AB, tüm bağlı cihazlar için güvenlik seviyesini artırmayı amaçlayan yeni kurallar benimsedi; bu kuralların üreticiler, ithalatçılar ve distribütörler açısından belli sonuçları olacak.
Siber Dirençlilik Yasasını Anlamak
Siber Dirençlilik Yasası (Cyber Resilience Act - CRA), AB'de satılan dijital ağ öğelerine sahip tüm ürünlerin siber güvenliğini artırmaya odaklanan, yeni bir Avrupa Birliği düzenlemesidir.
Bağlı cihazlar ve yazılımlar için AB çapında ilk siber güvenlik gereksinimlerini belirliyor. AB'nin kritik sektörlerindeki siber güvenliği güçlendirmek için tasarlanan NIS2 gibi diğer mevzuatları tamamlarken, mevcut mevzuatları uyumlu hale getirmek.
Ana hedef, tüketicileri ve işletmeleri yetersiz siber güvenliğe sahip ürünlerden korumaktır. Birbirine bağlı cihazlar satın alırken, tehditlere karşı korunmaya yardımcı olacak bir standardı karşıladıkları konusunda daha büyük bir güvence oluyor.
Siber Dirençlilik Yasasının ana hedefleri neler?
CRA'nın ana amacı, dijital öğelere sahip tüm ürünlerin tasarım sayesinde güvenli ilkelerine uygun olmasını sağlamaktır, ancak tek amacı bu değildir.
Bu, tasarım aşamasının en başından başlar ve kullanım ömürleri boyunca devam eder. AB düzenleyicileri, satılan her bağlı cihazın müşterileri artan siber güvenlik riskine maruz bırakmamasını güvenceye alarak müşterileri korumak istiyor.
İkinci bir hedef, güvenlik ve bağlı cihazlar söz konus olduğunda şeffaflığı artırmaktır. Üreticilerin aşağıdakiler gibi belirli bilgileri sağlaması gerekiyor:
- Güvenlik güncellemelerini ne kadar süreyle sağlayacaklar
- Ürün nasıl güvenli bir şekilde kurulacak ve bakımı yapılacak ve
- Güvenlik açıklarını nasıl tanımlayacakları, işleyecekleri ve rapor edecekleri; hem kullanıcılara hem de ilgili makamlara.
Siber Dirençlilik Yasası kimler ve neler için geçerli?
Siber Dirençlilik Yasasının geniş bir kapsamı var. Bağlı bir cihaz üreten ya da satan herkes açıkça kapsam dahilinde olsa da tedarik zincirinin dikkate alınması gereken çok daha fazla bölümü var.
"Dijital öğelerin ürünlerin" Tanımlanması
Siber Dirençlilik Yasası, dijital unsurlara sahip bir ürünü, "yazılım ya da donanım ürünü ve ayrı olarak piyasaya sürülen yazılım ya da donanım bileşenleri dahil olmak üzere uzaktan veri işleme çözümleri" olarak tanımlıyor.
Uzaktan veri işlemenin de "yokluğu, dijital öğelere sahip ürünün işlevlerinden birini yerine getirmesini engeller" şeklinde bir tanımı var.
Örneğin bir ağ kamerası Siber Dirençlilik Yasası kapsamına girer. Nihai donanımın ve/veya yazılımın tamamı bu standartları karşılamalıdır. Ancak bu, cihazı ve kullanımını oluşturan tüm işletim sistemleri, üçüncü taraf kütüphaneleri ve diğer her şey için de geçerlidir.
Üreticilerin, ithalatçıların ve distribütörlerin rolleri
Siber Dirençlilik Yasasının geniş kapsamı, büyük ölçüde ortak sorumluluk anlamına geliyor. Üreticiler, ürünlerinin ilgili her parçasının, diğer tüm yönetmeliklerde olduğu gibi siber güvenlik standartlarını da karşıladığından emin olmalıdır.
Buna karşılık ithalatçılar ve distribütörler de üreticilerden aynı şeye ihtiyaç duyar. Ekosistem, CRA gereksinimlerini karşılamak için tedarik zinciri boyunca koordinasyona ve işbirliğine bağlıdır.
Siber Dirençlilik Yasasıyla ilgili önemli muafiyetler
Siber Dirençlilik Yasasında, özellikle ticari olmayan açık kaynaklı yazılımlar ve tıbbi cihazlar gibi bazı muafiyetler sağlanıyor. Bununla birlikte burada başka siber güvenlik düzenlemeleri geçerlidir. Üreticilere yönelik olarak, ürünlerine ücretsiz açık kaynak yazılımı entegre etmeleri durumunda, gereken özeni göstermeleriyle ilgili gereksinimler bulunuyor.
Video gözetim endüstrisinin kilit gereksinimleri neler?
Video gözetim endüstrisi, siber güvenlik standartlarını karşılayan ürünler sunmakla yükümlüdür. Bu yalnızca uygun şekilde emniyete alınmaması durumunda risk oluşturabilecek, bağlı donanımlar sunmakla kalmaz. Aynı zamanda güvende tutulması gereken verileri de kaydeder.
Bir siber güvenlik risk değerlendirmesi yapın
Her ürün için bir siber güvenlik risk değerlendirmesi gereklidir. Bu değerlendirmenin sonucu daha sonra planlama ve tasarımdan bakıma kadar ürünün yaşam döngüsü boyunca dikkate alınır.
Risk değerlendirmesinin dokümantasyonu yapılmalı ve güncellenmeli ve geçerli olduğunda Siber Dirençlilik Yasasının gerekliliklerine başvurulmalıdır. Üreticilerden, ürünlerinin ilgili tüm siber güvenlik yönlerinin dokümantasyonunu yapması ve keşfettikleri ya da bildikleri tüm güvenlik açıklarını kaydetmesi beklenir.
Güvenli ürün tasarımını ve geliştirmeyi güvenceye alın
Bağlı cihazların en başından itibaren entegre siber güvenlikle tasarlanması ve geliştirilmesi gerekir. Bu, tasarım ve varsayılan olarak güvenlik oluşturur. AB, pazarlarında satılan ürünlerin karmaşık kurulum ve konfigürasyon gerektirmek yerine "satışa hazır" ve güvenli olmasını istiyor. Ayrıca, amacına uygun şekilde kullanıldığında güvenli olmalarını da gerektirir.
Tasarım yoluyla gerçek güven, temelde bir donanım güven köküne (HRoT) ve altta yatan işletim sistemine dayanır. Bu işletim sistemi, cihazda çalışan yazılımdır.
Sisteme entegre çip (SoC) üzerinde güvenli önyükleme ve güvenli anahtar depolama için güvenli eleman kullanımı gibi donanım destekli güvenlik, temel korumayı sağlar. İşletim sistemi, müşteriye güvenlik özellikleri sunmak için bu temele dayanır ve bunun üzerine kuruludur.
Bu temel donanım korumaları sıkça güvenilir bir bileşen tedarikçileri ve yarı iletken ortakları ekosistemi tarafından sağlanır.
Etkin olarak istismar edilen açıkları ve olayları rapor edin
Güvenlik açıklarının ve güvenlikle ilgili olayların bildirilmesi için kesin teslim tarihler vardır. Farkına varıldıktan sonra 24 saat içinde erken uyarı verilmesi ve 72 saat içinde tam bildirimin yapılması gerekir.
Suistimal edilen güvenlik açıkları için düzeltici önlem alındıktan sonraki 14 gün içinde ve ciddi olaylar için bir ay içinde nihai rapor sunulmalıdır. Raporlama platformu, raporlama yükümlülüklerinin yürürlüğe girdiği 11 Eylül 2026 tarihine kadar kullanıma sunulacak.
Ürünün ömrü için güvenlik güncellemelerinin sağlanması
Güvenlik güncellemeleri, ürünün kullanım ömrü boyunca mevcut olmalı ve varsayılan bir davranış olarak yerleşik olmalıdır. Tıpkı bir dizüstü bilgisayarın ya da akıllı telefonun işletim sistemi gibi, bağlı herhangi bir cihazın dijital bileşenleri de nispeten kolay bir şekilde güncellenmelidir.
Düzenleme, güvenlik güncellemeleri için en az beş yıllık bir destek süresi emrediyor (bazı istisnalarla).
Net teknik dokümantasyon ve kullanıcı talimatları oluşturun
Çoğu üretici bir tür teknik dokümantasyon sağlar. Ancak artık bu yasal olarak zorunludur ve kurallara uyulduğunun kanıtının bir parçasıdır. Teknik dokümantasyon, siber güvenlik risk değerlendirmesinin ayrıntılarını ve daha fazlasını içermelidir.
Kullanıcı talimatı gereksinimleri, üreticinin iletişim bilgilerini, sağlanan siber güvenlik desteğinin ayrıntılarını ve güvenlik güncellemelerinin nasıl kurulabileceğini içerir. Bunlar "canlı dokümanlar" olmalı ve gerektiğinde güncellenmelidir.
Axis, Siber Dirençlilik Yasasının gereksinimlerini nasıl karşılıyor?
Axis, CRA'nın temel gereksinimlerine iyi hazırlandı ve bunların ötesine geçmeyi hedefliyor. Distribütörlerin ve son kullanıcıların ürünlerin uyumlu olduğunu bilmelerini sağlamak için FIPS ve Common Criteria sertifikalı EdgeLock® güvenlik öğeleri sağlayan NXP Semiconductors gibi ortaklarla yakın işbirliği önemlidir:
- Axis Güvenlik Geliştirme Modeli (SDM), ilk tehdit modellemesi ve sürüm öncesi penetrasyon testinden sürekli güvenlik açıkları yönetimine ve sürüm sonrası bir hata ödülü programına kadar yazılım yaşam döngüsü boyunca güvenliği içerir. Bu, yazılım güvenliğine proaktif ve devamlı bir yaklaşım güvenceye alıyor.
- NXP'le yapılan işbirliği, donanım tabanlı güvenlik özelliklerinin entegrasyonunu destekliyor. Buna güvenilir ve sertifikalı EdgeLock güvenli öğelerinin kullanımı dahil. Axis cihazlarında bir donanım güven kökü oluşturmaya yardımcı olmak ve güvenlikle ilgili konuların en erken tasarım aşamalarından itibaren ele alınmasını sağlamak.
- Axis, güvenlik açıkları için CVE ID'leri verebilen bir CNA ya da CVE numaralandırma yetkilisidir. Bunu CVE web sitesi, kendi web sitesi ve abonelerin e-posta adresi üzerinden yaparak tüm kullanıcıların risklere karşı mümkün olan en kısa sürede uyarılmasını garanti eder.
- Axis cihaz yönetim yazılımı, güvenlik güncelleme bildirimleri ve gerekiyorsa yüzlerce cihazda AXIS OS'nin otomatik ya da manuel olarak yükseltilmesine izin verme olanağı sağlar. Yazılım desteğinin sona erdiği tarihler şu anda hazır.
- SBOM'lar çoğu AXIS OS tabanlı ürün, ağ video kaydedici ve çoğu Axis video ve cihaz yönetim yazılımı için mevcuttur.
- Daha fazla ayrıntı için lütfen Axis Communications'un AB Siber Dirençlilik Yasası Beyanını okuyun.
Siber Dirençlilik Yasasının zaman çizelgesi nasıl?
Siber Dirençlilik Yasasının tam uygulanması 11 Aralık 2027'de başlayacak. Bundan sonra AB pazarındaki tüm donanım ve yazılım ürünleri tam uyumlu olmak ve CE işaretini taşımak zorunda. Şu anda geliştirilmekte olan ürünler için erken hazırlık kritik öneme sahip.
Bununla birlikte not edilmesi gereken önemli tarihler var. 11 Haziran 2026 tarihinde, uygunluk değerlendirme kuruluşlarının bilgilendirilmesine ilişkin çerçeve yürürlüğe girecek. Bu, "önemli" ya da "kritik" kategorisine giren ve üçüncü taraf değerlendirmesi gerektiren ürünler için önemli.
Raporlama yükümlülüklerinin geçerli olduğu 11 Eylül 2026 tarihi daha yaygın olarak geçerli. Üreticiler bu günden sonra etkin olarak istismar edilen güvenlik açıklarını rapor etmeye başlamak zorunda.
CRA, yürürlüğe girmeden önce tasarlanmış ve geliştirilmiş olsalar bile, yasanın yürürlüğe girmesinden sonra piyasaya sürülen tüm ürünler için geçerli olacak.
Uymamanın cezaları nelerdir?
Uygun olmayan ürünlere yönelik cezaları ağır ve her büyüklükteki işletmeleri uyum sağlamaya teşvik etmek için tasarlandı. 15 milyon €'ya ya da önceki mali yılın dünya genelindeki toplam yıllık cirosunun %2,5'ine varan para cezaları - hangisi daha yüksekse - mümkün olan en büyük para cezası olacak.
Bu, temel siber güvenlik gereksinimlerine uyulmaması durumu için saklıdır. Güvenlik açıklarının ele alınmaması ya da bir talebe yanıt olarak eksik ya da yanlış bilgilerin verilmesi gibi ihlaller için daha küçük, ancak yine de kayda değer para cezaları uygulanacak.
Siber Dirençlilik Yasasıyla uyumluluk isteğe bağlı değildir
Ürünlerinin güvenli olduğundan emin olmak için sıkı çalışan üreticiler için bile, CRA bunu düzenleyicilere, müşterilerine ve distribütörlerine nasıl dokümante edecekleri ve kanıtlayacakları konusunda katı kurallar getiriyor.
Yeni kurallar, bir ürün yaratırken yapılan her seçime entegre edilmiş tasarıma dayalı güvenlik ihtiyacını güçlendiriyor. Bu, uzun vadeli güvenlik hazırlığının, dağıtımdan yıllar önce yapılan tasarım seçimlerine bağlı olduğu anlamına gelir - bir eklenti veya yama olamaz.
Ayrıca erişim ve güven konusu da var. Tedarik zincirinin farklı bölümlerine dayanan yönetmeliklere uyum sağlandığında, işletmelerin birbirlerini korumak için bu yönetmeliklere uyması gerektiği açık. Ayrıca, müşterilerin temiz bir geçmişe sahip tedarikçilere ve üreticilere güvenme olasılığı daha yüksek olacaktır.
Bu, uzun vadeli siber güvenlik hazırlığını desteklemek için bileşen tedarikçilerinden cihaz üreticilerine kadar değer zinciri boyunca yakın işbirliğinin önemini vurgulamaktadır.
NXP Semiconductors ve Axis Communications arasındaki yakın işbirliğine gelince, CRA hakkında derinlemesine bir teknik tartışma için yeni yayınlanan podcast'i dinleyin.