Avrupa Birliği Siber Dayanıklılık Yasası Yürürlüğe Girdi
Dijital bileşenlere sahip ürünlere yönelik siber güvenlik gerekliliklerini önemli ölçüde değiştiren Avrupa Birliği Siber Dayanıklılık Yasası (Yasa) 10 Aralık 2024 tarihinde yürürlüğe girdi. Bu düzenleme, dijital ürünlerin güvenliğini artırmayı amaçlamakta ve üreticiler, distribütörler ve ithalatçılar için yeni yükümlülükler getirmektedir.
Yasa, dijital elementlere sahip geniş bir ürün yelpazesini kapsıyor. Akıllı ev cihazlarından giyilebilir teknolojilere, endüstriyel kontrol sistemlerinden yazılım uygulamalarına ve donanım bileşenlerine kadar birçok ürün bu düzenlemeden etkilenecektir. Bu kapsamda, tüm ürünlerin sıkı siber güvenlik standartlarını karşılaması gerektiği vurgulanmaktadır.
Üreticilerden, en az beş yıl boyunca veya ürünün ömrü daha kısa ise ürünün ömrü boyunca güvenlik açıklarını gidermeleri ve güvenli tasarım ilkelerini ürün geliştirme süreçlerine entegre etmeleri beklenmektedir. Ayrıca, siber güvenlik önlemleriyle ilgili kapsamlı bir dokümantasyon hazırlamaları ve ciddi güvenlik açıkları ya da olayları en geç 24 saat içinde Avrupa Birliği Siber Güvenlik Ajansı’na (ENISA) bildirmeleri gerekmektedir. İthalatçılar ve distribütörler ise ürünlerin bu standartlara uygunluğunu doğrulamak, gerekli belgeleri güncel tutmak ve herhangi bir uyumsuzluk veya güvenlik açığı durumunda ilgili otoritelere bilgi vermekle yükümlüdür.
Yasa, ürünlerin temel siber güvenlik gerekliliklerini karşıladığını göstermek için bir uygunluk değerlendirme sürecinden geçmesini şart koşmaktadır. Bu süreçte, yüksek riskli ürünler için daha sıkı kurallar uygulanacak olup, uyumu göstermek adına CE işareti kullanılacaktır. Yasanın uygulanmasını denetlemekle sorumlu ulusal piyasa gözetim otoriteleri, düzenli kontroller ve taramalar gerçekleştirecektir. Uyumsuzluk durumunda ise 15 milyon Avroya kadar veya bir önceki küresel yıllık cironun %2,5’ine varan ağır para cezaları uygulanabilecektir.
Yasa’nın öngördüğü ciddi olay bildirim zorunlulukları Eylül 2026’da başlayacak olup, diğer yükümlülüklerin büyük bir kısmı Aralık 2027 itibarıyla uygulanmaya başlanacaktır. Bu süreçte, şirketlerin yasanın etkilerini değerlendirmesi, mevcut siber güvenlik önlemlerini gözden geçirerek gerekli güncellemeleri yapması, ürün dokümantasyonunu yenilemesi ve ekiplerini bu yeni gereklilikler doğrultusunda eğitmesi kritik önem taşımaktadır.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.