AB'de Yeni Makine Yönetmeliği ve CRA'ya Hakim Olmak: Üreticiler İçin Bir Uyumluluk Rehberi
Yayınlanma Tarihi: 18 Kasım 2025
Avrupa Birliği, makine üreticileri için güvenlik manzarasını temelden değiştiren iki önemli mevzuatı yürürlüğe koyuyor: yeni Makine Yönetmeliği (EU) 2023/1230 ve çığır açan Siber Dayanıklılık Yasası (CRA). Bu düzenlemeler, siber güvenliğin artık bir seçenek değil, bir zorunluluk olduğunu belirtiyor ve ürünlerin tasarım aşamasından itibaren güvenli olmasını şart koşuyor.
Makine Üreticileri İçin Siber Güvenliğin
ZorunluluÄŸu
(EU) 2023/1230 Yönetmeliğini Anlamak
29 Haziran 2023 tarihinde duyurulan (EU) 2023/1230
Yönetmeliği, mevcut 2006/42/EC Makine Direktifi'nin yerini alıyor. Bu yeni
düzenleme, ürün kapsamını ve uygunluk değerlendirme prosedürlerini revize
ediyor. Artık bu Yönetmelik kapsamındaki ürünlerin, Ek III'ün 1.1.9 ve 1.2.1
Bölümlerinde belirtilen siber güvenlik gereksinimlerini karşılaması gerekiyor.
Yönetmelik 19 Temmuz 2023'te yürürlüğe girdi ve tam olarak 14 Ocak 2027
itibarıyla uygulanmaya başlayacak.
CRA ve Makine Yönetmeliği Arasındaki İlişkiyi
KeÅŸfetmek
AB, ek olarak, bir dizi yeni siber güvenlik kuralı olan Siber
Dayanıklılık Yasası'nı (CRA) tanıttı. Bu yasa, yazılımdan Nesnelerin
İnterneti (IoT) cihazlarına kadar neredeyse tüm dijital varlıklar için güvenlik
standartlarını belirliyor.
"Dijital unsurları olan ürünleri" kapsayan CRA,
(EU) 2023/1230 Yönetmeliği kapsamındaki ürünler için siber güvenlik
gereksinimlerini genişletiyor. Bu, çip, yazılım, cihaz ve uygulama gibi
bileşenlere sahip makinelerin de etkileneceği anlamına geliyor. CRA'nın
siber güvenlik gereksinimlerine uyum, aynı zamanda (EU) 2023/1230
Yönetmeliği'nin gerekliliklerini de yerine getirmeye yardımcı olabilir.
Bu durum, AB tarihinde hem donanım hem de yazılım
ürünlerinin tüm yaşam döngüsü boyunca zorunlu siber güvenlik gereksinimleri
getiren ilk mevzuattır. Özellikle, CE işaretli ürünlerin temel siber güvenlik
standartlarını karşılamasını ve en az beş yıl boyunca güvenlik desteği almasını
sağlıyor.
CRA'nın Temel Yetki Alanları:
- Dijital
unsurları olan ürünlerin piyasaya sürülmesine yönelik siber güvenliğe
odaklanan kuralları belirler.
- Bu
ürünlerin tasarım, geliştirme ve üretimindeki temel gereksinimleri ve
ekonomik operatörlerin bu gereksinimleri yerine getirme sorumluluklarını
tanımlar.
- Ãœreticilerin,
ekonomik operatörlerin sorumlulukları da dahil olmak üzere, bu ürünlerdeki
güvenlik açıklarını yaşam döngüleri boyunca nasıl yöneteceklerine dair
temel yönergeleri oluşturur.
- Yukarıda
belirtilen kural ve gereksinimlerin piyasa gözetimi ve uygulanmasına
yönelik önlemleri içerir.
AB Siber Dayanıklılık Yasası'nın (CRA) Güncel
Durumu
30 Kasım 2023'te Avrupa Parlamentosu ve Konsey, CRA
üzerinde siyasi bir anlaşmaya vardı ve 12 Mart 2024'te Avrupa Parlamentosu,
AB'deki tüm dijital ürünleri siber tehditlerden korumayı amaçlayan yeni
standartlara yeşil ışık yaktı. Ancak, yasanın resmi olarak onaylanması için
hala Avrupa Parlamentosu ve Konsey'den nihai onay gerekiyor.
Öngörülen Uygulama Takvimi:
- CRA'nın
2024'ün ikinci çeyreğinde geçmesi bekleniyor.
- Geçtikten
sonra, sektörlerin yeni kurallara uyum sağlamak için 36 ay süresi
olacak.
- Ancak,
raporlama yükümlülükleri daha erken, yasanın kabulünden 21 ay sonra
baÅŸlayacak.
- Bu,
yeni gereksinimlerin Nisan-Haziran 2027 civarında uygulanmaya
başlayacağı, olay ve güvenlik açığı raporlama yükümlülüklerinin ise Ocak-Nisan
2026 arasında başlayacağı anlamına geliyor.
Yeni Siber Güvenlik
Gereksinimlerinin Önemli Noktaları
CRA, AB pazarındaki donanım ve yazılım ürünlerinin
üreticilerini, ithalatçılarını ve distribütörlerini etkileyecektir.
Üreticilerin yapması gerekenler:
- Siber
güvenliği planlama ve tasarımdan geliştirmeye, üretime, teslimata ve
bakıma kadar her aşamaya dahil etmek.
- Tüm
siber güvenlik risklerini belgelemek.
- Ä°stismar
edilen güvenlik açıklarını ve olayları aktif olarak raporlamak.
- Güvenlik
açıklarının, ürünün beklenen ömrü boyunca veya beş yıl boyunca (hangisi
daha kısaysa) etkin bir şekilde yönetilmesini sağlamak.
- Dijital
unsurları olan ürünlerin kullanımına yönelik açık ve anlaşılır talimatlar
sunmak.
- En
az beş yıl boyunca güvenlik güncellemelerini sağlamak.
Tablo 1. Dijital Unsurları Olan Ürünlerin
Özelliklerine İlişkin Güvenlik Gereksinimleri (Özet)
|
Kategori |
Açıklama |
|
Güvenlik Açığı Azaltma |
Piyasaya sürülmeden önce bilinen istismar edilebilir
güvenlik açıklarından arınmış olmalıdır. |
|
Varsayılan Olarak Güvenlik |
Güvenli varsayılan yapılandırma ile gelmeli, orijinal
duruma sıfırlama seçeneği sunulmalıdır. |
|
Güvenlik Açığı Giderme |
Güvenlik güncellemeleriyle ele alınmalı, mümkünse
otomatik güncellemeler varsayılan olarak etkin olmalıdır. |
|
Yetkisiz Erişim Koruması |
Kimlik doğrulama ve kimlik yönetimi gibi uygun kontrol
mekanizmalarıyla korunmalı ve olası yetkisiz erişim raporlanmalıdır. |
|
Gizlilik Koruması |
Depolanan, iletilen veya iÅŸlenen veriler, son teknoloji
mekanizmalar kullanılarak şifrelenmelidir. |
|
Bütünlük Koruması |
Depolanan, iletilen veya iÅŸlenen verilerin yetkisiz
manipülasyon veya değişikliklere karşı bütünlüğü korunmalı ve bozulmalar
rapor edilmelidir. |
|
Saldırı Yüzeyini Azaltma |
Harici arayüzler dahil olmak üzere saldırı yüzeyini
sınırlayacak şekilde tasarlanmalıdır. |
|
Güvenli Veri Kaldırma |
Kullanıcılara, tüm verileri ve ayarları kalıcı olarak,
güvenli ve kolay bir şekilde kaldırma yeteneği sağlanmalıdır. |
Tablo 2. Güvenlik Açığı Yönetimi Gereksinimleri (Özet)
|
Kategori |
Açıklama |
|
Güvenlik Açıklarını ve Bileşenleri Belirleme |
Dijital ürünlerdeki güvenlik açıklarını ve bileşenleri
belgeleyin; bu, en azından üst düzey bağımlılıkları kapsayan bir Yazılım
Faturası (SBOM) oluşturmayı içerir. |
|
Güvenlik Açıklarını Giderme |
Özellikle risk oluşturan güvenlik açıklarını derhal ele
alın ve düzeltin. Güvenlik güncellemelerini, mümkün olduğunda işlevsellik
güncellemelerinden ayrı olarak sağlayın. |
|
Etkili ve Düzenli Testler Uygulama |
Optimal etkinlik için dijital ürünlerin güvenliğini
düzenli olarak test edin ve inceleyin. |
|
Halka Açık Bilgilendirme |
Düzeltilen güvenlik açıkları hakkında (açıklama,
etkilenen ürünler, etki, ciddiyet ve giderme kılavuzu dahil) bilgileri
kamuoyuyla paylaşın. |
|
Güvenlik Açığı Bildirimi |
Koordine edilmiş güvenlik açığı bildirimi politikasını
oluşturun ve uygulayın. |
|
Güvenli Güncelleme Dağıtımı |
Güvenlik açıklarını zamanında düzeltmek veya azaltmak
için güvenli güncelleme dağıtım mekanizmalarını uygulayın. |
|
Güvenlik Yamalarını veya Güncellemeleri
Ücretsiz Dağıtma |
Güvenlik güncellemeleri derhal ve ücretsiz olarak
dağıtılmalıdır (ısmarlama ürünler hariç). |
Uyumluluk Gerektiren Ürünlerin Belirlenmesi
Üreticilerin, doğru uyum yaklaşımını uygulamak için
ürünlerinin CRA kapsamına girip girmediğini belirlemesi gerekiyor. Yasa,
ürünleri üç kategoriye ayırır:
- Sınıf
I Önemli Ürünler: Üçüncü taraf değerlendirmesi veya
belirlenmiş standartlara uygunluk için öz beyan gerektirir.
- Sınıf
II Önemli Ürünler: Üçüncü taraf değerlendirmesi
gerektirir.
- Kritik
Ürünler: Ulusal makamların gözetiminde üçüncü
taraf değerlendirmelerinden geçer.
Tablo 3. Dijital Unsurları Olan Önemli ve
Kritik Ürünler
|
Ürün Kategorisi |
Önemli Ürünler |
Kritik Ürünler |
|
Kategori |
Sınıf I |
Sınıf II |
|
Uygunluk DeÄŸerlendirmesi |
Standartlara uygunluğun öz beyanı veya üçüncü
taraf değerlendirmesi ile onaylanması |
Üçüncü taraf değerlendirmesi |
Muafiyetler: CRA, halihazırda diğer AB düzenlemeleriyle kapsanan bazı
ürün tipleri için geçerli değildir:
- AB
2017/745 kapsamındaki tıbbi cihazlar
- AB
2017/746 kapsamındaki in-vitro tanı tıbbi cihazları
- Ulusal
güvenlik veya savunma amaçlı tasarlanmış ürünler
Çözümler: OT Ortamları için Güvenlik
Üreticiler, siber güvenliği tüm ürün geliştirme yaşam
döngüsü boyunca merkezde tutmalıdır. TXOne Networks, OT'ye özel çözümleriyle
tehditleri belirlemeye, cihazların maruz kaldığı saldırı yüzeyini ve riskleri
azaltmaya yardımcı olabilir. OT Siber Güvenlik Çözümleri hakkında daha fazla
bilgi almak için, TXOne'ın Türkiye distribütörü olarak birebir çevirisini
yaptığımız web sitemizi buradan ziyaret edebilirsiniz.
- Element
(Teslimat Öncesi Güvenlik Denetimi): Makine
teslimatından önce kapsamlı kötü amaçlı yazılım taraması ve varlık
envanteri oluÅŸturma.
- Stellar
(Kapsamlı Kötü Amaçlı Yazılımdan Korunma):
Windows işletim sistemlerinde çalışan makineler için, Operasyon
Davranışı Anomali Tespiti ve yetkisiz yazılımları engelleyen Kilitlenme
Modu (Beyaz Liste) sunar.
- Edge
(Ağ Güvenliğini Artırma): OT ortamları için OT
merkezli güvenlik duvarı ve Saldırı Önleme Sistemleri (IPS)
dağıtımı. Bu, sanal yama ve OT Ağ Segmentasyonu gibi
özelliklerle ağ güvenliğini sağlar.
Sonuç
Siber Dayanıklılık Yasası'nın yürürlüğe girmesi, güvenliğin
gelecekteki dijital cihazların geliştirilmesinin temel bir parçası olmasını
sağlamayı amaçlamaktadır. Üreticiler artık enerji verimliliği gibi özelliklere
odaklanmak yerine, güvenliği en baştan ciddi bir şekilde hesaba katmalıdır.
Ancak CRA, üreticiler, ithalatçılar ve distribütörler için
önemli uyum maliyetleri ve zorlukları da beraberinde getiriyor. CRA'nın
temel güvenlik gereksinimlerini karşılayamamak, ihlalin türüne bağlı olarak
5 ila 15 milyon Euro veya önceki mali yılın küresel cirosunun %1 ila
%2,5'i arasında değişen para cezalarıyla sonuçlanabilir (hangisi daha
yüksekse). Para cezalarının ötesinde, yetkililer ürünlerin AB pazarından
çekilmesini de talep edebilir.
TXOne'ın OT-yerel çözümleri ve OT sıfır güven
savunma yaklaşımının benimsenmesi, üreticilerin yeni
düzenlemelere uyum sağlamasına ve güvenlik önlemlerini etkili bir şekilde
güçlendirmesine yardımcı olabilir.