Avrupa Birliği “CyberAct” ve Cyber Resilience Act Çerçevesinde Ürün Siber Güvenliği ve Uyum Yükümlülükleri

“EU CyberAct” ifadesi pratikte iki farklı AB düzenlemesini işaret etmek için kullanılıyor. Birincisi 2019 tarihli AB Siber Güvenlik Yasası olarak bilinen ve ENISA’ya kalıcı bir yetki veren, ayrıca AB çapında siber güvenlik sertifikasyon çerçevesi kuran Regulation (EU) 2019/881’dir. İkincisi ise son dönemde piyasayı doğrudan etkileyen ve ürün güvenliğini “tasarımdan itibaren” zorunlu kılan European Commission kaynaklarında açıkça “Cyber Resilience Act” olarak geçen Regulation (EU) 2024/2847’dir. Blog yazısı ihtiyacının şirketler ve ürün geliştirme süreçleri açısından daha “sıcak” kısmı genellikle ikincisi olduğu için, aşağıdaki metin ağırlıklı olarak Cyber Resilience Act’e odaklanır; ancak isim benzerliği yarattığı karışıklığı gidermek üzere 2019 Cybersecurity Act’in rolünü de hukukî bağlama oturtur. Avrupa Birliği’nde siber güvenlik, yalnızca ağ ve bilgi sistemlerinin korunmasına ilişkin bir kamu düzeni meselesi olmaktan çıkarak, ürün güvenliği ve iç pazarın işleyişi bakımından da asli bir regülasyon alanına dönüşmüştür. Bu dönüşümün arkasında iki temel tespit yer alır. Birincisi, dijital bileşen içeren ürünlerin çoğu kez piyasaya hızlı sürülmesi ve güvenli güncelleme, zafiyet yönetimi, varsayılan güvenlik ayarları gibi temel güvenlik gereklerinin “opsiyonel” kabul edilmesidir. İkincisi ise, tüketicinin ve kurumsal kullanıcının satın aldığı ürünün siber güvenlik niteliği hakkında şeffaf ve karşılaştırılabilir bilgiye erişememesi nedeniyle, iç pazarda güven temelli rekabetin oluşmasının güçleşmesidir. Tam da bu noktada AB, bir yandan sertifikasyon ve kurumsal kapasiteyi güçlendiren Cybersecurity Act’i, diğer yandan ürünleri yatay biçimde bağlayan Cyber Resilience Act’i devreye alarak normatif çerçeveyi iki ayaklı bir sisteme dönüştürmüştür. Cybersecurity Act’in hukukî mantığı, siber güvenliğe ilişkin kurumsal mimariyi ve piyasa mekanizmasını sağlamlaştırmaktır. Bu düzenleme ile ENISA’nın mandası kalıcı hâle getirilmiş, ayrıca ICT ürünleri, hizmetleri ve süreçleri için AB genelinde gönüllü siber güvenlik sertifikasyon şemalarının oluşturulmasına imkân veren bir çerçeve kurulmuştur. Buradaki “gönüllülük” vurgusu kritiktir. Cybersecurity Act, tek başına her üreticiyi sertifika almaya zorlayan bir yapı kurmaktan ziyade, AB çapında ortak güvence seviyeleri ve değerlendirme metodolojileriyle, sertifikayı iç pazarın güven arttırıcı bir aracı hâline getirmeyi hedefler. Bunun sonucu, özellikle kamu alımları, kritik sektör tedarikleri ve yüksek riskli kullanım senaryolarında sertifikasyonun fiilen bir pazar standardına dönüşebilmesidir. Nitekim yakın dönemde bu düzenlemenin gözden geçirilmesine ilişkin European Parliament çalışmalarında da raporlama yükümlülüklerinin sadeleştirilmesi gibi yatay hedefler tartışılmaktadır. Cyber Resilience Act ise farklı bir eksende konumlanır ve doğrudan “ürün güvenliği” yaklaşımını benimser. AB Komisyonu’nun özetlediği şekliyle düzenleme, “dijital unsurlara sahip ürünler” için yatay siber güvenlik gerekleri getirir; bu gerekler ürünün tasarımı, geliştirilmesi, üretimi ve piyasaya arzı boyunca güvenliği merkeze alan bir uyum rejimi kurar. Bu çerçevede ürün güvenliği artık yalnızca fiziksel emniyet veya elektriksel risklerle sınırlı değildir; zafiyetlere açık yazılım bileşenleri, güvensiz varsayılan parolalar, yetersiz güncelleme mekanizmaları, zafiyet bildirim süreçlerinin yokluğu gibi unsurlar da “uygunluk” değerlendirmesinin parçası hâline gelir. CRA’nın iç pazar mantığı basittir: AB’de satılan dijital ürünler belirli asgari güvenlik seviyesini sağlamalı, aksi hâlde hem tüketici hem de tedarik zinciri sistemik risk üretmemelidir. Kapsam bakımından CRA, “products with digital elements” kavramını merkez alır. Bu kavram, donanım ve yazılımı, ayrıca yazılım bileşenleri ile bağlantılı servis etkileşimlerini içeren geniş bir alanı kapsar. Komisyonun kamuya açık anlatımında, ev içi cihazlardan bilgisayar oyunlarına ve mobil uygulamalara kadar geniş bir ürün yelpazesinin uyum rejimine tabi olabileceği özellikle vurgulanır. Bu nokta, Türkiye’de faaliyet gösteren ama AB pazarına ürün veya yazılım ihraç eden şirketler açısından da önemlidir. Zira CRA’nın etkisi yalnızca AB’de yerleşik üreticilerle sınırlı değildir; AB pazarına arz edilen ürünün üreticisi, ithalatçısı ve dağıtıcısı gibi ekonomik operatörlerin her birine, tedarik zinciri içinde belirli sorumluluklar yüklenir. Bu nedenle “AB’de şirketim yok, beni bağlamaz” yaklaşımı, fiilî tedarik ilişkileri karşısında çoğu zaman sürdürülebilir değildir. CRA’nın temel yükümlülük seti iki ana başlıkta toplanır: birincisi ürünün “güvenli tasarım ve geliştirme” gerekleri, ikincisi ise “zafiyet yönetimi ve yaşam döngüsü boyunca destek” yükümlülükleridir. Komisyonun düzenleme özetinde, üreticilerin tedarik zinciri boyunca güvenlikten sorumlu olduğu, uygunluk değerlendirmesi süreçlerinin işletileceği, ayrıca raporlama yükümlülüklerinin bulunduğu açıkça belirtilir. Bu bağlamda hukukî açıdan en kritik kırılma, güvenliğin bir “sözleşmesel iyi niyet hedefi” olmaktan çıkıp, kamu otoritesi tarafından tanımlanmış teknik ve organizasyonel gerekler setine dönüşmesidir. Böylece bir zafiyetin varlığı, yalnızca özel hukuk sorumluluğu veya ayıp tartışması değil, aynı zamanda düzenleyici uyumsuzluk ve idari yaptırım riskini de beraberinde getirebilir. Uygunluk rejiminin görünür yüzü CE işaretlemesi ve teknik dosyalama mantığıdır. CRA, ürünlerin temel siber güvenlik gereklerine uygun olduğunu göstermek üzere uygunluk değerlendirmesi ve buna bağlı işaretleme mekanizmasıyla AB’nin klasik ürün mevzuatı yaklaşımını siber güvenliğe taşır. Komisyonun politika sayfasında uygunluk değerlendirmesine tabiiyet, standardizasyonun rolü ve CE işaretlemesiyle bağlantılı süreçler detaylandırılmaktadır. Bu sistemin doğal sonucu, şirket içinde “ürün güvenliği” ekibi ile “hukuk ve uyum” ekibinin aynı masada oturmak zorunda kalmasıdır. Zira teknik gereklere uyum, sözleşmesel taahhütlerin kurulması, tedarikçi sözleşmelerinde zafiyet bildirim ve yama yükümlülüklerinin tanımlanması, açık kaynak bileşen kullanımının risk yönetimi, ürün dokümantasyonu ve kullanıcı bilgilendirmesi gibi başlıklar hem teknik hem hukukî disiplin gerektirir. CRA’nın takvimi de uyum stratejisi bakımından belirleyicidir. Düzenlemenin yürürlük ve uygulanma kademeleri farklı tarihlere yayılmıştır. Uygulama planı anlatımlarında, bazı hükümler için 18 ay, raporlama yükümlülükleri için 21 ay, tam uygulanabilirlik için 36 aylık bir geçiş mimarisi öne çıkmaktadır. Örneğin üreticilerin aktif olarak istismar edilen zafiyetleri raporlama yükümlülüğünün 11 Eylül 2026 itibarıyla başladığı, tam uygulanabilirliğin ise 11 Aralık 2027 itibarıyla devreye girdiği yönünde tarihli özetler bulunmaktadır. Bu tarihler, ürün yol haritası yapan şirketler açısından “uyum borcu”nun hangi sprint veya hangi sürümde teslim edileceğini belirleyen somut eşiklerdir. Bu sebeple CRA’yı yalnızca hukuk departmanının takip edeceği bir metin olarak görmek yanıltıcıdır; ürün yönetimi, mühendislik, tedarik, satış ve destek süreçleri aynı anda yeniden tasarlanmalıdır. Düzenlemenin pratikte en zorlayıcı taraflarından biri, zafiyet yönetimi ve raporlama yükümlülüklerinin kurumsal süreçlere gömülmesidir. Bir zafiyetin keşfi, triage edilmesi, etkisinin ölçülmesi, yamanın geliştirilmesi, dağıtımı ve kullanıcıya duyurulması, yalnızca bir “teknik hata yönetimi” değil, bir “uyum olayı” hâline gelir. Komisyonun CRA sayfasında raporlama başlığı altında üreticilerin aktif olarak istismar edilen zafiyetler ve ciddi olaylar bakımından bildirim rejimine tabi olacağı belirtilmektedir. Bu çerçevede şirketlerin, dış araştırmacılardan gelen bildirimleri yönetecek bir zafiyet açıklama politikası, SLA bazlı yama takvimi, ürün yaşam döngüsü boyunca güvenlik güncellemesi sunma taahhüdü ve tedarikçi bileşenlerinden kaynaklı riskleri yönetecek sözleşmesel düzenlemeleri kurması beklenir. CRA’nın iç pazar etkisi, sözleşmesel ilişkileri de yeniden şekillendirir. AB’deki müşteriler, kamu otoriteleri ve büyük tedarik zincirleri, CRA uyumunu bir satın alma kriteri hâline getirebilir. Bu durumda tedarik sözleşmelerinde uygunluk beyanı, zafiyet bildirim süreleri, güncelleme taahhütleri, açık kaynak bileşen envanteri ve yazılım malzeme listesi benzeri şeffaflık araçları giderek daha görünür hâle gelir. Hukukî açıdan bakıldığında, uyum gereklilikleri sözleşmeye “garanti” veya “taahhüt” olarak taşındığında, uyumsuzluk hâli özel hukuk sorumluluğunu da ağırlaştırabilir. Ayrıca siber olay sonrası yapılacak incelemelerde, şirketin CRA kapsamında öngörülen organizasyonel süreçleri gerçekten işletip işletmediği, kusur tartışmalarının merkezine yerleşebilir. Burada Cybersecurity Act ile CRA arasındaki ilişkiyi doğru kurmak gerekir. Cybersecurity Act’in sertifikasyon çerçevesi, CRA altında standardizasyon ve uygunluk değerlendirmesine yardımcı bir ekosistem oluşturur; ancak CRA, sertifikasyonun “gönüllülük” mantığını aşarak, belirli güvenlik gereklerini bağlayıcı bir pazar erişim koşulu hâline getirir. Bu nedenle şirketler açısından doğru yaklaşım, sertifikasyon rejimini bir pazarlama unsuru olarak değil, CRA uyumunun sürdürülebilirliğini kolaylaştıran bir yönetişim aracı olarak konumlandırmaktır. ENISA’nın sertifikasyon çerçevesini Regulation (EU) 2019/881 temelinde tarif ettiği sayfalar, bu ekosistemin nasıl çalıştığını anlamak için iyi bir referanstır. Son olarak, CRA’nın “tek başına” okunması da sağlıklı değildir. AB’de siber güvenlik artık çok katmanlı bir norm setiyle yönetilmektedir. NIS2 gibi ağ ve bilgi sistemleri güvenliğine odaklanan düzenlemeler kurumların operasyonel güvenlik kapasitesini hedeflerken, CRA ürünlerin güvenliğini hedefler. Bu iki alan pratikte iç içe geçer. Örneğin bir şirket hem NIS2 kapsamında “önemli” veya “temel” bir kuruluş olarak güvenlik önlemleri almak zorunda kalabilir, hem de CRA kapsamında AB pazarına dijital ürün arz ettiği için ürün güvenliğini tasarımdan itibaren tesis etmek zorunda olabilir. Bu kesişim, uyum programlarının parçalı değil entegre tasarlanmasını gerektirir. Netice itibarıyla “EU CyberAct” başlığı altında konuşulan düzenlemeler, AB’nin siber güvenliği bir iç pazar standardına dönüştürme iradesinin ürün, tedarik zinciri ve kurumsal yönetişim düzlemlerinde somutlaştığını göstermektedir. CRA ile birlikte siber güvenlik, yazılım ekiplerinin “iyi olur” dediği bir kalite metriği olmaktan çıkarak, pazar erişiminin ve hukuken geçerli uygunluk beyanının şartı hâline gelmektedir. Cybersecurity Act ise bu dönüşümün sertifikasyon ve kurumsal kapasite ayağını güçlendirerek, güvenin ölçülebilir ve karşılaştırılabilir bir zeminde üretilmesini hedeflemektedir. Bu iki düzenleme birlikte okunduğunda, AB’nin siber riskleri yalnızca cezalandırma veya olay sonrası müdahale yaklaşımıyla değil, olayın oluşmasını baştan engellemeye çalışan ve bunu pazar mekanizmasına yerleştiren bir hukuk politikası izlediği görülür.