Avrupa Birliği çapındaki standartlara uyumu zorunlu kılarak dijital öğeler içeren ürünlerdeki siber güvenlik açıklarını ele alan Siber Dayanıklılık Yasası (CRA), 10 Aralık 2024 tarihinde yürürlüğe girecek.
Dijital unsurlar barındıran ürünlerin güvenli bir şekilde piyasaya arz edilebilmeleri için sahip olmaları gereken siber güvenlik gerekliliklerine ilişkin kuralları belirleyen (AB) 2024/2847 sayılı Siber Dayanıklılık Yasası (Cyber Resilience Act– CRA) 20 Kasım 2024 tarihinde AB Resmi Gazetesi’nde yayımlandı. CRA, AB Resmi Gazetesi’nde yayımlanmasından 20 gün sonra (10.12.2024) yürürlüğe girecek ve tam uygulama 36 ay sonra (11.12.2027) gerçekleşecek, ancak bazı hükümlerin daha erken yürürlüğe girmesi bekleniyor.
10 Aralık 2024 tarihinde yürürlüğe girecek olan CRA, yazılım ve donanım dâhil dijital unsur barındıran ürünlerin tasarımı, geliştirilmesi, üretimi ve piyasaya arz edilebilmeleri için bulundurmaları zorunlu siber güvenlik gereksinimlerini belirlemektedir. Bu yasa, Avrupa Birliği'nde sunulan dijital ürün ve hizmetlerin siber güvenliğini artırmak için tasarlanmış önemli bir mevzuattır. CRA, ‘Nesnelerin İnterneti (IoT)’ gibi dijital bileşenlere sahip ürünlerin tüm tedarik zinciri ve yaşam döngüleri boyunca güvenli olmalarını sağlayacak kuralları belirlemekte ve mevcut siber güvenlik mevzuatını tamamlamayı amaçlıyor.
Yasanın hedefleri şöyle:
- Tüm unsurları ile bütün bir siber güvenlik çerçevesi temin etmek.
- Sektörde bulunanların yeni düzene adaptasyonunu kolaylaştıran bir yaklaşım sunmak.
- Sürdürülebilir bir siber güvenlik politikası belirlemek.
- Şeffaf ve denetlenebilir mekanizmalar ihdas etmek.
- Üretimden son kullanıcıya gelene kadar her aşamanın güvenli seyretmesini temini etmek.
Yasa, doğrudan veya dolaylı olarak başka bir cihaza veya ağa bağlanabilen tüm ürünlere uygulanacaktır. Bununla birlikte, tıbbi cihazlar, havacılık, denizcilik ekipmanları ve otomobiller gibi hâlihazırda kendi özel düzenlemelerinde siber güvenliğe ilişkin kurallar belirlenmiş ürünler kapsam dışında bırakılmıştır.
CRA kimleri kapsayacak?
CRA, bir AB düzenlemesi olarak, doğrudan tüm Üye Devletlerde geçerli olacak. Avrupa Birliği'nde yerleşik, dijital bileşenli ürün ve hizmet üreticileri, yazılım üreticileri, ithalatçılar, yetkili temsilciler ve dağıtımcılar için geçerlidir.
Daha sıkı denetim getirerek AB'nin dijital ekonomisinin dayanıklılığını güçlendirmeyi amaçlayan bu tüzük işletmeler için önemli uyumluluk sonuçları doğuracak. Daha da önemlisi, yeni yürürlüğe giren birçok AB düzenlemesi gibi, bu yasanında bölge dışı bir etkisi var. AB merkezli olsun veya olmasın tüm üreticilerin, ürünlerini veya hizmetlerini Avrupa pazarına sunabilmesi için CRA gerekliliklerine uyması gerekecek.
CRA’ya uymayanlara hangi yaptırımlar uygulanacak?
CRA’ya uyumluluk gerekliliklerini karşılamaktan sorumlu olan kişiler; üreticiler, ithalatçılar, yetkili temsilciler ve dağıtımcılardır. CRA'ya uymayan işletmeler çok ciddi para cezaları alma riskiyle karşı karşıyadır.
CRA’ya uymayan işletmelerin para cezaları şu şekilde:
-Temel gerekliliklere uyulmaması halinde 15 milyon avro veya yıllık cirodan %2,5 oranında tazminat.
-Diğer ihlaller için 10 milyon avro veya yıllık cirodan %2.
-Yanıltıcı, yanlış veya eksik bilgi verenlere 5 milyon avro veya yıllık cirolarının %1'i oranında ceza kesiliyor.
İdari para cezaları ve düzeltici önlemler, operatörün büyüklüğü ve pazar etkisine orantılı olacaktır. Para cezalarına ek olarak, diğer düzeltici veya kısıtlayıcı eylemler de uygulanabilir.
Üretici, herhangi bir güvenlik açığının istismar edildiğini öğrendiği andan itibaren 24 saat içinde bunu Avrupa Birliği Siber Güvenlik Ajansı (ENISA) raporlama platformu aracılığıyla bildirmelidir.