WhatsApp +90 216 510 6696 info@icc.com.tr
ICC

AB'de Yeni Makine Yönetmeliği ve CRA'ya Hakim Olmak: Üreticiler İçin Bir Uyumluluk Rehberi

Yayınlanma Tarihi: 18 Kasım 2025

AB'de Yeni Makine Yönetmeliği ve CRA'ya Hakim Olmak: Üreticiler İçin Bir Uyumluluk Rehberi

Avrupa Birliği, makine üreticileri için güvenlik manzarasını temelden değiştiren iki önemli mevzuatı yürürlüğe koyuyor: yeni Makine Yönetmeliği (EU) 2023/1230 ve çığır açan Siber Dayanıklılık Yasası (CRA). Bu düzenlemeler, siber güvenliğin artık bir seçenek değil, bir zorunluluk olduğunu belirtiyor ve ürünlerin tasarım aşamasından itibaren güvenli olmasını şart koşuyor.

Makine Üreticileri İçin Siber Güvenliğin Zorunluluğu

(EU) 2023/1230 Yönetmeliğini Anlamak

29 Haziran 2023 tarihinde duyurulan (EU) 2023/1230 Yönetmeliği, mevcut 2006/42/EC Makine Direktifi'nin yerini alıyor. Bu yeni düzenleme, ürün kapsamını ve uygunluk değerlendirme prosedürlerini revize ediyor. Artık bu Yönetmelik kapsamındaki ürünlerin, Ek III'ün 1.1.9 ve 1.2.1 Bölümlerinde belirtilen siber güvenlik gereksinimlerini karşılaması gerekiyor. Yönetmelik 19 Temmuz 2023'te yürürlüğe girdi ve tam olarak 14 Ocak 2027 itibarıyla uygulanmaya başlayacak.

CRA ve Makine Yönetmeliği Arasındaki İlişkiyi Keşfetmek

AB, ek olarak, bir dizi yeni siber güvenlik kuralı olan Siber Dayanıklılık Yasası'nı (CRA) tanıttı. Bu yasa, yazılımdan Nesnelerin İnterneti (IoT) cihazlarına kadar neredeyse tüm dijital varlıklar için güvenlik standartlarını belirliyor.

"Dijital unsurları olan ürünleri" kapsayan CRA, (EU) 2023/1230 Yönetmeliği kapsamındaki ürünler için siber güvenlik gereksinimlerini genişletiyor. Bu, çip, yazılım, cihaz ve uygulama gibi bileşenlere sahip makinelerin de etkileneceği anlamına geliyor. CRA'nın siber güvenlik gereksinimlerine uyum, aynı zamanda (EU) 2023/1230 Yönetmeliği'nin gerekliliklerini de yerine getirmeye yardımcı olabilir.

Bu durum, AB tarihinde hem donanım hem de yazılım ürünlerinin tüm yaşam döngüsü boyunca zorunlu siber güvenlik gereksinimleri getiren ilk mevzuattır. Özellikle, CE işaretli ürünlerin temel siber güvenlik standartlarını karşılamasını ve en az beş yıl boyunca güvenlik desteği almasını sağlıyor.

CRA'nın Temel Yetki Alanları:

  • Dijital unsurları olan ürünlerin piyasaya sürülmesine yönelik siber güvenliğe odaklanan kuralları belirler.
  • Bu ürünlerin tasarım, geliştirme ve üretimindeki temel gereksinimleri ve ekonomik operatörlerin bu gereksinimleri yerine getirme sorumluluklarını tanımlar.
  • Üreticilerin, ekonomik operatörlerin sorumlulukları da dahil olmak üzere, bu ürünlerdeki güvenlik açıklarını yaşam döngüleri boyunca nasıl yöneteceklerine dair temel yönergeleri oluşturur.
  • Yukarıda belirtilen kural ve gereksinimlerin piyasa gözetimi ve uygulanmasına yönelik önlemleri içerir.

AB Siber Dayanıklılık Yasası'nın (CRA) Güncel Durumu

30 Kasım 2023'te Avrupa Parlamentosu ve Konsey, CRA üzerinde siyasi bir anlaşmaya vardı ve 12 Mart 2024'te Avrupa Parlamentosu, AB'deki tüm dijital ürünleri siber tehditlerden korumayı amaçlayan yeni standartlara yeşil ışık yaktı. Ancak, yasanın resmi olarak onaylanması için hala Avrupa Parlamentosu ve Konsey'den nihai onay gerekiyor.

Öngörülen Uygulama Takvimi:

  • CRA'nın 2024'ün ikinci çeyreğinde geçmesi bekleniyor.
  • Geçtikten sonra, sektörlerin yeni kurallara uyum sağlamak için 36 ay süresi olacak.
  • Ancak, raporlama yükümlülükleri daha erken, yasanın kabulünden 21 ay sonra başlayacak.
  • Bu, yeni gereksinimlerin Nisan-Haziran 2027 civarında uygulanmaya başlayacağı, olay ve güvenlik açığı raporlama yükümlülüklerinin ise Ocak-Nisan 2026 arasında başlayacağı anlamına geliyor.

Yeni Siber Güvenlik Gereksinimlerinin Önemli Noktaları

CRA, AB pazarındaki donanım ve yazılım ürünlerinin üreticilerini, ithalatçılarını ve distribütörlerini etkileyecektir. Üreticilerin yapması gerekenler:

  • Siber güvenliği planlama ve tasarımdan geliştirmeye, üretime, teslimata ve bakıma kadar her aşamaya dahil etmek.
  • Tüm siber güvenlik risklerini belgelemek.
  • İstismar edilen güvenlik açıklarını ve olayları aktif olarak raporlamak.
  • Güvenlik açıklarının, ürünün beklenen ömrü boyunca veya beş yıl boyunca (hangisi daha kısaysa) etkin bir şekilde yönetilmesini sağlamak.
  • Dijital unsurları olan ürünlerin kullanımına yönelik açık ve anlaşılır talimatlar sunmak.
  • En az beş yıl boyunca güvenlik güncellemelerini sağlamak.

Tablo 1. Dijital Unsurları Olan Ürünlerin Özelliklerine İlişkin Güvenlik Gereksinimleri (Özet)

Kategori

Açıklama

Güvenlik Açığı Azaltma

Piyasaya sürülmeden önce bilinen istismar edilebilir güvenlik açıklarından arınmış olmalıdır.

Varsayılan Olarak Güvenlik

Güvenli varsayılan yapılandırma ile gelmeli, orijinal duruma sıfırlama seçeneği sunulmalıdır.

Güvenlik Açığı Giderme

Güvenlik güncellemeleriyle ele alınmalı, mümkünse otomatik güncellemeler varsayılan olarak etkin olmalıdır.

Yetkisiz Erişim Koruması

Kimlik doğrulama ve kimlik yönetimi gibi uygun kontrol mekanizmalarıyla korunmalı ve olası yetkisiz erişim raporlanmalıdır.

Gizlilik Koruması

Depolanan, iletilen veya işlenen veriler, son teknoloji mekanizmalar kullanılarak şifrelenmelidir.

Bütünlük Koruması

Depolanan, iletilen veya işlenen verilerin yetkisiz manipülasyon veya değişikliklere karşı bütünlüğü korunmalı ve bozulmalar rapor edilmelidir.

Saldırı Yüzeyini Azaltma

Harici arayüzler dahil olmak üzere saldırı yüzeyini sınırlayacak şekilde tasarlanmalıdır.

Güvenli Veri Kaldırma

Kullanıcılara, tüm verileri ve ayarları kalıcı olarak, güvenli ve kolay bir şekilde kaldırma yeteneği sağlanmalıdır.




Tablo 2. Güvenlik Açığı Yönetimi Gereksinimleri (Özet)

Kategori

Açıklama

Güvenlik Açıklarını ve Bileşenleri Belirleme

Dijital ürünlerdeki güvenlik açıklarını ve bileşenleri belgeleyin; bu, en azından üst düzey bağımlılıkları kapsayan bir Yazılım Faturası (SBOM) oluşturmayı içerir.

Güvenlik Açıklarını Giderme

Özellikle risk oluşturan güvenlik açıklarını derhal ele alın ve düzeltin. Güvenlik güncellemelerini, mümkün olduğunda işlevsellik güncellemelerinden ayrı olarak sağlayın.

Etkili ve Düzenli Testler Uygulama

Optimal etkinlik için dijital ürünlerin güvenliğini düzenli olarak test edin ve inceleyin.

Halka Açık Bilgilendirme

Düzeltilen güvenlik açıkları hakkında (açıklama, etkilenen ürünler, etki, ciddiyet ve giderme kılavuzu dahil) bilgileri kamuoyuyla paylaşın.

Güvenlik Açığı Bildirimi

Koordine edilmiş güvenlik açığı bildirimi politikasını oluşturun ve uygulayın.

Güvenli Güncelleme Dağıtımı

Güvenlik açıklarını zamanında düzeltmek veya azaltmak için güvenli güncelleme dağıtım mekanizmalarını uygulayın.

Güvenlik Yamalarını veya Güncellemeleri Ücretsiz Dağıtma

Güvenlik güncellemeleri derhal ve ücretsiz olarak dağıtılmalıdır (ısmarlama ürünler hariç).



Uyumluluk Gerektiren Ürünlerin Belirlenmesi

Üreticilerin, doğru uyum yaklaşımını uygulamak için ürünlerinin CRA kapsamına girip girmediğini belirlemesi gerekiyor. Yasa, ürünleri üç kategoriye ayırır:

  • Sınıf I Önemli Ürünler: Üçüncü taraf değerlendirmesi veya belirlenmiş standartlara uygunluk için öz beyan gerektirir.
  • Sınıf II Önemli Ürünler: Üçüncü taraf değerlendirmesi gerektirir.
  • Kritik Ürünler: Ulusal makamların gözetiminde üçüncü taraf değerlendirmelerinden geçer.

Tablo 3. Dijital Unsurları Olan Önemli ve Kritik Ürünler

Ürün Kategorisi

Önemli Ürünler

Kritik Ürünler

Kategori

Sınıf I

Sınıf II

Uygunluk Değerlendirmesi

Standartlara uygunluğun öz beyanı veya üçüncü taraf değerlendirmesi ile onaylanması

Üçüncü taraf değerlendirmesi


Muafiyetler: CRA, halihazırda diğer AB düzenlemeleriyle kapsanan bazı ürün tipleri için geçerli değildir:

  • AB 2017/745 kapsamındaki tıbbi cihazlar
  • AB 2017/746 kapsamındaki in-vitro tanı tıbbi cihazları
  • Ulusal güvenlik veya savunma amaçlı tasarlanmış ürünler


Çözümler: OT Ortamları için Güvenlik

Üreticiler, siber güvenliği tüm ürün geliştirme yaşam döngüsü boyunca merkezde tutmalıdır. TXOne Networks, OT'ye özel çözümleriyle tehditleri belirlemeye, cihazların maruz kaldığı saldırı yüzeyini ve riskleri azaltmaya yardımcı olabilir. OT Siber Güvenlik Çözümleri hakkında daha fazla bilgi almak için, TXOne'ın Türkiye distribütörü olarak birebir çevirisini yaptığımız web sitemizi buradan ziyaret edebilirsiniz.

  • Element (Teslimat Öncesi Güvenlik Denetimi): Makine teslimatından önce kapsamlı kötü amaçlı yazılım taraması ve varlık envanteri oluşturma.
  • Stellar (Kapsamlı Kötü Amaçlı Yazılımdan Korunma): Windows işletim sistemlerinde çalışan makineler için, Operasyon Davranışı Anomali Tespiti ve yetkisiz yazılımları engelleyen Kilitlenme Modu (Beyaz Liste) sunar.
  • Edge (Ağ Güvenliğini Artırma): OT ortamları için OT merkezli güvenlik duvarı ve Saldırı Önleme Sistemleri (IPS) dağıtımı. Bu, sanal yama ve OT Ağ Segmentasyonu gibi özelliklerle ağ güvenliğini sağlar.

Sonuç

Siber Dayanıklılık Yasası'nın yürürlüğe girmesi, güvenliğin gelecekteki dijital cihazların geliştirilmesinin temel bir parçası olmasını sağlamayı amaçlamaktadır. Üreticiler artık enerji verimliliği gibi özelliklere odaklanmak yerine, güvenliği en baştan ciddi bir şekilde hesaba katmalıdır.

Ancak CRA, üreticiler, ithalatçılar ve distribütörler için önemli uyum maliyetleri ve zorlukları da beraberinde getiriyor. CRA'nın temel güvenlik gereksinimlerini karşılayamamak, ihlalin türüne bağlı olarak 5 ila 15 milyon Euro veya önceki mali yılın küresel cirosunun %1 ila %2,5'i arasında değişen para cezalarıyla sonuçlanabilir (hangisi daha yüksekse). Para cezalarının ötesinde, yetkililer ürünlerin AB pazarından çekilmesini de talep edebilir.

TXOne'ın OT-yerel çözümleri ve OT sıfır güven savunma yaklaşımının benimsenmesi, üreticilerin yeni düzenlemelere uyum sağlamasına ve güvenlik önlemlerini etkili bir şekilde güçlendirmesine yardımcı olabilir.