Siber Dayanıklılık Tüzüğü (CRA) Uyum Danışmanlığı

Son güncelleme: 12 Haziran 2026

Nesil Teknoloji; AB Siber Dayanıklılık Tüzüğü (Cyber Resilience Act — Regulation (EU) 2024/2847) kapsamında kapsam ve sınıflandırma analizi, boşluk analizi, güvenli tasarım, SBOM kurulumu, zafiyet yönetimi, Madde 14 bildirim altyapısı, ürün güvenlik testi ve Ek VII teknik dosya hazırlığı alanlarında danışmanlık verir. Bu sayfada CRA’nın kapsamını, kritik takvimini, imalatçı yükümlülüklerini, Türkiye’deki ihracatçılar için anlamını ve tipik proje akışını bulacaksınız.

Bir bakışta CRA

  • CRA (Regulation (EU) 2024/2847), dijital öğe içeren tüm donanım ve yazılım ürünleri için AB’nin ilk yatay siber güvenlik düzenlemesidir; 10 Aralık 2024’te yürürlüğe girmiştir.
  • Kapsam, ürünün üretildiği yere değil AB pazarına sunulmasına bağlıdır: AB’ye ihracat yapan Türk üreticiler doğrudan “imalatçı” yükümlülüğü taşır.
  • İlk bağlayıcı tarih 11 Eylül 2026’dır: aktif istismar edilen zafiyetler ve ciddi olaylar için 24 saat / 72 saat bildirim yükümlülüğü, eski ürünler dahil başlar.
  • Tüm temel gereksinimler (güvenli tasarım, SBOM, teknik dosya, CE) 11 Aralık 2027’de tam uygulamaya geçer; üst ceza sınırı 15 milyon € veya küresel cironun %2,5’idir.
  • Türkiye, Gümrük Birliği gereği CRA’yı ulusal mevzuata uyumlaştırma sürecindedir; düzenleme yakın gelecekte iç pazarı da kapsayacaktır.

CRA (Siber Dayanıklılık Tüzüğü) Nedir?

Cyber Resilience Act (CRA), donanım ve yazılım dahil dijital öğeler içeren ürünler için Avrupa Birliği’nin getirdiği ilk yatay siber güvenlik düzenlemesidir. 10 Aralık 2024’te yürürlüğe giren Regulation (EU) 2024/2847; ürünlerin planlama, tasarım, geliştirme ve bakım aşamalarının tamamında güvenliği zorunlu kılar ve bu yükümlülükleri değer zincirinin her halkasına yayar.

CRA’nın getirdiği temel ilke şudur: dijital ürünler güvenli tasarım (security by design) prensibiyle geliştirilecek, bilinen ve giderilmemiş istismar edilebilir zafiyetlerle piyasaya sürülmeyecek, beklenen kullanım süresi boyunca — kural olarak en az beş yıl — güvenlik güncellemeleriyle desteklenecektir. Uygunluk, CE işaretiyle gösterilir ve piyasa gözetim otoriteleri tarafından denetlenir.

CRA, internete doğrudan veya dolaylı bağlanabilen hemen her ürünü kapsar: IoT cihazları, akıllı ev aletleri ve beyaz eşya, akıllı TV ve tüketici elektroniği, ağ ekipmanları, ticari yazılımlar ve mobil uygulamalar, otomotiv elektroniği bileşenleri ve bunların uzaktan veri işleme çözümleri (üreticinin sorumluluğundaki bulut arka uçları dahil). Düzenleme, mevcut CE direktiflerini ortadan kaldırmaz; onlara siber güvenlik katmanı ekler.

Kimleri Kapsıyor?

CRA’nın en kritik özelliği, kapsamının ürünün üretim yerine değil, AB pazarına sunulup sunulmadığına bağlı olmasıdır. Bu nedenle düzenleme küresel etkilidir: AB’ye ürün satan bir firma, merkezi nerede olursa olsun uymak zorundadır. Tüzük, yükümlülükleri ekonomik işletmeci rolüne göre dağıtır.

İmalatçı

Yükümlülüğün ağırlık merkezi. Güvenli tasarım, zafiyet yönetimi, teknik dosya, uygunluk değerlendirmesi, CE işareti ve Madde 14 bildirimlerinden sorumludur. Türkiye’de üretip AB’ye doğrudan ihraç eden firma, CRA kapsamında imalatçı sayılır.

İthalatçı

AB pazarına ürün sunmadan önce imalatçının uygunluk değerlendirmesini tamamladığını, ürünün CE işaretini ve AB Uygunluk Beyanı’nı taşıdığını doğrulamakla yükümlüdür.

Distribütör

Dağıttığı her üründe geçerli CE işareti ve uygunluk beyanını kontrol eder, uygunluk kayıtlarını tutar, talep halinde piyasa gözetim otoritesine sunar.

Yetkili Temsilci

AB dışındaki imalatçıların, yükümlülüklerin bir bölümünü yürütmek üzere AB içinde görevlendirebileceği temsilci. Türk ihracatçılar için pratik bir uyum aracıdır.

Kapsam Dışında Kalanlar

CRA, kendi sektörel rejimi bulunan ürünleri kapsam dışında tutar: tıbbi cihazlar (MDR/IVDR), tip onayı mevzuatına tabi motorlu araçlar, gemi teçhizatı, sivil havacılık ürünleri ve münhasıran millî güvenlik/savunma amaçlı geliştirilen ürünler. Yalnızca özdeş bileşenin değişimi için üretilen yedek parçalar ile ticari faaliyet kapsamında piyasaya sürülmeyen açık kaynak yazılımlar da kapsam dışıdır; ticarileştirilmiş açık kaynak için hafifletilmiş bir rejim öngörülmüştür. Kapsam dışılık, tedarik zinciri baskısını ortadan kaldırmaz: araç üreticisine bileşen satan bir tedarikçi, alıcısının kendi mevzuat yükümlülükleri nedeniyle benzer kanıtları sözleşmesel olarak sunmak durumunda kalabilir.

Türkiye’deki İhracatçılar İçin CRA’nın Anlamı

Türkiye’deki kuruluşlar CRA ile iki ayrı kanaldan karşılaşır.

Doğrudan İhracat Yükümlülüğü

AB pazarına dijital öğe içeren ürün satan her Türk üretici, CRA kapsamında imalatçıdır. TSE, BTK veya USOM süreçleri Türkiye iç pazarına ve ulusal siber güvenlik rejimine ilişkindir; CRA ise AB pazarına arz edilen ürünlerin CE uygunluğuna eklenen ayrı bir AB tüzüğüdür. Mevcut test raporlarınız ve teknik dokümanlarınız kanıt olarak kullanılabilir; ancak ENISA bildirimi, SBOM ve CRA Ek VII teknik dosyası ayrıca yönetilmelidir.

Tedarik Zinciri Kaynaklı Yükümlülük

AB’li alıcılar, CRA uyumunu 2026-2027 döneminde sözleşme şartı haline getirmektedir. Bir AB üreticisine bileşen veya yazılım sağlıyorsanız, alıcınızın kendi CRA yükümlülüğünü karşılayabilmesi için SBOM verilerinizi ve zafiyet bilgilerinizi zamanında sunmanız beklenir. Hazırlıksız olmak, ceza riskinden önce sipariş kaybı ve tedarik zincirinden çıkarılma riski yaratır.

Gümrük Birliği ve Ulusal Uyumlaştırma

Türkiye, Gümrük Birliği uyarınca AB teknik mevzuatını iç hukukuna aktarmakla yükümlüdür. Ticaret Bakanlığı Ürün Güvenliği ve Denetimi Genel Müdürlüğü koordinasyonunda, CRA’nın Türkiye tarafından uyumlaştırılmasına yönelik bir TAIEX çalıştayı 13-14 Kasım 2025’te İtalya, İspanya ve Romanya’dan gelen uzmanların katılımıyla gerçekleştirilmiştir. Uyumlaştırma tamamlandığında, Türkiye iç pazarına sunulan dijital ürünler de kapsama girecektir. Bu, KVKK’nın GDPR’ı izlemesine benzer bir sürecin başladığı anlamına gelir.

Kritik Takvim ve Yaptırımlar

CRA 10 Aralık 2024’te yürürlüğe girmiş, hükümleri kademeli uygulamaya alınmıştır. Operasyonel olarak bağlayıcı üç tarih nettir:

  • 11 Haziran 2026 Uygunluk değerlendirme kuruluşlarının bildirimine ilişkin Bölüm IV uygulanmaya başladı. Onaylanmış kuruluş (Notified Body) ekosistemi kuruluyor.
  • 11 Eylül 2026 Madde 14 bildirim yükümlülüğü başlıyor. Aktif istismar edilen zafiyetler ve ciddi olaylar için 24 saat / 72 saat / nihai rapor süreleri devreye giriyor. AB pazarındaki eski ürünler dahildir.
  • 11 Aralık 2027 Tüm temel yükümlülükler tam uygulamada: güvenli tasarım, zafiyet yönetimi, SBOM, teknik dosya, uygunluk değerlendirmesi ve CE işareti.
Yaygın yanılgı: “2027’ye kadar süre var” yorumu yanıltıcıdır. İlk gerçek son tarih 11 Eylül 2026’dır ve mevcut ürünleri de kapsar. Bildirim yükümlülüğünü karşılayabilmek için ürün envanteri, SBOM ve zafiyet izleme altyapısının bu tarihten önce işler olması gerekir.

Yaptırım Rejimi

İhlalÜst Sınır
Ek I temel gereksinimleri ile Madde 13-14 yükümlülüklerine aykırılık15 milyon € veya küresel yıllık cironun %2,5’i (hangisi yüksekse)
Tüzükteki diğer yükümlülüklere aykırılık10 milyon € veya küresel yıllık cironun %2’si (hangisi yüksekse)
Onaylanmış kuruluşlara veya otoritelere yanlış/yanıltıcı bilgi5 milyon € veya küresel yıllık cironun %1’i (hangisi yüksekse)

Para cezasının yanında piyasa gözetim otoriteleri ürünün geri çağrılmasını veya piyasadan çekilmesini isteyebilir; pratikte en hızlı işleyen yaptırım ise AB’li alıcının sözleşmesel denetimidir.

Madde 14: Olay ve Zafiyet Bildirim Yükümlülüğü

Madde 14, CRA’nın ilk yürürlüğe giren ve en somut iş akışını yaratan hükmüdür. İmalatçı; aktif olarak istismar edilen bir zafiyetten veya ürünün güvenliğini etkileyen ciddi bir siber olaydan haberdar olduğunda aşağıdaki sürelere uymak zorundadır.

AşamaSüreİçerik
Erken uyarı24 saatHaberdar olunmasından itibaren ilk bildirim.
Tam bildirim72 saatOlayın/zafiyetin ayrıntılı bildirimi, etki değerlendirmesi ve alınan önlemler.
Nihai rapor14 gün / 1 ayAktif istismar edilen zafiyetlerde düzeltici önlemin ardından 14 gün, ciddi olaylarda 1 ay içinde nihai rapor.

Bildirim tek noktadan yapılır: ENISA’nın Tek Raporlama Platformu (Single Reporting Platform) üzerinden ilgili üye devletin koordinatör CSIRT’ine iletilir ve bilgi eşzamanlı olarak ENISA ile paylaşılır. AB’de yerleşik olmayan imalatçılar için bildirimin muhatabı kural olarak yetkili temsilcinin bulunduğu üye devletin CSIRT’idir; bu da yetkili temsilci seçimini operasyonel bir karar haline getirir. 24 saatlik pencere, önceden kurulmuş bir süreç olmadan karşılanamaz. Nesil Teknoloji bu süreci kurar ve gerektiğinde bildirim nöbet hizmetiyle destekler.

Ek I: Temel Siber Güvenlik Gereksinimleri

CRA Ek I, ürünün karşılaması gereken temel gereksinimleri iki başlıkta tanımlar: ürün özellikleri ve zafiyet işleme süreçleri. Başlıca gereksinimler:

  • Bilinen istismar edilebilir zafiyet olmadan piyasaya sürme ve güvenli varsayılan yapılandırma.
  • Yetkisiz erişime karşı koruma, kimlik doğrulama ve erişim yönetimi.
  • İletilen ve saklanan verinin gizliliği ve bütünlüğü; şifreleme dahil uygun mekanizmalar.
  • Saldırı yüzeyinin asgariye indirilmesi ve olay etkilerinin sınırlanması.
  • Güvenlik olaylarının kaydı ve izlenmesi.
  • Güvenli ve zamanında güncelleme mekanizması; mümkün olduğunda otomatik güvenlik güncellemeleri.
  • Zafiyetlerin ve bileşenlerin tanımlanıp belgelenmesi (SBOM dahil).
  • Koordineli zafiyet ifşa (CVD) politikası ve zafiyet alma kanalı.
  • Beklenen kullanım süresi boyunca — kural olarak en az beş yıl — güvenlik desteği.

Ürün Sınıflandırması ve Uygunluk Rotaları

Her ürün aynı uygunluk yolundan geçmez. CRA, ürünleri risk düzeyine göre kategorilere ayırır; kategori, izlenecek uygunluk değerlendirme prosedürünü belirler.

KategoriÖrneklerUygunluk Rotası
Varsayılan (Default)Kapsamdaki ürünlerin büyük çoğunluğuİç üretim kontrolü ile öz değerlendirme (Modül A).
Önemli — Sınıf I (Ek III)Parola yöneticileri, işletim sistemleri, VPN işlevli ürünler, akıllı kilit ve güvenlik kameralarıUyumlaştırılmış standartların tam uygulanması halinde öz değerlendirme; aksi halde üçüncü taraf değerlendirme.
Önemli — Sınıf II (Ek III)Hipervizörler ve konteyner çalışma ortamları, güvenlik duvarları ile saldırı tespit/önleme sistemleri, kurcalamaya dayanıklı mikroişlemcilerÜçüncü taraf değerlendirme ağırlıklı, daha sıkı prosedür.
Kritik (Ek IV)Güvenlik kutulu (security box) donanım cihazları, akıllı sayaç ağ geçitleri, güvenli elemanlı akıllı kartlarZorunlu üçüncü taraf değerlendirme; öngörülen durumlarda Avrupa sertifikasyon şeması.

Önemli ve kritik kategorilerin teknik tanımları, Avrupa Komisyonu’nun 2025/2392 sayılı Uygulama Yönetmeliği ile netleştirilmiştir. Ürünün hangi kategoride değerlendirileceği CRA Ek III ve Ek IV listeleri üzerinden belirlenir. Doğru rota kararı, gerekçesi ve dayanak standart/sertifikasyon kanıtıyla birlikte teknik dosyada saklanmalıdır.

SBOM ve Zafiyet Yönetimi

CRA, yazılım bileşen listesinin (Software Bill of Materials — SBOM) makine tarafından okunabilir bir formatta, en azından üst düzey bağımlılıkları kapsayacak şekilde hazırlanmasını gerektirir. SBOM, bildirim yükümlülüğünün de teknik önkoşuludur: bir zafiyetin ürününüzü etkileyip etkilemediğini ancak hangi bileşenlerin üründe bulunduğunu bildiğinizde değerlendirebilirsiniz.

Kurulması Gereken Süreçler

  • Üretim hattına SBOM üretimi ve güncel tutma entegrasyonu.
  • Her sürüm öncesi zafiyet veri tabanı (CVE dahil) kontrolü ve sürekli izleme.
  • Derleme hattında statik ve dinamik uygulama güvenliği testi (SAST/DAST).
  • Zafiyet alma kanalı, security.txt ve koordineli ifşa (CVD) politikası.
  • PSIRT (ürün güvenlik olay müdahale) işleyişi ve bildirim süre sayacı.
  • Güncelleme dağıtımı ve destek süresi taahhüdü takibi.

Teknik Dosya, AB Uygunluk Beyanı ve CE

Tam uyum tarihinde her ürün için CRA Ek VII teknik dosyasının hazır olması gerekir. Mevcut CE süreciniz bunun bir bölümünü zaten karşılar; eksik kısım siber güvenlik kanıtlarıdır.

  • Ürünün genel açıklaması ve kullanım amacı; güvenliğe ilişkin yazılım sürümleri.
  • Tasarım, geliştirme ve üretim açıklaması; sistem mimarisi tanımı ve SBOM.
  • Ek I temel gereksinimlerinin nasıl karşılandığına dair siber güvenlik risk değerlendirmesi.
  • Uygulanan uyumlaştırılmış standartlar ve uygunluk değerlendirme kanıtı.
  • Kullanıcı talimatları ve güvenlik bilgilendirmesi.
  • AB Uygunluk Beyanı ve CE işareti.

Yeni Ürün Sorumluluğu Direktifi’nin yazılımı “ürün” olarak kapsaması, teknik dosya ve sözleşmesel altyapının hukuki boyutunu da güçlendirir. Nesil Teknoloji, teknik dosya çalışmasını teknik ekip ve hukuk ekibiyle birlikte yürütür; gereken durumlarda AB’deki onaylanmış kuruluş ve yetkili temsilci ilişkisini koordine eder.

Hizmet Kapsamı ve Çıktılar

CRA danışmanlığımız doküman hazırlamakla sınırlı kalmaz; ürün güvenlik testi, süreç kurulumu ve sürekli yükümlülük yönetimini birleştirir.

ADIM 1

Kapsam ve Sınıflandırma Analizi

Ürünün CRA kapsamına girip girmediği, varsayılan / önemli / kritik sınıfı ve izlenecek uygunluk rotasının belirlenmesi.

ADIM 2

Boşluk Analizi ve Yol Haritası

Ek I temel gereksinimleri ile mevcut durumun kontrol bazında karşılaştırılması; önceliklendirilmiş, efor tahminli yol haritası.

ADIM 3

Madde 14 Bildirim Altyapısı

24/72 saat ve nihai rapor playbook’u, Tek Raporlama Platformu kayıt süreci, bildirim tatbikatı, eski ürün envanteri.

ADIM 4

SBOM ve Zafiyet Yönetimi

SBOM üretim entegrasyonu, CVE eşleştirme, PSIRT işleyişi, CVD politikası ve zafiyet alma kanalı kurulumu.

ADIM 5

Ürün Güvenlik Testi

EN 18031, ETSI EN 303 645 ve IEC 62443 senaryolarına uygun, TSE A-Sınıfı yetkinlik ve CREST üyeliğiyle yürütülen sızma testi ile doğrulama.

ADIM 6

Teknik Dosya ve Uygunluk Beyanı

Ek VII teknik dosya, AB Uygunluk Beyanı, CE hazırlığı; yetkili temsilci ve onaylanmış kuruluş koordinasyonu.

Çalışma Metodolojisi

Tipik bir CRA uyum projesi altı fazda yürütülür. Süreler ürün karmaşıklığına, ürün sayısına ve mevcut olgunluğa göre değişir.

FazİçerikTipik Süre
1. Kapsam ve SınıflandırmaÜrün envanteri, kapsam kararı, kategori belirleme, uygunluk rotası, paydaş haritası.1-2 hafta
2. Boşluk AnaliziEk I kontrol bazında değerlendirme, doküman ve mimari inceleme, yol haritası.3-5 hafta
3. Bildirim HazırlığıMadde 14 playbook, SRP kayıt, eski ürün envanteri, tatbikat.2-3 hafta
4. Süreç ve SBOM KurulumuSBOM entegrasyonu, zafiyet yönetimi, PSIRT/CVD, güncelleme politikası.6-12 hafta
5. Test ve Teknik DosyaÜrün güvenlik testi, Ek VII dosya, AB Uygunluk Beyanı, CE hazırlığı.6-14 hafta
6. Sürekli Yükümlülük YönetimiZafiyet izleme, bildirim nöbeti, güncelleme takibi, destek süresi yönetimi.Sürekli

CRA ile 7545, ISO 27001 ve KVKK Uyumunun Birlikte Yönetimi

CRA tek başına değil; firmanın diğer yükümlülükleriyle birlikte konumlandırıldığında verimli olur. Mevcut belgeleriniz CRA kanıt tabanını besler.

CRA ve 7545 Sayılı Siber Güvenlik Kanunu

7545 sayılı Kanun, Türkiye iç pazarına ve ulusal siber güvenlik rejimine ilişkindir; siber güvenlik denetim yetkisi 18 Eylül 2025’te Siber Güvenlik Başkanlığı’na geçmiş, tam uyum tarihi 19 Mart 2026 olarak belirlenmiştir. CRA ise AB pazarına arz edilen ürünlere ilişkindir. İki rejim, ürün sızma testi ve zafiyet yönetimi gibi ortak teknik temellerde örtüşür; tek bir teknik çalışma iki yükümlülüğü birden besleyecek şekilde tasarlanabilir.

CRA ve ISO/IEC 27001:2022

ISO/IEC 27001 kurumsal yönetim sistemi sertifikasyonu sağlar; CRA ise ürün düzeyinde siber güvenlik uygunluğu getirir. Mevcut ISO 27001 süreçleriniz (risk yönetimi, güvenli geliştirme, olay müdahale) CRA Ek I gereksinimlerinin önemli bir bölümünü destekler ve kanıt olarak kullanılabilir. Kontrol uygulamasında NIST SP 800 serisi gibi teknik kontrol kütüphaneleri, Ek I gereksinimlerinin somutlaştırılmasında referans alınabilir.

CRA ve KVKK

KVKK kişisel veri korumasına, CRA ürün siber güvenliğine odaklanır. Ürün üzerinde işlenen kişisel veriler söz konusu olduğunda iki rejim kesişir; veri envanteri, şifreleme ve erişim kontrolü gibi tedbirler birlikte ele alındığında tek kanıt seti üzerinden yönetilebilir.

Sektörel Uygulama Örnekleri

Beyaz Eşya ve Tüketici Elektroniği

Akıllı TV, akıllı ev aletleri ve bağlantılı beyaz eşya üreticileri için mobil uygulama, güncelleme sunucusu ve bulut arka uç bir bütün olarak değerlendirilir. Üçü de üreticinin sorumluluğundaysa ürünün parçasıdır ve CRA yükümlülükleri tüm pakete uygulanır.

IoT ve Akıllı Cihaz

Bağlantılı kameralar, sensörler ve akıllı cihazlar ETSI EN 303 645 ve EN 18031 referanslarıyla test edilir. RED Delegated Act, 1 Ağustos 2025’ten bu yana internete bağlanabilen telsiz ekipmanlarında siber güvenliği CE şartı haline getirmiştir; CRA bunun üzerine inşa edilir.

Yazılım ve SaaS

Ticari yazılımlar doğrudan kapsamdadır. Uzaktan veri işleme bileşenleri (üreticinin sorumluluğundaki bulut arka uç) ürünle birlikte değerlendirilir; üçüncü taraf analitik SaaS ise ürünün parçası sayılmaz, kendi NIS2 yükümlülüğünü taşır.

Otomotiv Elektroniği

Tip onayına tabi araçlar CRA kapsamı dışındadır; ancak satış sonrası pazara sunulan bileşenler ve tedarik zinciri kanıt talepleri nedeniyle UN R155 ve ISO/SAE 21434 deneyimi olan Tier 1/2 tedarikçiler CRA hazırlığına en hızlı uyum sağlayan gruptur. Mevcut süreçler CRA Ek I ile çapraz eşleştirilerek kanıt tabanı oluşturulur.

İthalatçı ve Distribütör

AB’ye dijital ürün getiren veya dağıtan firmalar için imalatçı uygunluğunun doğrulanması, CE ve AB Uygunluk Beyanı kontrolü ile uygunluk kaydı tutma süreçleri kurulur.

Devlet Desteği ile Maliyet Avantajı

CRA uyumu için gereken test ve belgelendirme giderleri, Ticaret Bakanlığı Pazara Giriş Belgesi Desteği kapsamında değerlendirilebilir. Akredite kurum ve kuruluşlardan alınan, pazara girişte zorunlu olan veya avantaj sağlayan test/analiz raporu giderleri yüzde 50 oranında, şirket başına yıllık üst limit dahilinde desteklenir.

Önemli ayrım: Eğitim ve danışmanlık giderleri destek kapsamı dışındadır; ancak akredite kuruluşlarca yapılan test/analiz raporu giderleri, sonucunda belge düzenlenip düzenlenmediğine bakılmaksızın desteklenebilir. Faturalama yapısının doğru kurgulanması, uyum maliyetini belirgin biçimde düşürür. Güncel oran, limit ve uygunluk koşulları için bağlı bulunduğunuz ihracatçı birliğinden teyit alınmalıdır.

Sıkça Sorulan Sorular

CRA Türkiye’deki firmaları bağlar mı, biz AB üyesi değiliz?

CRA’nın kapsamı ürünün nerede üretildiğine değil, AB pazarına sunulup sunulmadığına bağlıdır. Türkiye’de üretip AB’ye doğrudan ihraç eden bir firma, CRA kapsamında “imalatçı” sayılır ve tüm imalatçı yükümlülüklerini taşır. Ayrıca Türkiye, Gümrük Birliği uyarınca AB teknik mevzuatını iç hukukuna aktarmakla yükümlüdür; Ticaret Bakanlığı CRA’nın ulusal mevzuata uyumlaştırılması için çalışma yürütmektedir. Uyumlaştırma tamamlandığında Türkiye iç pazarına sunulan dijital ürünler de kapsama girecektir.

İlk zorunluluk ne zaman başlıyor?

İlk uygulanan yükümlülük 11 Eylül 2026’da başlayan Madde 14 bildirim yükümlülüğüdür: imalatçı, aktif olarak istismar edilen bir zafiyetten veya ciddi bir siber olaydan haberdar olduğunda 24 saat içinde erken uyarı, 72 saat içinde tam bildirim yapmak zorundadır. Bu yükümlülük, AB pazarında daha önce satılmış eski ürünler dahil kapsamdaki tüm ürünlere uygulanır. Tüzüğün tüm temel hükümleri 11 Aralık 2027’de tam uygulamaya geçer.

CE işaretimiz var, CRA için ne değişiyor?

Mevcut CE işaretiniz siber güvenliği kapsamaz. CRA, CE uygunluk sürecinize yeni bir siber güvenlik katmanı ekler; CE işaretinin yerini almaz, üzerine eklenir. Mevcut teknik dosyanız, test raporlarınız ve AB Uygunluk Beyanı altyapınız yeniden kullanılabilir. Eksik kalan bölüm siber güvenliktir: Ek I gereksinimleri, SBOM, zafiyet yönetim süreci, güncelleme politikası ve Ek VII teknik dosya kanıtları ayrıca hazırlanmalıdır.

Uyumsuzluğun yaptırımı nedir?

Ek I temel gereksinimlerine veya Madde 13-14 yükümlülüklerine aykırılıkta 15 milyon avroya kadar veya küresel yıllık cironun yüzde 2,5’ine kadar (hangisi yüksekse) idari para cezası uygulanabilir. Diğer yükümlülük ihlallerinde üst sınır 10 milyon avro veya cironun yüzde 2’si; otoritelere yanıltıcı bilgi verilmesinde 5 milyon avro veya cironun yüzde 1’idir. Bunun ötesinde AB’li alıcılar CRA uyumunu sözleşme şartı haline getirmektedir; hazırlıksız tedarikçi, ceza riskinden önce sipariş kaybı ve tedarik zincirinden çıkarılma riskiyle karşılaşır.

SBOM zorunlu mu, ne zaman hazır olmalı?

CRA, yazılım bileşen listesinin (SBOM) makine tarafından okunabilir bir formatta, en azından üst düzey bağımlılıkları kapsayacak şekilde hazırlanmasını teknik dokümantasyonun parçası olarak gerektirir. Teknik olarak SBOM yükümlülüğü 11 Aralık 2027’de bağlayıcı hale gelse de, 11 Eylül 2026’da başlayan bildirim yükümlülüğünü karşılayabilmek için hangi bileşenlerin üründe bulunduğunun bilinmesi gerekir; bu da SBOM ve otomatik zafiyet takibinin pratikte daha erken kurulmasını gerektirir.

Ürünümüz hangi uygunluk değerlendirme rotasına girer?

Ürünler varsayılan (default), önemli (important — Sınıf I ve Sınıf II) ve kritik (critical) olmak üzere sınıflandırılır. Varsayılan ürünler iç üretim kontrolü ile öz değerlendirme (Modül A) yapabilir. 2025/2392 sayılı Uygulama Yönetmeliği ile teknik tanımları netleşen önemli ve kritik sınıftaki ürünler, üçüncü taraf denetim dahil daha sıkı uygunluk prosedürlerine tabidir. Doğru rotanın belirlenmesi için ürünün CRA Ek III ve Ek IV listelerine göre değerlendirilmesi gerekir.

Türkiye’de CRA testi ve belgelendirmesi yapılabiliyor mu?

TSE gibi Türk kurumlarının CRA kapsamında onaylanmış kuruluş (Notified Body) olarak atanması için önce CRA’nın ulusal mevzuata uyumlaştırılması ve AB tarafından resmen görevlendirilmesi gerekir. Bu süreç tamamlanana kadar üçüncü taraf değerlendirme gerektiren ürünler için AB üyesi ülkelerde yerleşik onaylanmış kuruluşlarla çalışılır. Nesil Teknoloji, hazırlık ve teknik dosya çalışmasını yürütür; gereken durumlarda AB’deki onaylanmış kuruluş ve yetkili temsilci ilişkisini koordine eder.

Resmi Kaynaklar

CRA Uyum Çalışmanız İçin Ön Görüşme

Kapsam ve sınıflandırma analizi ile mevcut durum değerlendirmesi için iletişime geçin.

Teklif Talep Et