Hibe Portalı
Üyelik
Giriş Yap Demo Talebi

Genel

Cyber Resilience Act Nedir? AB’nin Dijital Ürünlere Yönelik Siber Güvenlik Regülasyonu

Nilay Yalçınkaya Yörük

Nilay Yalçınkaya Yörük

Yazar

5 dk okuma
Cyber Resilience Act Blog Görseli

Avrupa Birliği, dijital ürünlerin siber güvenlik standartlarını kökten değiştiren yeni bir düzenlemeyi hayata geçirdi: Cyber Resilience Act (CRA) — Türkçesiyle Siber Dayanıklılık Yasası. 20 Kasım 2024’te AB Resmi Gazetesi’nde yayımlanan ve 10 Aralık 2024’te yürürlüğe giren bu düzenleme, dijital bileşene sahip tüm ürünlerin üreticilerine, ithalatçılarına ve dağıtıcılarına zorunlu siber güvenlik gereksinimleri getiriyor. Peki bu düzenleme neden önemli ve Türk şirketlerini nasıl etkiliyor?

CRA Neden Gerekli Görüldü?

Bugün piyasadaki dijital ürünlerin önemli bir kısmı — akıllı ev cihazlarından endüstriyel IoT sensörlerine, yazılım uygulamalarından gömülü sistemlere kadar — yeterli siber güvenlik önlemleri olmadan satışa sunuluyor. Avrupa Komisyonu’nun tespitlerine göre, siber saldırıların küresel maliyeti 2027 yılına kadar yıllık 10 trilyon Euro’yu aşabilir. CRA, bu sorunu çözmek için ürünün tasarım aşamasından itibaren siber güvenliği zorunlu kılıyor. Yani güvenlik artık bir tercih değil, yasal bir yükümlülük.

Kapsam: Hangi Ürünler Etkileniyor?

CRA, dijital bileşene sahip hemen her ürünü kapsıyor. Düzenleme ürünleri risk seviyelerine göre üç ana kategoriye ayırıyor:

  • Standart (Default) Ürünler: Genel tüketici elektroniği, basit yazılımlar ve bağlantılı cihazların büyük çoğunluğu bu kategoriye girer. Üreticiler kendi öz değerlendirmelerini (self-assessment) yapabilir.
  • Önemli (Important) Ürünler (Ek III): Parola yöneticileri, güvenlik duvarları, ağ yönetim sistemleri gibi ürünler.
    • Sınıf 1 ürünler: Uyumlaştırılmış standartlara göre öz değerlendirme ile uyum sağlanabilir.
    • Sınıf 2 ürünler: Onaylanmış kuruluş (notified body) denetimi zorunludur.
  • Kritik (Critical) Ürünler (Ek IV): Akıllı kartlar, akıllı sayaç geçitleri ve donanım güvenlik modülleri gibi yüksek riskli ürünler. Bunlar için Avrupa siber güvenlik sertifikasyon şemalarına uygunluk gerekir.

Güncel Not: 28 Kasım 2025’te kabul edilen Uygulama Yönetmeliği (EU 2025/2392) ile hangi ürünün hangi sınıfa girdiği konusundaki belirsizlikler büyük ölçüde giderilmiştir.

Uygulama Takvimi: Kritik Tarihler

CRA’nın uygulamaya geçişi kademeli ilerliyor. Şirketlerin şimdiden hazırlık yapması gereken üç kritik tarih şöyle:

  • 11 Haziran 2026: Uygunluk değerlendirme kuruluşlarının (notified bodies) bildirim süreci başlıyor.
  • 11 Eylül 2026: Güvenlik açığı ve olay raporlama yükümlülükleri yürürlüğe giriyor. Üreticiler, aktif olarak istismar edilen güvenlik açıklarını ve ciddi güvenlik olaylarını bildirmek zorunda.
  • 11 Aralık 2027: Tüm yükümlülükler tam olarak yürürlüğe giriyor.

Sıkı Raporlama Süreci: Bir güvenlik açığı aktif olarak istismar edildiğinde 24 saat içinde erken uyarı, 72 saat içinde tam bildirim ve düzeltici önlem alındıktan sonra en geç 14 gün içinde nihai rapor sunulması gerekiyor.

Türk Şirketlerini Neden İlgilendiriyor?

CRA’nın kapsamı coğrafi sınır tanımıyor. AB pazarına dijital ürün satan her üretici — üretim AB dışında olsa bile — bu düzenlemeye uymak zorunda. Bu durum, AB’ye yazılım, donanım, IoT cihazları veya gömülü sistemler ihraç eden Türk şirketlerini doğrudan etkiliyor.

Uyumsuzluğun cezası ağır:

  • Temel siber güvenlik gereksinimlerini ve raporlama yükümlülüklerini ihlal eden şirketler 15 milyon Euro’ya kadar veya küresel yıllık cironun %2,5’ine kadar (hangisi yüksekse) idari para cezasıyla karşı karşıya kalabilir.
  • Diğer yükümlülük ihlallerinde 10 milyon Euro veya %2,
  • Yanıltıcı veya eksik bilgi sunulmasında ise 5 milyon Euro veya %1 olarak kademeli olarak uygulanıyor.

Açık Kaynak Yazılım ve KOBİ’ler İçin Ne Değişiyor?

CRA, ticari faaliyetle bağlantılı olmayan, kâr amacı gütmeyen açık kaynak yazılımlar (FOSS) için muafiyet getiriyor. Ancak ticari amaçla dağıtılan, destek hizmeti sunan veya gelir elde eden açık kaynak yazılımlar CRA kapsamına giriyor.

KOBİ’ler için ise ulusal CSIRT’ler (Siber Güvenlik Olay Müdahale Ekipleri) üzerinden raporlama süreçlerinde öncelikli destek mekanizmaları öngörülüyor.

Stratejik Çıkarımlar ve Önerimiz

Cyber Resilience Act, AB’nin dijital egemenlik vizyonunun merkezinde yer alıyor. AI Act ve Data Act ile birlikte değerlendirildiğinde, AB pazarına giriş için uyum yükünün giderek arttığı görülüyor.

HibePortalı Önerisi: En yakın ve somut eşik 11 Eylül 2026 raporlama yükümlülüğüdür. Ürün portföyünüzü CRA kategorilerine göre sınıflandırmak, siber güvenlik risk değerlendirme süreçlerinizi kurmak ve güvenlik açığı raporlama altyapınızı hazırlamak için şimdiden harekete geçin. AB hibe programlarında CRA uyumu artık sadece bir “artı” değil, projenin sürdürülebilirliği için belirleyici bir kriter haline geliyor.

AB hibe programları ve regülasyonları hakkında güncel bilgi almak için bizi takip edebilir, detaylı danışmanlık için bizimle iletişime geçebilirsiniz.

Not: Bu yazı genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Güncel uygulama için resmi kaynaklar ve uzman danışmanlık alınması önerilir.

Kaynaklar

  • European Commission, “Cyber Resilience Act” — digital-strategy.ec.europa.eu
  • European Commission, “CRA Summary”
  • ENISA, “CRA Requirements Standards Mapping”
  • Hogan Lovells, “EU CRA: Key 2026 Milestones”

İlgili Yazılar