevcut belgelendirme (CE marking) süreçleriyle paralel uyum gereksinimi; yetkili temsilci AB’de olmalı. Bağlantılı cihaz üreten Türk firmalar (Vestel, Arçelik gibi) ve yazılım ihracat eden Türk SaaS’lar baştan CRA-ready ürün tasarlamalı.
Yapın: CRA boşluk analizini şimdi başlatın; Aralık 2027 son tarihi uyumlu ürünler için çok yıllı mühendislik yatırımı gerektirir.
Yapmayın: CRA’yı mevcut güvenlik uygulamalarından ayrı görmeyin — birçok mevcut iyi uygulamayı kodifiye eder; hizalanma artımsaldır, sıfırdan değil.