Siber Dayanıklılık Tüzüğü -1
AB’nin bu yeni “piyasa gözetim ve denetim tüzüğü” dijital unsurlar taşıyan yazılım ve donanım ürünlerinin ürün yaşam döngüsü boyunca sağlaması gereken siber güvenlik gereksinimlerine ilişkin bir çerçeve çizerek, bu çerçevenin uygulanması, denetlenmesi ve gözetimine ilişkin hususları içeriyor.
Avrupa Birliği (AB)’nin son yasalarından biri olan “Cyber Resilience Act (CRA)” yani Türkçe adıyla Siber Dayanıklılık Tüzüğü, taslak olarak geçtiğimiz yıl 15 Eylül 2022'de yayımlandı. 1 Aralık 2023 itibari ile de Avrupa Birliği Parlamentosu ve konsey arasında varılan siyasi anlaşma ile resmileşme yolunda ilerlemeye hızla devam ediyor. Siber Dayanıklılık Tüzüğü‘nün 2024 yılı ilk yarısında AB Resmi Gazetesi’nde yayımlanması bekleniyor. Tüzük resmi sürece göre yayımlandığı günü takip eden yirminci günde yürürlüğe girecek. Yürürlüğe girdikten sonra da 36 ay yani 3 yıllık bir geçiş sürecinin uygulanması bekleniyor.
Tüzük Avrupa Pazarında satış yapacak ürün üreticilerini/imalatçılarını, distribütörlerini ve ithalatçılarını doğrudan etkileyecek. Amerika’nın büyük yazılım firmalarından tutun da, Uzakdoğu’daki teknoloji devlerine hepsi bu yasadan etkilenecekler.
Henüz AB üyesi değiliz, esasında iç pazarımızda yasayı uyumlaştırma zorunluluğumuz yok. Ancak tüzük kapsamındaki siber güvenlik ürünleri, bilişim ürünleri ile birlikte endüstriyel Nesnelerin İnterneti cihazları (akıllı beyaz eşyalar, televizyon vb. ) kategorisindeki birçok yerli ve millî ürünü AB ülkelerine ihraç ettiğimizi göz önüne aldığımızda ciddi ciddi konuya eğilmemiz gerektiği aşikar.
Yerli ve millî firmalarımız ve ürünlerimiz de Avrupa pazarında var olmak istiyorlarsa bir an önce tüzükten beklenenleri sağlıyor muyum/nasıl sağlarım konusuna şimdiden hızlıca bir bakmaları gerekiyor.
Tüzük ne tüzüğü?
Tüzüğün adından her ne kadar siber güvenlik alanını düzenleyeceği anlaşılsa da, içeriği itibari ile tamamen bir “piyasa denetim ve gözetimi” tüzüğü.
1985 yılında Avrupa Komisyonu tarafından ortaya konan “Tek Pazar İnisiyatifi'nin ivmesi ile Avrupa pazarının hem kendi içinde hem de dış oyuncular nezdinde siber alanda güvenliğini sağlayan Avrupa Birliği Siber Güvenlik Politikaları hayata geçmeye başladı.
Bu son tüzük ile de Avrupa pazarında piyasaya sürülen, satılan, pazara dış ülkelerden giriş yapan ürünlerin “siber güvenlik” açısından güvenli olması sağlanarak tüketici korunmaya çalışılıyor.
Esasen tüzük “New Legislation Framework” adıyla bilinen ve 2008 yılında yayımlanan Avrupa Birliği düzenlemesine dayanıyor. Bu düzenleme Avrupa Birliği pazarındaki ürünler için ortak bir yasal çerçeve oluşturmakla birlikte, CE (Conformité Européenne) işaretine ilişkin ilkeler, uygunluk değerlendirme kuruluşlarının akreditasyonunun ve bildiriminin nasıl yürütüleceği ve AB pazarında satılan ürünlerin piyasa gözetimi ve denetiminin uygulanmasına yönelik bir dizi kural içeriyor. Bu nedenle tüzük, ürünlerin güvenliğine yönelik bir düzenleme olarak ifade ediliyor.
Bu mevcut düzenlemelerde ürünün güvenli olması hususu, şu dört ana amaç üzerine inşa edilmiş durumda: insan sağlığı, can ve mal güvenliği, hayvan ve bitki yaşam ve sağlığı ile çevre ve tüketicinin korunması . Bu amaçları sağlamak üzere ürünlerden beklenen asgari güvenlik koşulları yine düzenlemeler ile belirlenmiş. Siber Dayanaklılık Tüzüğü ile bu güvenlik koşullarına “siber güvenlik yükümlülükleri”nin de ekleneceğini görüyoruz.
AB ülkeleri bu yükümlülüklerin karşılandığını nasıl anlayacak? Ürünün üzerindeki “CE” işaretinden.. Avrupa pazarında yıllardır uygulanmakta olan CE işareti sertifikasyon sürecine ürünün siber güvenliğinin sağlanarak dizayn edildiği ve ürün ömrü boyunca siber güvenliğinin sağlanacağına ilişkin hususlar da eklenerek, siber güvenlik CE işaretinin bir parçası olarak resmi anlamda bir ürün özelliği haline gelecek.
Kapsamda hangi ürünler var?
Bir cihaza veya ağa doğrudan veya dolaylı mantıksal veya fiziksel veri bağlantısı içeren tüm ürünler bu tüzük kapsamındadır. Tüzüğün EK-3 (Annex III) bölümünde listelenen kategorilerdeki ürünler, dijital unsurlara sahip kritik ürünler olarak adlandırılmıştır. Bunlar için iki farklı kritiklik sınıfı tanımlanmış. Bu kritiklik seviyeleri dijital unsurlarla, üründe yer alan potansiyel siber güvenlik zafiyetlerinin etkisini dikkate alarak belirlenmiş. İkinci sınıf kritik ürünlerin risk seviyesi birinci sınıf kritik ürünlere göre daha yüksektir.
Bu kritiklik sınıflarına göre uygunluk değerlendirme süreçlerinin farklılaştığını görüyoruz.
Bu ürünler neyi sağlayacak da CE işareti alacak, uygunluk değerlendirme süreçleri nasıl olacak, beklenen siber güvenlik yükümlülükleri nelerdir kısmı bir sonraki yazımda..
