Aşama 01T+0
Zafiyet tespit
TegmenSoft telemetry motoru aktif istismarı (in-the-wild exploitation) tespit eder ve severity skorlar.
Regulation (EU) 2024/2847
Cyber Resilience Act — IoT için yeni Avrupa standardı
CRA, dijital unsurlu tüm ürünlerin tasarımdan satış sonrası yaşam döngüsüne kadar siber güvenlik gereksinimlerini karşılamasını zorunlu kılan ilk yatay AB regülasyonu. 10 Aralık 2024'te yürürlüğe girdi; raporlama yükümlülüğü 11 Eylül 2026'da, tam uyumluluk 11 Aralık 2027'de başlar.
11 Eylül 2026 — Madde 14 Raporlama
—GÜN
——SAAT
——DK
——SN
Tam Uyum
11.12.2027
Ceza tavanı
€15M / 2.5%
Standart
EN 18031
Otorite
ENISA
Madde 14
Üç katmanlı zorunlu raporlama döngüsü
Aktif istismar tespiti, ENISA Single Reporting Platform'a 24 saatlik erken uyarı ile başlayan ve 14 güne kadar uzanan üç aşamalı bir bildirim sürecine yol açar.
Aşama 02T+≤ 24h
Erken Uyarı
ENISA SRP'ye etkilenen üye devletleri içeren erken uyarı bildirimi otomatik gönderilir.
Aşama 03T+≤ 72h
Tam Bildirim
İstismar detayı, etkilenen ürün serileri ve hafifletme adımlarını içeren tam rapor iletilir.
Aşama 04T+≤ 14d
Nihai Rapor
Düzeltici önlem yayınlandıktan sonra zafiyet açıklaması, CVSS ve güvenlik güncellemesi detayı raporlanır.
Yükümlülükler
Üreticinin sahip olması gereken beş temel yetkinlik
CRA, üreticileri yalnızca raporlama değil; tasarım, dokümantasyon ve yaşam döngüsü yönetimi konusunda da yeniden yapılanmaya zorluyor.
Secure by Design
Ürünler, tasarım aşamasından itibaren güvenlik gereksinimlerini karşılamak zorundadır. Varsayılan ayarlar güvenli olmalı, tahmin edilemeyen şifrelerle gelinmelidir.
CE İşareti
CRA kapsamındaki ürünler, ancak uygunluk değerlendirmesi tamamlandıktan sonra CE işareti taşıyabilir ve AB pazarına sunulabilir.
SBOM Yükümlülüğü
Üretici, üründe kullanılan tüm yazılım bileşenlerini (SPDX/CycloneDX) belgelemek ve istek üzerine sunmakla yükümlüdür.
Destek Süresi
Ürünlerin destek (support period) süresi açıkça beyan edilmeli, bu süre içinde güvenlik güncellemeleri ücretsiz sağlanmalıdır.
Pazar Gözetimi
Üye devlet otoriteleri, uyumsuz ürünleri pazardan çekme, yasak koyma ve ceza kesme yetkisine sahiptir.
Takvim
CRA yürürlük süreci ve kritik eşikler
Cyber Resilience Act'in resmi takvimi ve her aşamanın üreticiler için anlamı.
10 Aralık 2024
Yürürlüğe Giriş
Cyber Resilience Act (Regulation (EU) 2024/2847) AB Resmi Gazetesi'nde yayımlanarak yürürlüğe girdi.
Ocak 2025
Standardizasyon Talebi
Avrupa Komisyonu, harmonize standartların geliştirilmesi için CEN-CENELEC'e resmi talepte bulundu.
11 Eylül 2026
Raporlama Yükümlülüğü Başlıyor
Aktif olarak istismar edilen zafiyetler için 24 saatlik ENISA SRP bildirim zorunluluğu yasal olarak başlar.
Kasım 2026
Harmonize Standartlar
EN 18031 ailesi ve diğer harmonize standartlar yayımlanır; üreticiler için uyumluluk yolu netleşir.
11 Aralık 2027
Tam Uyumluluk
Dijital unsurlu tüm ürünler için CRA gereklilikleri ve CE işareti şartı tam olarak zorunlu hale gelir.
Kırılma Noktası: 11.09.2026 itibarıyla aktif zafiyetlerin 24 saat içinde ENISA SRP'a raporlanması yasal bir önkoşul. Manuel süreçler bu eşiğe yetişmez — otomasyon zorunludur.
Risk Sınıflandırması
Her risk sınıfı için aynı SDK, farklı denetim derinliği
CRA, ürünleri dört risk sınıfına ayırır. Denetim ağırlığı değişse de SBOM, zafiyet raporlama ve güvenli OTA tüm sınıflar için ortak teknik gereksinimdir.
DEFAULT
Varsayılan
Örnek
Akıllı ev cihazları, tüketici tipi IoT, akıllı oyuncaklar
Denetim
Öz değerlendirme (Module A) yeterli
IMPORTANT
Önemli — Sınıf I
Örnek
Kimlik doğrulama sistemleri, VPN'ler, ağ yönetim araçları
Denetim
Onaylanmış Kuruluş (Notified Body) katılımı gerekebilir
IMPORTANT
Önemli — Sınıf II
Örnek
Endüstriyel güvenlik duvarları, işletim sistemleri, mikroişlemciler
Denetim
Üçüncü taraf denetimi (Type Examination) zorunlu
CRITICAL
Kritik
Örnek
Akıllı sayaçlar, HSM modülleri, akıllı kartlar, sağlık donanımı
Denetim
EUCC kapsamında tam yetkili denetim
Şirketinizin CRA hazırlık seviyesini birlikte değerlendirelim.
30 dakikalık teknik bir keşif görüşmesinde mevcut ürün yelpazenizi analiz eder, eksik kontrolleri çıkarır ve özelleştirilmiş bir uyum haritası hazırlarız.
Keşif Görüşmesi Planla