Blog · Uyumluluk

NIS2, AB Makine Yönetmeliği, CRA:
Hangisi Sizi Kapsar?

Üç yeni AB yasası. Üç farklı hedef. Makine üretiyorsanız veya endüstriyel sektöre bileşen tedarik ediyorsanız, farkı bilmeniz — ve son tarihler gelmeden önce harekete geçmeniz — gerekiyor.

Haziran 2026 · 10 dk okuma
Uyumluluk Güvenlik
NIS2, AB Makine Yönetmeliği ve CRA — hangisi sizi kapsar

Son iki yılda Avrupa Birliği, endüstriyel tedarik zincirinin her katmanını etkileyen bir siber güvenlik mevzuatı dalgası yürürlüğe koydu. Zorluk şu: her yasa farklı bir grubu hedefliyor, farklı bir takvimde işliyor ve farklı bir yanıt gerektiriyor. Pek çok makine üreticisi ve bileşen tedarikçisi, tek bir yönetmeliğin her şeyi kapsadığını varsayıyor. Durum böyle değil. Rolünüze hangi yasanın uygulandığını — ve sorumlulukların nerede örtüştüğünü — anlamak, gerçekten geçerli bir uyumluluk stratejisi oluşturmanın ilk adımıdır.

Üç Yasa Bir Bakışta

NIS2 Direktifi AB Makine Yönetmeliği 2023/1230 Siber Dayanıklılık Yasası (CRA)
Birincil hedef Son kullanıcı operatörler OEM'ler, makine üreticileri Dijital unsur içeren ürün üreticileri
Ana odak Siber güvenlik risk yönetimi ve olay bildirimi Güvenlik, siber güvenlik ve YZ Tüm ürün yaşam döngüsünde siber güvenlik (CE işareti)
Yürürlükte 18 Ekim 2024 20 Ocak 2027 Raporlama: Q3/2026 · Tam yükümlülükler: Q4/2027

Üç yasa, tedarik zincirinin üç katmanı — kısmen örtüşen ama birbirinden farklı düzenleyici hedeflerle.

NIS2: Operatörün Sorumluluğu

NIS2 Direktifi son kullanıcı operatörleri hedef alır — fabrikalar, kamu hizmetleri, su sistemleri ve diğer kritik altyapıları işleten şirketler. Bu şirketlerin siber güvenlik risk yönetimi uygulamaları, olayları zamanında bildirmeleri ve tedarik zincirlerinin güvenlik durumunu değerlendirmeleri gerekir.

NIS2 zaten yürürlükte. Kapsam dahilindeki kuruluşlar, Ekim 2024'e kadar uyum sağlamak zorundaydı.

NIS2 kapsamındaki operatörlere tedarik yapıyorsanız bu ne anlama gelir:

Müşterileriniz, tedarik zincirindeki siber güvenlik risklerini göz önünde bulundurmak ve risk yönetimi yükümlülükleri kapsamında tedarikçilerden destekleyici güvenlik bilgileri talep etmek zorundadır. Bu demek oluyor ki sizden belge isteyecekler — güvenlik değerlendirmeleri, zafiyet bildirimi politikaları, güncelleme taahhütleri, teknik özellikler.

AB Makine Yönetmeliği 2023/1230: Makine Üreticisinin Sorumluluğu

AB Makine Yönetmeliği, 2006 tarihli Makine Direktifi'nin yerini alır ve 20 Ocak 2027'de yürürlüğe girer. CE işareti için çeşitli temel güvenlik gereksinimlerinden biri olarak siber güvenliği de kapsama alır — bir makinenin, siber güvenlik boyutları dahil ilgili dijital risklerini uygunluk değerlendirmesi kapsamında yeterince ele aldığını kanıtlaması gerekir.

Bu yönetmelik doğrudan OEM'leri ve makine üreticilerini hedef alır. Temel gereksinimler şunlardır:

  • Siber güvenlik, makinenin tasarım ve risk değerlendirme sürecinde ele alınmalıdır
  • Uzak erişim yetenekleri açıkça değerlendirilmeli ve belgelenmelidir
  • CE işareti için sunulan teknik dosya siber güvenlik kanıtlarını içermelidir
Uzak erişim içeren makineler için bu ne anlama gelir:

Makineniz tanı, bakım veya izleme amaçlı bir uzak erişim modülü içeriyorsa, bu modülün güvenlik özellikleri CE uyumluluk yükümlülüğünüzün bir parçası haline gelir. Bileşen tedarikçilerinden güvenli tasarım, güvenli iletişim protokolleri ve tanımlanmış bir destek yaşam döngüsünü gösteren belgeler almanız gerekir. SMX-RNS20 tam da bu boşluğu doldurmak için tasarlandı. Teknik belge paketimiz — risk değerlendirmesi, güvenlik mimarisi, entegrasyon kılavuzu ve Uygunluk Beyanı dahil — doğrudan CE teknik dosyanıza yerleştirilebilecek şekilde hazırlanmıştır.

Siber Dayanıklılık Yasası (CRA): Bileşen Üreticisinin Sorumluluğu

CRA, yazılım veya firmware bileşenleri dahil dijital unsur içeren ürün üreten herkes için üç yasanın en kapsamlısıdır. Ürününüz dijital unsurlar içeriyorsa (yazılım veya firmware gibi), ağa bağlı olup olmadığından bağımsız olarak CRA sizin için geçerli olabilir.

Raporlama yükümlülüklerinin 2026 yılında başlaması, tam uygulamanın ise 2027'de devreye girmesi beklenmektedir. Temel gereksinimler şunlardır:

  • Siber güvenlik tasarımdan kullanım ömrü sonuna kadar ele alınmalıdır
  • Yazılım Malzeme Listesi (SBOM) tutulmalıdır
  • Aktif olarak istismar edilen zafiyetler 24 saat içinde ENISA'ya bildirilmelidir
  • Ürünün desteklenen ömrü boyunca güvenlik güncellemeleri sağlanmalıdır
  • CRA gereksinimleri, ilgili ürün kategorileri için CE işareti çerçeveleriyle entegre edilecektir
Simplinx ve CRA

Ağa bağlı endüstriyel uzak erişim modülü olan SMX-RNS20'nin üreticisi olarak Simplinx, doğrudan CRA kapsamındadır. Ürün geliştirmeyle paralel olarak uyumluluk altyapımızı kuruyoruz:

  • SBOM: Tüm yazılım bileşenlerini ve bağımlılıklarını kapsayan derleme sistemimizden oluşturulur
  • Güvenli geliştirme süreci: IEC 62443-4-1 ilkeleriyle uyumlu dokümante edilmiş kod incelemesi, güvenlik testleri ve yama yönetimi prosedürleri
  • Zafiyet bildirimi politikası: Tanımlanmış bir yanıt kanalıyla kamuya açık politika
  • Güvenlik destek taahhüdü: Son satış tarihinden itibaren 5 yıl uzatılmış güvenlik desteği; Kritik zafiyetler 30 gün içinde giderilir
  • ENISA olay bildirimi: Q3/2026 raporlama yükümlülüğü için prosedürler tanımlandı

Üç Yasanın Bağlantısı

Üç yönetmelik bağımsız değildir — tüm endüstriyel tedarik zincirini kapsayan katmanlı bir çerçeve oluşturur:

CRA Bileşen / ürün üreticisi

Simplinx SMX-RNS20

Makine Yönetmeliği Makine üreticisi / OEM

Belgelenmiş bileşenler kullanarak CE işaretli makine üretir

NIS2 Son kullanıcı operatör

Fabrika, tesis veya kritik altyapı operatörü

Her katman, altındaki katmana bağlıdır. Bir makine üreticisi, güvenli ve belgelenmiş bileşenler olmadan CE uyumluluğunu ispatlayamaz. Bir operatör, makinenin güvenliği doğrulanmadan NIS2 tedarik zinciri özen yükümlülüğünü yerine getiremez. Bu nedenle siber güvenlik belgeleri artık B2B endüstriyel satışlarda "güzel olursa iyi" kategorisinde değil — her düzeyde bir tedarik koşulu haline geliyor.

Uzak Erişim Tedarikçinize Sormanız Gerekenler

İster 2027 Makine Yönetmeliği son tarihi için hazırlık yapan bir makine üreticisi olun, ister NIS2 tedarik zinciri gereksinimlerine yanıt veren bir operatör — önemli olan sorular şunlar:

1

Kamuya açık bir zafiyet bildirimi politikaları var mı?

2

Uygunluk Beyanı ve CE belgesi sağlayabilirler mi?

3

Tanımlanmış bir güvenlik destek süresi var mı — kritik yamalar için SLA taahhütleri neler?

4

Yazılım Malzeme Listesi (SBOM) tutuyorlar mı?

5

IEC 62443-4-2 sertifikasyonuna ya da eşdeğer bağımsız değerlendirmeye yönelik çalışmaları var mı?

6

Belgeleri doğrudan CE teknik dosyanızda referans gösterilebilir mi?

Bunlar uyumluluk onay kutuları değil. Bir tedarikçinin güvenliği uzun vadeli altyapınıza dahil edilmeye yetecek kadar ciddiye alıp almadığının göstergeleridir.

SMX-RNS20: Uyumluluk Düşünülerek Tasarlandı

SMX-RNS20 endüstriyel uzak erişim modülü, başından itibaren AB düzenleyici gereksinimleri göz önünde bulundurularak tasarlandı. Entegrasyon ortakları ve makine üreticileri için kapsamlı teknik belge paketi mevcuttur:

  • Uygunluk Beyanı (EMC 2014/30/EU · LVD 2014/35/EU)
  • Siber Güvenlik Özeti — mimari, şifreleme, erişim kontrolü
  • Risk Değerlendirmesi
  • Güvenlik yapılandırma kılavuzlu Entegrasyon Rehberi
  • Güvenlik Destek Taahhüdü
Uyumluluk belgeleri veya entegrasyon desteği hakkındaki sorularınız için security@simplinx.com adresine yazın.

Bu makale yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Düzenleyici yorumlar ve takvimler değişebilir — durumunuza özgü tavsiye için nitelikli bir hukuk uzmanına danışın.

Bloga Dön

Simplinx'in Nasıl Çalıştığını Daha Fazla Öğrenmek İster misiniz?

Mühendislik ekibimizle konuşun — platformun herhangi bir konusunda daha derine inmeye hazırız.

İletişime Geçin