AB pazarına internete bağlanan bir cihaz ya da yazılım satıyorsanız önünüzde iki tarih var: 11 Eylül 2026’dan itibaren ciddi siber olayları ve aktif istismar edilen zafiyetleri ENISA’ya bildirmek zorundasınız; 11 Aralık 2027’den itibaren ise ürününüz Siber Dayanıklılık Tüzüğü’nün (CRA) tüm gereksinimlerini karşılamadan AB’de satılamayacak. Yaptırım tarafında 15 milyon Euro’ya veya küresel cironun yüzde 2,5’ine kadar çıkabilen idari para cezaları ve pazardan toplatma var. Bu yazıda takvimi, kapsam testini ve gerçekçi bir hazırlık planını sadeleştirerek anlatıyoruz.
CRA’yı üç cümleyle özetleyelim
CRA, yani (EU) 2024/2847 sayılı Siber Dayanıklılık Tüzüğü, dijital unsur içeren tüm ürünlere yatay bir siber güvenlik zorunluluğu getiriyor. Akıllı buzdolabından endüstriyel kontrolcüye, mobil uygulamadan gömülü yazılıma kadar ağa bağlanabilen hemen her ürün kapsamda. Tüzük 10 Aralık 2024’te yürürlüğe girdi; yükümlülükler kademeli olarak 2026 ve 2027’de fiilen başlıyor.
Takvim: hangi tarihte ne zorunlu?
| Tarih | Ne değişiyor? |
|---|---|
| 10 Aralık 2024 | Tüzük yürürlüğe girdi; geçiş dönemi başladı. |
| 11 Eylül 2026 | Madde 14 bildirim yükümlülüğü: aktif istismar edilen zafiyetlerde ve ciddi olaylarda 24 saatte erken uyarı, 72 saatte ayrıntılı bildirim. |
| 11 Aralık 2027 | Tam uygulama: temel güvenlik gereksinimleri, SBOM, teknik dosya, AB Uygunluk Beyanı ve CRA kapsamlı CE işareti olmadan pazara arz yok. |
Aradaki süre uzun görünebilir. Ancak ürün geliştirme döngüsü 12-18 ay süren bir üretici için 2027 aralığına yetişecek ürünlerin tasarım kararları bugün veriliyor. Bu yüzden “yaklaşınca bakarız” yaklaşımı, 2027’de raftan inmek anlamına gelebilir.
“CE işaretimiz zaten var” yanılgısı
İhracatçılardan en sık duyduğumuz cümle bu. Mevcut CE işaretiniz büyük ihtimalle alçak gerilim, elektromanyetik uyumluluk veya telsiz ekipmanları mevzuatına dayanıyor. CRA bu zincire siber güvenliği ekliyor: 11 Aralık 2027’den sonra aynı CE işareti, ürünün siber güvenlik risk değerlendirmesinden geçtiğini, güncelleme altyapısının kurulduğunu ve zafiyet yönetim sürecinin işlediğini de beyan edecek. Yani mesele yeni bir etiket değil, teknik dosyanın içeriğinin büyümesi.
Kapsamda mısınız? Üç soruluk test
Şu üç sorunun cevabı evetse CRA sizi ilgilendiriyor: Ürününüz yazılım içeriyor mu veya bir ağa doğrudan ya da dolaylı bağlanabiliyor mu? Ürünü AB pazarına kendi markanızla veya bir ithalatçı üzerinden arz ediyor musunuz? Ürün, tıbbi cihaz veya araç tip onayı gibi kendi sektörel siber güvenlik mevzuatına tabi değil mi? Ticari amaç taşımayan saf açık kaynak projeleri ve SaaS’ın yalnızca bulutta kalan kısmı gibi sınırlı istisnalar var; ancak cihazla birlikte çalışan uygulamalar ve uzaktan veri işleme bileşenleri kapsama girer.
Ürün sınıfları: çoğunluk öz değerlendirmeyle ilerleyecek
Yaygın bir bilgi kirliliğini düzeltelim: CRA’da ürünler A-B-C diye sınıflandırılmıyor. Tüzük, ürünleri varsayılan kategori, önemli ürünler (Sınıf I ve Sınıf II) ve kritik ürünler olarak ayırıyor. Parola yöneticileri, yönlendiriciler ve VPN’ler Sınıf I’de; güvenlik duvarları ve hipervizörler Sınıf II’de; akıllı kartlar ve akıllı sayaç ağ geçitleri kritik listede yer alıyor. Hangi ürünün hangi sınıfa girdiğinin teknik tarifleri (EU) 2025/2392 sayılı uygulama tüzüğünde netleşti. İyi haber şu: piyasadaki ürünlerin yaklaşık yüzde 90’ı varsayılan kategoride ve üreticinin kendi öz değerlendirmesiyle uygunluk beyan edebiliyor. Sınıf II ve kritik ürünlerde ise onaylanmış kuruluş devreye giriyor.
Gerçekçi bir hazırlık planı
Önümüzdeki üç ay: Ürün envanterini çıkarın, her ürünün CRA sınıfını belirleyin ve mevcut durumla tüzük gereksinimleri arasındaki farkları listeleyen bir boşluk analizi yapın. Bu aşama genellikle en ucuz, atlandığında ise en pahalı adımdır.
2026 sonuna kadar: Madde 14 bildirimine hazırlanın: zafiyet takibi, olay sınıflandırma ve 24 saatlik erken uyarıyı üretebilecek bir iç süreç kurun. SBOM üretimini derleme hattına bağlayın; elle tutulan listeler ilk güncellemede çöper. Kritik ürünlerinizi sızma testinden geçirip bulguları kapatın.
2027 boyunca: Ek VII’ye uygun teknik dosyayı ve AB Uygunluk Beyanı’nı tamamlayın, kullanım kılavuzlarına güvenlik bilgilerini ekleyin, destek süresi taahhüdünüzü (kural olarak en az beş yıl güvenlik güncellemesi) yazılı hale getirin.
Türkiye cephesi: Gümrük Birliği ve 7545
Gümrük Birliği, sanayi ürünlerinde AB teknik mevzuatına uyumu zaten öngörüyor; CRA’nın Türk mevzuatına yansıması önümüzdeki dönemde Ticaret Bakanlığı ve TSE kanalıyla şekillenecek. Öte yandan 7545 sayılı Siber Güvenlik Kanunu ile kurumsal tarafta benzer bir disiplin iç pazarda da kuruluyor. ISO 27001 veya NIST SP 800 altyapısı olan üreticiler CRA’ya belirgin biçimde önde başlıyor; risk yönetimi, varlık envanteri ve olay müdahale süreçlerinin çoğu yeniden kullanılabiliyor.
En sık yapılan beş hata
- CRA’yı hukuk birimine havale edip mühendisliği sürece katmamak. Gereksinimlerin çoğu tasarım ve geliştirme pratiği gerektiriyor.
- SBOM’u tek seferlik doküman sanmak. SBOM her sürümde otomatik güncellenmezse ilk denetimde geçersiz kalır.
- Bildirim süreçlerini 2027’ye ertelemek. Madde 14 tam uyumdan on beş ay önce, Eylül 2026’da başlıyor.
- İthalatçıya güvenmek. Yükümlülüğün asıl sahibi üretici; ithalatçı yalnızca uygunluğun kanıtını kontrol etmekle yükümlü ve bu kanıtı sizden isteyecek.
- Destek süresini taahhüt etmeden ürün satmak. Beklenen kullanım ömrü boyunca, kural olarak en az beş yıl güvenlik güncellemesi sağlamak zorundasınız.
Sık sorulan sorular
CRA Türk firmalarını da bağlıyor mu?
Evet. CRA bir AB iç düzenlemesi olsa da ürününü AB pazarına arz eden herkesi kapsar. Türkiye’den ihracat yapan üretici, tüzük karşısında AB’li üreticiyle aynı yükümlülükleri taşır; ayrıca AB’deki ithalatçınız da sizin uyumunuzu belgelemenizi ister.
İlk zorunluluk hangi tarihte başlıyor?
11 Eylül 2026’da. Bu tarihten itibaren aktif olarak istismar edilen zafiyetler ve ciddi siber olaylar 24 saat içinde erken uyarı, 72 saat içinde ayrıntılı bildirimle ENISA ve ilgili CSIRT’e raporlanmak zorunda. Tüm gereksinimler ise 11 Aralık 2027’de devreye giriyor.
CE işaretimiz zaten var, yeniden mi alacağız?
Mevcut CE işaretiniz LVD, RED veya EMC gibi başka direktiflere dayanıyor. 11 Aralık 2027’den sonra CE işareti CRA’nın siber güvenlik gereksinimlerini de kapsamak zorunda; yani teknik dosyanıza risk değerlendirmesi, SBOM ve güvenlik testi kanıtlarını eklemeniz gerekiyor.
SBOM hazırlamak zorunlu mu?
Evet. Üründe kullanılan tüm yazılım bileşenlerini listeleyen bir yazılım malzeme listesi (SBOM) teknik dosyanın zorunlu parçası. Log4j benzeri bir zafiyet duyurulduğunda hangi ürününüzün etkilendiğini saatler içinde söyleyebiliyor olmanız bekleniyor.
Uyumsuzluğun cezası nedir?
Temel gereksinim ihlallerinde üst sınır 15 milyon Euro veya küresel yıllık cironun yüzde 2,5’i (hangisi yüksekse). Para cezasının yanında ürünün AB pazarından toplatılması ve satış yasağı da masada.
Kapsam tespiti, boşluk analizi, SBOM kurulumu, Madde 14 bildirim altyapısı ve ürün güvenlik testini tek çatı altında yürütmek isterseniz CRA uyum danışmanlığı hizmetimize göz atabilir, mevcut durumunuz için ücretsiz ön görüşme talep edebilirsiniz.

