Ana içeriğe atla

AB Siber Dirençlilik Yasası güvenlik kurallarını nasıl değiştiriyor

9 dakikalık okuma
Siber güvenlik katmanlı video gözetim kamerası

AB, tüm bağlı cihazlar için güvenlik seviyesini artırmayı amaçlayan yeni kurallar benimsedi; bu kuralların üreticiler, ithalatçılar ve distribütörler açısından belli sonuçları olacak. 

Siber Dirençlilik Yasası (Cyber Resilience Act - CRA), AB'de satılan dijital ağ öğelerine sahip tüm ürünlerin siber güvenliğini artırmaya odaklanan, yeni bir Avrupa Birliği düzenlemesidir.  

Bağlı cihazlar ve yazılımlar için AB çapında ilk siber güvenlik gereksinimlerini belirliyor. AB'nin kritik sektörlerindeki siber güvenliği güçlendirmek için tasarlanan NIS2 gibi diğer mevzuatları tamamlarken, mevcut mevzuatları uyumlu hale getirmek. 

Ana hedef, tüketicileri ve işletmeleri yetersiz siber güvenliğe sahip ürünlerden korumaktır. Birbirine bağlı cihazlar satın alırken, tehditlere karşı korunmaya yardımcı olacak bir standardı karşıladıkları konusunda daha büyük bir güvence oluyor. 

EU Cyber Resilience Act

CRA'nın ana amacı, dijital öğelere sahip tüm ürünlerin tasarım sayesinde güvenli ilkelerine uygun olmasını sağlamaktır, ancak tek amacı bu değildir. 

Bu, tasarım aşamasının en başından başlar ve kullanım ömürleri boyunca devam eder. AB düzenleyicileri, satılan her bağlı cihazın müşterileri artan siber güvenlik riskine maruz bırakmamasını güvenceye alarak müşterileri korumak istiyor. 

İkinci bir hedef, güvenlik ve bağlı cihazlar söz konus olduğunda şeffaflığı artırmaktır. Üreticilerin aşağıdakiler gibi belirli bilgileri sağlaması gerekiyor:  

  • Güvenlik güncellemelerini ne kadar süreyle sağlayacaklar 
  • Ürün nasıl güvenli bir şekilde kurulacak ve bakımı yapılacak ve  
  • Güvenlik açıklarını nasıl tanımlayacakları, işleyecekleri ve rapor edecekleri; hem kullanıcılara hem de ilgili makamlara. 

Siber Dirençlilik Yasasının geniş bir kapsamı var. Bağlı bir cihaz üreten ya da satan herkes açıkça kapsam dahilinde olsa da tedarik zincirinin dikkate alınması gereken çok daha fazla bölümü var. 

"Dijital öğelerin ürünlerin" Tanımlanması 

Siber Dirençlilik Yasası, dijital unsurlara sahip bir ürünü, "yazılım ya da donanım ürünü ve ayrı olarak piyasaya sürülen yazılım ya da donanım bileşenleri dahil olmak üzere uzaktan veri işleme çözümleri" olarak tanımlıyor.  

Physical access control system with a cybersecurity overlay

Uzaktan veri işlemenin de "yokluğu, dijital öğelere sahip ürünün işlevlerinden birini yerine getirmesini engeller" şeklinde bir tanımı var. 

Örneğin bir ağ kamerası Siber Dirençlilik Yasası kapsamına girer. Nihai donanımın ve/veya yazılımın tamamı bu standartları karşılamalıdır. Ancak bu, cihazı ve kullanımını oluşturan tüm işletim sistemleri, üçüncü taraf kütüphaneleri ve diğer her şey için de geçerlidir. 

Üreticilerin, ithalatçıların ve distribütörlerin rolleri 

Siber Dirençlilik Yasasının geniş kapsamı, büyük ölçüde ortak sorumluluk anlamına geliyor. Üreticiler, ürünlerinin ilgili her parçasının, diğer tüm yönetmeliklerde olduğu gibi siber güvenlik standartlarını da karşıladığından emin olmalıdır.  

Buna karşılık ithalatçılar ve distribütörler de üreticilerden aynı şeye ihtiyaç duyar. Ekosistem, CRA gereksinimlerini karşılamak için tedarik zinciri boyunca koordinasyona ve işbirliğine bağlıdır. 

A women holding a visualization of the cyber resilience act

Siber Dirençlilik Yasasıyla ilgili önemli muafiyetler 

Siber Dirençlilik Yasasında, özellikle ticari olmayan açık kaynaklı yazılımlar ve tıbbi cihazlar gibi bazı muafiyetler sağlanıyor. Bununla birlikte burada başka siber güvenlik düzenlemeleri geçerlidir. Üreticilere yönelik olarak, ürünlerine ücretsiz açık kaynak yazılımı entegre etmeleri durumunda, gereken özeni göstermeleriyle ilgili gereksinimler bulunuyor. 

Video gözetim endüstrisi, siber güvenlik standartlarını karşılayan ürünler sunmakla yükümlüdür. Bu yalnızca uygun şekilde emniyete alınmaması durumunda risk oluşturabilecek, bağlı donanımlar sunmakla kalmaz. Aynı zamanda güvende tutulması gereken verileri de kaydeder.  

Bir siber güvenlik risk değerlendirmesi yapın 

Her ürün için bir siber güvenlik risk değerlendirmesi gereklidir. Bu değerlendirmenin sonucu daha sonra planlama ve tasarımdan bakıma kadar ürünün yaşam döngüsü boyunca dikkate alınır. 

Risk değerlendirmesinin dokümantasyonu yapılmalı ve güncellenmeli ve geçerli olduğunda Siber Dirençlilik Yasasının gerekliliklerine başvurulmalıdır. Üreticilerden, ürünlerinin ilgili tüm siber güvenlik yönlerinin dokümantasyonunu yapması ve keşfettikleri ya da bildikleri tüm güvenlik açıklarını kaydetmesi beklenir. 

Güvenli ürün tasarımını ve geliştirmeyi güvenceye alın 

Bağlı cihazların en başından itibaren entegre siber güvenlikle tasarlanması ve geliştirilmesi gerekir. Bu, tasarım ve varsayılan olarak güvenlik oluşturur. AB, pazarlarında satılan ürünlerin karmaşık kurulum ve konfigürasyon gerektirmek yerine "satışa hazır" ve güvenli olmasını istiyor. Ayrıca, amacına uygun şekilde kullanıldığında güvenli olmalarını da gerektirir.

A network speaker with a cybersecurity overlay visualizing the cyber resilience act

Tasarım yoluyla gerçek güven, temelde bir donanım güven köküne (HRoT) ve altta yatan işletim sistemine dayanır. Bu işletim sistemi, cihazda çalışan yazılımdır. 

Sisteme entegre çip (SoC) üzerinde güvenli önyükleme ve güvenli anahtar depolama için güvenli eleman kullanımı gibi donanım destekli güvenlik, temel korumayı sağlar. İşletim sistemi, müşteriye güvenlik özellikleri sunmak için bu temele dayanır ve bunun üzerine kuruludur. 

Bu temel donanım korumaları sıkça güvenilir bir bileşen tedarikçileri ve yarı iletken ortakları ekosistemi tarafından sağlanır. 

Etkin olarak istismar edilen açıkları ve olayları rapor edin 

Güvenlik açıklarının ve güvenlikle ilgili olayların bildirilmesi için kesin teslim tarihler vardır. Farkına varıldıktan sonra 24 saat içinde erken uyarı verilmesi ve 72 saat içinde tam bildirimin yapılması gerekir.  

Suistimal edilen güvenlik açıkları için düzeltici önlem alındıktan sonraki 14 gün içinde ve ciddi olaylar için bir ay içinde nihai rapor sunulmalıdır. Raporlama platformu, raporlama yükümlülüklerinin yürürlüğe girdiği 11 Eylül 2026 tarihine kadar kullanıma sunulacak. 

Ürünün ömrü için güvenlik güncellemelerinin sağlanması 

Güvenlik güncellemeleri, ürünün kullanım ömrü boyunca mevcut olmalı ve varsayılan bir davranış olarak yerleşik olmalıdır. Tıpkı bir dizüstü bilgisayarın ya da akıllı telefonun işletim sistemi gibi, bağlı herhangi bir cihazın dijital bileşenleri de nispeten kolay bir şekilde güncellenmelidir. 

Düzenleme, güvenlik güncellemeleri için en az beş yıllık bir destek süresi emrediyor (bazı istisnalarla).

Net teknik dokümantasyon ve kullanıcı talimatları oluşturun 

Çoğu üretici bir tür teknik dokümantasyon sağlar. Ancak artık bu yasal olarak zorunludur ve kurallara uyulduğunun kanıtının bir parçasıdır. Teknik dokümantasyon, siber güvenlik risk değerlendirmesinin ayrıntılarını ve daha fazlasını içermelidir.

Computer screen with a cybersecurity overlay visualizing the need for technical documentation

Kullanıcı talimatı gereksinimleri, üreticinin iletişim bilgilerini, sağlanan siber güvenlik desteğinin ayrıntılarını ve güvenlik güncellemelerinin nasıl kurulabileceğini içerir. Bunlar "canlı dokümanlar" olmalı ve gerektiğinde güncellenmelidir. 

Axis, CRA'nın temel gereksinimlerine iyi hazırlandı ve bunların ötesine geçmeyi hedefliyor. Distribütörlerin ve son kullanıcıların ürünlerin uyumlu olduğunu bilmelerini sağlamak için FIPS ve Common Criteria sertifikalı EdgeLock® güvenlik öğeleri sağlayan NXP Semiconductors gibi ortaklarla yakın işbirliği önemlidir: 

  • Axis Güvenlik Geliştirme Modeli (SDM), ilk tehdit modellemesi ve sürüm öncesi penetrasyon testinden sürekli güvenlik açıkları yönetimine ve sürüm sonrası bir hata ödülü programına kadar yazılım yaşam döngüsü boyunca güvenliği içerir. Bu, yazılım güvenliğine proaktif ve devamlı bir yaklaşım güvenceye alıyor. 
  • NXP'le yapılan işbirliği, donanım tabanlı güvenlik özelliklerinin entegrasyonunu destekliyor. Buna güvenilir ve sertifikalı EdgeLock güvenli öğelerinin kullanımı dahil. Axis cihazlarında bir donanım güven kökü oluşturmaya yardımcı olmak ve güvenlikle ilgili konuların en erken tasarım aşamalarından itibaren ele alınmasını sağlamak. 
  • Axis, güvenlik açıkları için CVE ID'leri verebilen bir CNA ya da CVE numaralandırma yetkilisidir. Bunu CVE web sitesi, kendi web sitesi ve abonelerin e-posta adresi üzerinden yaparak tüm kullanıcıların risklere karşı mümkün olan en kısa sürede uyarılmasını garanti eder. 
  • Axis cihaz yönetim yazılımı, güvenlik güncelleme bildirimleri ve gerekiyorsa yüzlerce cihazda AXIS OS'nin otomatik ya da manuel olarak yükseltilmesine izin verme olanağı sağlar. Yazılım desteğinin sona erdiği tarihler şu anda hazır. 
  • SBOM'lar çoğu AXIS OS tabanlı ürün, ağ video kaydedici ve çoğu Axis video ve cihaz yönetim yazılımı için mevcuttur.
  • Daha fazla ayrıntı için lütfen Axis Communications'un AB Siber Dirençlilik Yasası Beyanını okuyun. 

Siber Dirençlilik Yasasının tam uygulanması 11 Aralık 2027'de başlayacak. Bundan sonra AB pazarındaki tüm donanım ve yazılım ürünleri tam uyumlu olmak ve CE işaretini taşımak zorunda. Şu anda geliştirilmekte olan ürünler için erken hazırlık kritik öneme sahip.

Cybersecurity cover photo visualizing the eu cyber resilience act

Bununla birlikte not edilmesi gereken önemli tarihler var. 11 Haziran 2026 tarihinde, uygunluk değerlendirme kuruluşlarının bilgilendirilmesine ilişkin çerçeve yürürlüğe girecek. Bu, "önemli" ya da "kritik" kategorisine giren ve üçüncü taraf değerlendirmesi gerektiren ürünler için önemli.  

Raporlama yükümlülüklerinin geçerli olduğu 11 Eylül 2026 tarihi daha yaygın olarak geçerli. Üreticiler bu günden sonra etkin olarak istismar edilen güvenlik açıklarını rapor etmeye başlamak zorunda.  

CRA, yürürlüğe girmeden önce tasarlanmış ve geliştirilmiş olsalar bile, yasanın yürürlüğe girmesinden sonra piyasaya sürülen tüm ürünler için geçerli olacak. 

Uygun olmayan ürünlere yönelik cezaları ağır ve her büyüklükteki işletmeleri uyum sağlamaya teşvik etmek için tasarlandı. 15 milyon €'ya ya da önceki mali yılın dünya genelindeki toplam yıllık cirosunun %2,5'ine varan para cezaları - hangisi daha yüksekse - mümkün olan en büyük para cezası olacak. 

Network camera with a cybersecurity overlay visualizing compliance towards the cra

Bu, temel siber güvenlik gereksinimlerine uyulmaması durumu için saklıdır. Güvenlik açıklarının ele alınmaması ya da bir talebe yanıt olarak eksik ya da yanlış bilgilerin verilmesi gibi ihlaller için daha küçük, ancak yine de kayda değer para cezaları uygulanacak. 

Ürünlerinin güvenli olduğundan emin olmak için sıkı çalışan üreticiler için bile, CRA bunu düzenleyicilere, müşterilerine ve distribütörlerine nasıl dokümante edecekleri ve kanıtlayacakları konusunda katı kurallar getiriyor. 

Yeni kurallar, bir ürün yaratırken yapılan her seçime entegre edilmiş tasarıma dayalı güvenlik ihtiyacını güçlendiriyor. Bu, uzun vadeli güvenlik hazırlığının, dağıtımdan yıllar önce yapılan tasarım seçimlerine bağlı olduğu anlamına gelir - bir eklenti veya yama olamaz.  

Ayrıca erişim ve güven konusu da var. Tedarik zincirinin farklı bölümlerine dayanan yönetmeliklere uyum sağlandığında, işletmelerin birbirlerini korumak için bu yönetmeliklere uyması gerektiği açık. Ayrıca, müşterilerin temiz bir geçmişe sahip tedarikçilere ve üreticilere güvenme olasılığı daha yüksek olacaktır. 

Bu, uzun vadeli siber güvenlik hazırlığını desteklemek için bileşen tedarikçilerinden cihaz üreticilerine kadar değer zinciri boyunca yakın işbirliğinin önemini vurgulamaktadır. 

NXP Semiconductors ve Axis Communications arasındaki yakın işbirliğine gelince, CRA hakkında derinlemesine bir teknik tartışma için yeni yayınlanan podcast'i dinleyin.

Özlem Dağgez
 - 
Basın iletişim bilgileri
Marketing Specialist, Axis Communications
Telefon: +90 532 414 57 89
|
Ozlem Dağgez

Andre Bastert

Andre Bastert, Axis Communications'da Global Product Manager olarak görev yapmaktadır. Axis ağ cihazlarını güçlendiren AXIS OS yazılım platformundan sorumludur. Andre, siber güvenlik, BT-altyapı/güvenlik entegrasyonu ve ürünlerimizin yazılım yaşam döngüsü yönetimi yönüyle ilgili her şeye odaklanıyor. Andre, Axis'teki kariyerine 2014 yılında teknik hizmetler alanında başlamıştır. Mevcut görevine başlamadan önce PTZ kameralar ve AXIS OS için ürün uzmanı olarak çalıştı. Andre, çalışmadığı zamanlarda ailesiyle vakit geçiriyor ve gerçek bir "kendin yap" ruhuyla evini yenilemekten büyük keyif alıyor.

Andre Bastert