Avrupa Parlamentosu’nda 12 Mart 2024 tarihinde Siber Dayanıklılık Yasası (CRA veya Kanun) kabul edilmiştir. Kanun’un yürürlüğe girmesi için Avrupa Konseyi tarafından resmen kabul edilmesi gerekmektedir.
1- Siber Dayanıklılık Yasası’nın Amacı Nedir?
Siber Dayanıklılık Yasası, dijital özelliklere sahip ürünlerin kullanımının güvenli olmasını, güvenlik özellikleri hakkında yeterli bilgi verilmesi ve siber tehditlere karşı dayanıklı olmasını sağlamayı amaçlamaktadır.
Böylece, tüketiciler ve kullanıcılar dijital unsurlar içeren bir ürünü seçerken daha fazla bilgiden ve ürünün kullanımıyla ilgili daha net talimatlardan faydalanacaktır. Daha az güvenlik riski ve güvenlik açığı olayının meydana gelmesinin bir sonucu olarak, tüketiciler ve vatandaşlar nezdinde gizliliğin korunması sağlanacaktır.
2- Siber Dayanıklılık Yasası’nın Kapsamı Nedir?
Kanun temel olarak, nesnelerin interneti (“IoT”) gibi dijital bileşenlere sahip ürünlerin tüm tedarik zinciri ve yaşam döngüleri boyunca güvenli olmalarını sağlayacak kuralları belirlemektedir.
CRA’nın kapsamı, piyasada bulunan, kullanım amacı veya makul olarak öngörülebilir kullanımı doğrudan veya dolaylı başka bir cihaza veya ağa bağlanabilen dijital unsurlara sahip tüm ürünlerdir. Bu ürünlerden önemli ve kritik ürünler, oluşturdukları siber güvenlik riski düzeyine göre farklı listelere alınacaktır. Bu listeler Avrupa Komisyonu tarafından önerilecek ve güncellenecektir. Avrupa Parlamentosu’ndaki müzakereler sırasında üyeler kimlik yönetim sistemleri yazılımları, şifre yöneticileri, biyometrik okuyucular, akıllı ev asistanları ve özel güvenlik kameraları gibi ürünlerin yeni kurallar kapsamına alınmasını sağlamıştır. Bununla birlikte, tıbbi cihazlar, havacılık ve otomobiller gibi hâlihazırda kendi özel düzenlemelerinde siber güvenliğe ilişkin kurallar belirlenmiş ürünler kapsam dışında bırakılmıştır.
CRA'nın yürürlüğe girdiği tarihten itibaren 36 aydan önce piyasaya sürülmüş olan dijital ürünler, bu ürünlerde önemli değişiklikler yapılmadığı sürece Kanun’a tabi değildir.
3-CRA’nın Uygulama Alanı Nedir?
CRA temel olarak Avrupa Birliği pazarında tasarlanan, geliştirilen, üretilen ve sunulan dijital ve bağlantılı ürünleri düzenler.
CRA'nın uygulama alanı sadece Avrupa Birliği ile sınırlı değildir. CRA, Avrupa Birliği dışında kurulu şirketlere de, CRA kapsamındaki ürünleri Avrupa Birliği pazarına ithal etmeleri, dağıtmaları veya sunmaları durumunda uygulanacaktır.
4 -CRA’daki Yükümlülüklere Uyulmaması Halinde Uygulanacak Yaptırımlar Nedir?
Piyasa gözetim otoriteleri CRA'da düzenlenen yükümlülüklere uymayan kuruluşlar için «operatörlerden uyumsuzluğu sona erdirmelerini ve riski ortadan kaldırmalarını, bir ürünün piyasaya sunulmasını yasaklamalarını veya kısıtlamalarını veya ürünün geri çekilmesini ya da geri çağrılmasını isteyebilecektir. Ayrıca bu otoriteler idari para cezası uygulama yetkisini de haiz olacaktır.
Operatör, Kanun tarafından belirlenen yükümlülüklere tabi olan üretici, yetkili temsilci, ithalatçı, dağıtıcı veya başka herhangi bir gerçek veya tüzel kişiyi ifade etmektedir.
CRA'da düzenlenen yükümlülüklere uymayan kuruluşlar için CRA kapsamında uygulanabilecek azami ceza miktarı 15.000.000 Euro'ya veya suçu işleyen bir teşebbüs ise dünya çapındaki toplam yıllık cirosunun %2,5'ine (hangisi daha yüksekse) kadar çıkabilmektedir.
