Global tr
Hotline
Kişi
Global | türkçe

Siber Dayanıklılık Yasası

Siber Dayanıklılık Yasası, beraberinde birçok yeni gerekliliği getirir. Gelecekte hangi gereksinimler yürürlükte olacak?

11 Aralık 2027 itibarıyla Avrupa Birliği sınırlarında sadece Siber Dayanıklılık Yasası (CRA) gerekliliklerine uygun ürünler piyasaya sürülebilecektir. CRA, dijital bileşenlere sahip ürünlerin siber güvenliğine yönelik gereksinimler içerir.

Siber Dayanıklılık Yasası hangi yeni gereksinimleri getiriyor? Hangi ürünler CRA kapsamına girer? Şirketlerin ne yapması gerekiyor? Sizler için temel bilgileri özetledik.

İş yerinde konuşan iki adam

Siber Dayanıklılık Yasası ile ilgili sık sorulan sorular (SSS)

Siber Dayanıklılık Yasası Nedir?

Siber Dayanıklılık Yasası (CRA), dijital bileşenlere sahip ürünlerde Endüstriyel Güvenlik gereksinimlerini tanımlayan bir AB yönetmeliğidir. Etkilenen ürünler temel bir inceleme ve değişiklik sürecinden geçmelidir. Aralık 2027 itibarıyla sadece CRA ile uyumlu ürünler piyasaya sürülebileceği için bu süreç kesinlikle gereklidir.

Siber Dayanıklılık Yasası ne zaman yürürlüğe giriyor?

CRA, 20 Kasım 2024 tarihinde Avrupa Birliği Resmi Gazetesi'nde yayınlanmıştır. 10 Aralık 2024’te yürürlüğe girmiştir ve 11 Aralık 2027 itibarıyla AB'de zorunlu hale gelecektir. Bununla birlikte, üreticilerin istismar edilen güvenlik açıklarını bildirme yükümlülüğü, CRA kapsamında 11 Eylül 2026 tarihinden itibaren yürürlüğe girecektir.

CRA tam olarak neleri gerekli kılıyor?

CRA'nın amacı, tüketiciler ve işletmeler için siber saldırılara karşı daha iyi koruma sağlamaktır. Bu CRA, diğer ürünlerle iletişim kurabilen dijital elemanları olan ürünlerin üreticilerine, ithalatçılarına ve distribütörlerine yönelik çeşitli spesifikasyonlar içermektedir. Bunlar donanım ve yazılım ürünlerini içerir. Bu, ürünün tasarımı, geliştirilmesi, üretimi, teslimatı ve bakımının yanı sıra müşterinin tesislerindeki tüm kullanım süresini de içerecek şekilde, ürünün yaşam döngüsünün tamamını kapsar.

Siber Dayanıklılık Yasası bir regülasyon mu yoksa yönerge mi?

Siber Dayanıklılık Yasası, bir AB yönetmeliği olduğundan, ulusal yasalara aktarılmasına gerek kalmadan Avrupa Birliği’nin tüm üye ülkelerinde doğrudan geçerlidir.

Hangi ürünler CRA kapsamındadır?

CRA, özellikle dijital bileşenler içeren ve uygunluk kontrolü yapılması gereken ürünlerle ilgilidir.

Siber Dayanıklılık Yasası (CRA), yazılım veya yüksek riskli yapay zeka sistemleri gibi dijital bileşenler içeren ve ağlara veya diğer cihazlara bağlı tüm ürünler için geçerlidir. Sonuç olarak, CRA’nın kapsamı oldukça geniştir ve diğerlerinin yanı sıra aşağıdaki ürün gruplarını kapsar:

  • IoT cihazları, programlanabilir mantık kontrolörleri (PLC'ler) ve sensörler gibi endüstriyel donanım ve yazılımlar
  • Masaüstü, web ve mobil uygulamaların yanı sıra işletim sistemleri gibi yazılım çözümleri
  • Donanım ve yazılımın yanı sıra, özel kullanım amaçlı akıllı cihazlar

Bu ürünler, olası risk düzeyine göre farklı kategoriler altında sınıflandırılır. Özellikle kritik altyapı, endüstriyel üretim ile enerji ve sanayi sektörlerinde kullanılan sistemler, daha yüksek risk sınıflarına dahil edilir. Kamu güvenliği ve ekonomik istikrar üzerinde önemli etkiler yaratabilecek bu ürünler için uygunluk değerlendirme prosedürleri değişiklik gösterir.

Ne yapabiliriz? Şirketleri hangi gereksinimler bekliyor?

Dijital bileşenlere sahip ürünlerin üreticisi, CRA'nın Güvenlik gerekliliklerine uymalıdır. Bu, bir risk analizinin hazırlanmasını ve belirlenen riskleri azaltmak için karşı önlemlerin tanımlanıp uygulanmasını gerektirir. Ayrıca, risk değerlendirmesi ile ilgili dokümantasyonun ve güvenlik risklerini azaltmak amacıyla alınan önlemlere dair kayıtların oluşturulması ve güncel tutulması da zorunludur. Bu belge en az 10 yıl saklanmalıdır. Potansiyel güvenlik açıklarının sürekli izlenmesi, bir ürünün tipik kullanım ömrü boyunca (en az 5 yıl) güvenlik güncellemelerinin ücretsiz olarak sağlanması ve tespit edilen güvenlik açıklarının 24 saat içinde ENISA’ya ve mümkün olan durumlarda ulusal kurumlara bildirilmesi de zorunludur.

Halihazırda CRA ile uyumlu olan ve üzerinde değişiklik yapılmamış ürünler de şeffaf kurallara uygun şekilde test edilmeli ve değerlendirilmelidir. Denetim sonuçlarına ilişkin kayıtlar en az on yıl süreyle saklanmalıdır. Bir yazılım malzeme listesi oluşturulmalı ve geliştirmenin ve testlerin Endüstriyel Güvenlik standartlarına uygun şekilde gerçekleştirildiği kanıtlanmalıdır.

AB uygunluk beyanı CRA bağlamında ne anlama geliyor?

Üretici, temel siber güvenlik gereksinimlerine uygunluğun sağlandığını belirten AB uygunluk beyanını yayımlamaya devam edecektir. Bu, üreticiler için risk değerlendirmesi, güvenlik açığı yönetimi ve dokümantasyonla ilgili gereksinimlere uygunluğun bir uygunluk değerlendirmesiyle doğrulanacağı anlamına gelir. Tüm gereksinimlerin karşılanması halinde bir uygunluk beyanı düzenlenir. 

Tüm AB mevzuatı için hâlâ tek bir AB uygunluk beyanı var mı?

Dijital bileşenlere sahip bir ürün, birden fazla Avrupa Birliği mevzuatına tabi olup her biri için ayrı AB uygunluk beyanı gerektiriyorsa, tüm mevzuat için tek bir AB uygunluk beyanı düzenlenebilir. Bu beyan, ilgili AB mevzuatını Resmî Gazete’deki referanslarıyla birlikte belirtir.

AB uygunluk beyanı ne kadar süreyle erişilebilir olmalıdır?

Üretici, her ürün modeli için yazılı bir uygunluk beyanı hazırlar ve dijital bileşenlere sahip ürünün piyasaya sunulmasından itibaren on yıl veya destek süresi boyunca (hangisi daha uzun ise) ulusal makamların erişimine açık tutar. Uygunluk beyanında, hangi ürün modeli için düzenlendiği belirtilmelidir. Uygunluk beyanının bir kopyası talep üzerine ilgili makamlara sunulmalıdır.

Siber Dayanıklılık Yasası ile NIS 2 arasındaki fark nedir?

  • CRA, dijital bileşenlere sahip ürünlerin tasarımı, geliştirilmesi ve üretimi için temel siber güvenlik gereksinimlerinin yanı sıra ekonomik operatörler için bu ürünlerle ilgili siber güvenlik açısından yükümlülükler içerir .
  • NIS 2 Direktifi şirketler için hazırlanmıştır ve şirket içindeki Endüstriyel Güvenlik risklerini azaltmak için organizasyonel ve teknik önlemler almalarını gerektirir.
  • AB'de siber güvenliğin güçlendirilmesi: İki ayrı regülasyon grubu olan CRA ve NIS 2 Direktifi, farklı siber güvenlik seviyelerini kapsayarak birbirini tamamlar: CRA ürün güvenliğine odaklanırken, NIS 2 altyapı ve temel hizmetlerin güvenliğini hedefler. Bir araya geldiklerinde, Avrupa Birliği’nde siber güvenliğin genel olarak iyileştirilmesine önemli katkıda bulunurlar.

Pilz ürünleri Siber Dayanıklılık Yasası gerekliliklerini karşılıyor mu?

Pilz, birkaç yıldır geliştirme sürecini IEC 62443-4-1 standardına göre yapılandırmaktadır. “Endüstriyel Güvenlik temel standardı” olarak kabul edilen bu standart, ürünlerin güvenli bir şekilde geliştirilmesini sağlayan “Güvenlik Geliştirme Yaşam Döngüsü Sürecini” tanımlar. TÜV Süd, yaptığı denetimde geliştirme süreçlerimizin uyumlu olduğunu teyit etmiştir. Pilz geliştirmeleri sadece Emniyetli değil, aynı zamanda Güvenli!

Bu durum müşterilerimiz açısından önemlidir, çünkü 2024/2847 sayılı Yönetmelik (AB) – Siber Dayanıklılık Yasası (CRA) ve 2023/1230 sayılı yeni Makine Regülasyonu’na ek olarak, 2027 yılında yürürlüğe girecek başka bir güvenlik yönetmeliği daha bulunmaktadır.

Bu özellikle, mevcut ürünlerin gerektiğinde güncelleneceği, yeni ürünlerin CRA’ya uygun şekilde geliştirileceği ve uyumluluğun (CE işareti) yürürlükteki gerekliliklere göre uyarlanacağı anlamına gelmektedir. Gereksinimleri artık karşılamayan ürünler ya üretimden kaldırılacak ya da yalnızca yedek parça olarak temin edilecektir. Ancak bu durumda, söz konusu ürünler yeni kurulumlarda artık kullanılamaz.

 

Siber Dayanıklılık Yasası hakkında daha fazla bilgi

Endüstriyel Güvenlik bülteni Pilz’den

Endüstriyel Güvenlik

Ücretsiz tanıtım belgemiz dahil olmak üzere Endüstriyel Güvenlik konusunda daha fazla bilgiye aşağıdaki sayfadan ulaşabilirsiniz.

Endüstriyel Güvenlik hakkında daha fazla bilgi
Ekranlarının önünde oturarak telefonda konuşan, kulaklık takmış çalışanlar.

Tek yapmanız gereken bizimle iletişime geçmek!

CRA hakkında başka sorularınız mı var ya da bunu şirketinizde nasıl uygulayacağınız hakkında tavsiye almak mı istiyorsunuz? Deneyimli Danışmanlık Ekibimiz size yardımcı olmaktan memnuniyet duyacaktır.

Bize hemen ulaşın!
Top
Genel Merkez

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Almanya

Telefon: +49 711 3409-0
E-posta: [email protected]

Teknik Destek

Telefon: +49 711 3409 444
E-posta: [email protected]

Amerika

  • Birleşik Devletler (Ücretsiz): +1 877-PILZUSA (745-9872)
  • Meksika: +52 55 5572 1300
  • Kanada: +1 888-315-PILZ (315-7459)
  • Brezilya: + 55 11 4942-7032

Avrupa

  • İrlanda: +353 21 4804983
  • İsviçre: +41 62 889 79 32
  • İsveç: +46 300 13990 / +45 74436332
  • Finlandiya: +358 10 3224030 / +45 74436332
  • Birleşik Krallık: +44 1536 460866
  • Hollanda: +31 347 320477
  • Belçika: +32 9 321 75 70
  • İspanya: +34 938497433
  • Avusturya: +43 1 7986263-444
  • Portekiz: +351 229 407 594
  • Danimarka: +45 74436332
  • İtalya: +39 0362 1826711
  • Almanya: +49 711 3409 444
  • Fransa (Ücretsiz): +33 3 88104000
  • Rusya: +7 495 6654993
  • Türkiye: +90 216 577 55 52

Asya Pasafik

  • Çin: +86 400-088-3566
  • Japonya: +81 45 471 2281
  • Tayvan: +886 70 1015 0068 (當地網路電話)
  • Güney Kore: +82 31 778 3390
  • Avustralya (Ücretsiz): +61 3 9560 0621 / 1300 723 334
  • Yeni Zelanda: +64 9 6345350
  • Singapur: +65 6829 2920
  • Tayland: +66 210 54613
  1. Pilz
    2. /
  2. Destek
    3. /
  3. Kanunlar ve standartlar
    4. /
  4. Üretici ve işveren/operatör
    5. /
  5. Cyber Resilience Act
İletişim formunu açın
Telefon:+49 711 3409 444
E-posta: [email protected]
Cookie settings

Sizin için ne yapabiliriz?

Onay vermediğim sürece toplanan kişisel verilerin yalnızca siparişleri işleme koymak ve sorularımla ilgilenmek için kullanılacağını anlıyorum. Veri koruma hakkında daha fazla bilgiyi ve veri koruma görevlimizin iletişim bilgilerini aşağıda bulabilirsiniz: Pilz veri koruma
Onay herhangi bir zamanda geri çekilebilir (E-Posta yeterli olacaktır).
* Zorunlu alan