24 Saatlik Erken Uyarı
Aktif olarak istismar edilen zafiyetler, tespit edildikten sonra 24 saat içinde ENISA Single Reporting Platform üzerinden bildirilmelidir. Manuel yönetilebilir bir süreç değildir.
CRA-native IoT güvenlik platformu
CRA uyumluluğunu tek SDK'da birleştiren IoT güvenlik platformu.
Çipten buluta uçtan uca koruma. Dinamik SBOM, aktif istismar tespiti ve ENISA SRP'ye 24 saatlik otomatik bildirim — düşük ayak izli tek bir kütüphane.
$141,8B
Küresel IoT güvenlik pazarı, 2030
15 Mrd+
AB'deki bağlı cihaz sayısı
24 saat
Madde 14 bildirim süresi
integration.ts
1import { TegmenSoft } from "@tegmensoft/sdk"
2
3const client = new TegmenSoft({
4 deviceId: process.env.DEVICE_PUF_ID,
5 region: "eu-central-1"
6})
7
8// SBOM scan — SPDX 2.3 generation
9await client.sbom.scan()
10
11// Active vuln → ENISA SRP < 24h report
12await client.report.submit()
13
14// Signed firmware deploy — Ed25519
15await client.ota.deploy(patch)
🏛️ Teknopol İstanbulENISA SRP·BildirimSPDX 2.3·SBOMCycloneDX 1.7·SBOMEN 18031·StandartCE Marking·PazarEUCC·Sertifika
Cyber Resilience Act
Avrupa, IoT için yeni bir yasal eşik tanımladı.
CRA, dijital unsurlu ürünler için AB'nin ilk yatay siber güvenlik regülasyonu. Tasarımdan satış sonrası yaşam döngüsüne kadar tüm üreticileri kapsıyor — ve Eylül 2026'da operasyonel olarak başlıyor.
Uyumsuzluk Bedeli
€15M
veya küresel cironun %2,5'i
CE işaretinin iptali ve AB pazar erişiminin tamamen kaybedilmesi anlamına gelir.
Dinamik Bileşen Şeffaflığı
Üreticiler, üründeki tüm açık kaynak ve ticari bileşenleri (SPDX / CycloneDX) anlık takip etmek ve VEX raporlarıyla istismar edilebilirliği bildirmek zorundadır.
Kriptografik Denetim İzi
Olay kayıtları ve denetim logları, ürünün yaşam döngüsü boyunca (en az 10 yıl) kriptografik olarak imzalanmış şekilde saklanmalıdır.
Harmonize standartlar, risk sınıflandırması ve detaylı teknik gereksinimler →
CRA KılavuzuPlatform
Teşhis → Tespit → Aksiyon → Dağıtım
Rakipler bu döngüyü siloladı. TegmenSoft tüm aşamayı tek bir SDK içinde tamamlar.
TEŞHİSQ3 2026
Dinamik SBOM Motoru
Software Bill of Materials & CVE Eşleştirme
Cihazda çalışan tüm yazılım bileşenlerinin (open-source ve ticari) anlık envanterini çıkarır; bunları NVD ve MITRE CVE veritabanlarıyla otomatik olarak eşleştirir. SBOM'u SPDX ve CycloneDX formatlarında imzalı şekilde üretir.
- Otomatik bağımlılık keşfi (binary + manifest tabanlı)
- SPDX 2.3 ve CycloneDX 1.7 üretimi
- NVD, OSV, MITRE CVE eşleştirme
- VEX (Vulnerability Exploitability eXchange) çıktısı
TESPİTQ3 2026
Telemetri & Aktif İstismar Tespiti
Madde 14 Tetikleyici Mekanizması
Sadece teorik açıkları değil, sahadaki cihazlardan akan loglar ve alarmlar üzerinden aktif istismar (in-the-wild exploitation) durumlarını tespit eder. CRA Madde 14'ün 24 saatlik raporlama zorunluluğunu tetikleyen erken uyarı katmanıdır.
- mTLS üzerinden cihaz-bulut log akışı
- Davranışsal anomali ve IoC korelasyonu
- Zafiyet × telemetri eşleştirme
- Olay ciddiyet puanlama (severity scoring)
AKSİYONQ3 2026
ENISA SRP Otomatik Raporlama
< 24 Saat Yasal Bildirim Otomasyonu
Tespit edilen zafiyeti otomatik olarak ENISA Single Reporting Platform (SRP) formatına dönüştürür; etkilenen üye devletleri, ürün serilerini ve hafifletme adımlarını içeren erken uyarı, 72 saatlik tam bildirim ve 14 günlük nihai rapor taslaklarını hazırlar.
- ENISA SRP şemasıyla uyumlu çıktı
- 24 saat / 72 saat / 14 gün otomatik takvim
- Etkilenen pazar ve cihaz havuzu otomatik haritalama
- İmzalı denetim izi (audit trail)
DAĞITIMAktif
Güvenli OTA Dağıtımı
İmzalı Firmware, Bricking Koruması
Kriptografik imza doğrulamalı (Ed25519 / RSA-PSS) güvenli firmware dağıtımı, A/B partition geri-alma ve bricking korumasıyla zafiyet yamasını filo geneline saatler içinde dağıtır.
- Kriptografik imza doğrulama (Ed25519 / RSA-PSS)
- A/B partition geri-alma (rollback)
- Aşamalı (canary) dağıtım ve filo segmentasyonu
- Düşük bant genişliği için delta güncellemeler
Mimari
Chip-to-Cloud üç katmanlı güvenlik
Donanım kimliğinden bulut raporlamasına kadar tek bir kontrol düzlemi. Her katman, üst katmanın güvenebileceği kriptografik bir taban olarak inşa edildi.
Katman 01
Cihaz Güvenliği
MCU / Embedded Linux
Root of Trust ve donanım kimliği seviyesinde başlayan, tüm üst katmanların güvendiği temel kriptografik kimlik.
▸
Secure Boot — İmzalı bootloader zinciri
▸
Root of Trust — Donanıma kök salmış kimlik
▸
TLS 1.3 / AES-256 — Uçtan uca şifreli kanal
▸
SDK Agent — Telemetri, OTA, log yönetimi
Katman 02
SDK & Orkestrasyon
Çipten Buluta Kontrol Düzlemi
PKI/CA, SBOM motoru ve OTA sunucusunun bulunduğu orta katman. CI/CD hatlarına düşük ayak izli kütüphane olarak entegre olur.
▸
PKI / CA — Sertifika ve anahtar rotasyonu
▸
SBOM Engine — SPDX, CycloneDX, VEX üretimi
▸
OTA Sunucu — İmzalı firmware dağıtımı
▸
Olay Korelasyonu — IoC ve davranışsal analiz
Katman 03
Veri & Analitik
Multi-tenant Bulut
Çok kiracılı bulut katmanı; her üreticinin filosu, kendi denetim izi ve raporları RLS güvencesiyle izole edilir.
▸
SQL Server + RLS — Satır seviyesinde izolasyon
▸
ENISA SRP Köprüsü — Otomatik bildirim taslakları
▸
10 Yıllık Arşiv — İmzalı denetim logları
▸
Compliance Dashboard — Filo bazında uyum durumu
Takvim
CRA yürürlük süreci ve kritik eşikler
Cyber Resilience Act'in resmi takvimi ve her aşamanın üreticiler için anlamı.
10 Aralık 2024
Yürürlüğe Giriş
Cyber Resilience Act (Regulation (EU) 2024/2847) AB Resmi Gazetesi'nde yayımlanarak yürürlüğe girdi.
Ocak 2025
Standardizasyon Talebi
Avrupa Komisyonu, harmonize standartların geliştirilmesi için CEN-CENELEC'e resmi talepte bulundu.
11 Eylül 2026
Raporlama Yükümlülüğü Başlıyor
Aktif olarak istismar edilen zafiyetler için 24 saatlik ENISA SRP bildirim zorunluluğu yasal olarak başlar.
Kasım 2026
Harmonize Standartlar
EN 18031 ailesi ve diğer harmonize standartlar yayımlanır; üreticiler için uyumluluk yolu netleşir.
11 Aralık 2027
Tam Uyumluluk
Dijital unsurlu tüm ürünler için CRA gereklilikleri ve CE işareti şartı tam olarak zorunlu hale gelir.
Kırılma Noktası: 11.09.2026 itibarıyla aktif zafiyetlerin 24 saat içinde ENISA SRP'a raporlanması yasal bir önkoşul. Manuel süreçler bu eşiğe yetişmez — otomasyon zorunludur.
Risk Sınıflandırması
Her risk sınıfı için aynı SDK, farklı denetim derinliği
CRA, ürünleri dört risk sınıfına ayırır. Denetim ağırlığı değişse de SBOM, zafiyet raporlama ve güvenli OTA tüm sınıflar için ortak teknik gereksinimdir.
DEFAULT
Varsayılan
Örnek
Akıllı ev cihazları, tüketici tipi IoT, akıllı oyuncaklar
Denetim
Öz değerlendirme (Module A) yeterli
IMPORTANT
Önemli — Sınıf I
Örnek
Kimlik doğrulama sistemleri, VPN'ler, ağ yönetim araçları
Denetim
Onaylanmış Kuruluş (Notified Body) katılımı gerekebilir
IMPORTANT
Önemli — Sınıf II
Örnek
Endüstriyel güvenlik duvarları, işletim sistemleri, mikroişlemciler
Denetim
Üçüncü taraf denetimi (Type Examination) zorunlu
CRITICAL
Kritik
Örnek
Akıllı sayaçlar, HSM modülleri, akıllı kartlar, sağlık donanımı
Denetim
EUCC kapsamında tam yetkili denetim
Neden TegmenSoft
Global rakiplerden teknik ayrışma noktaları
Regülasyon gişesini inşa ediyoruz — araç değil, herkesin geçmek zorunda olduğu altyapıyı.
Avantaj
Rakip Yaklaşımı
TegmenSoft Farkı
01
01 · End-to-End vs. Siloed
Bütüncül CRA Çözümü
End-to-End vs. Siloed
Rakip Yaklaşımı
Global rakiplerin çoğu sadece SBOM taraması (Keyfactor, Snyk) veya sadece OTA yönetimi sunar.
TegmenSoft Farkı
Teşhis (SBOM), Tespit (Telemetry), Raporlama (Madde 14) ve Çözüm (OTA) katmanlarını tek bir SDK içinde birleştirir; remediation döngüsünü tamamlar.
02
02 · Market Accessibility
Ölçeklenebilir Lisanslama
Market Accessibility
Rakip Yaklaşımı
Mevcut enterprise çözümler yüksek giriş maliyeti ve aylar süren entegrasyon gerektirir.
TegmenSoft Farkı
Multi-tenant SaaS mimarisi sayesinde cihaz başına (per-device) lisanslama sunar; orta ölçekli IoT üreticileri için maliyet ve hız avantajı sağlar.
03
03 · Hardware-Agnostic & Low-Footprint
Donanım Bağımsız, Düşük Ayak İzi
Hardware-Agnostic & Low-Footprint
Rakip Yaklaşımı
Mevcut çözümler genelde Linux odaklıdır; gömülü MCU sınıfında çalışmaz.
TegmenSoft Farkı
ESP32, ARM Cortex-M ve gömülü Linux dahil olmak üzere geniş yelpazede minimum CPU/RAM tüketimiyle çalışır. Mevcut donanım tasarımını değiştirmeye gerek yoktur.
04
04 · ENISA SRP & CRA Native
Regülasyon Derinliği
ENISA SRP & CRA Native
Rakip Yaklaşımı
Jenerik siber güvenlik araçları regülasyon-uyumluluğu sonradan eklenmiş bir özellik olarak sunar.
TegmenSoft Farkı
Doğrudan CRA Madde 14, ENISA SRP ve EN 18031 standartları üzerine inşa edilmiştir; uyumluluk otomasyonu çekirdek üründür.
Ekip
Regülasyon baskısını teknik mimariyle karşılayan kadro
IoT, kriptografi, ölçeklenebilir bulut ve regülasyon stratejisinde sektörel tecrübeyi tek çatı altında topluyoruz.
BÖ
Burak Öztürk
Kurucu Ortak & CEO
Teknopol İstanbul merkezli. AB pazar stratejisi, iş geliştirme ve regülatif ilişkiler. 8+ yıl IoT sektör deneyimi. Avrupa'daki üretici ağı ve pazar dinamiklerine hakim.
MG
Mehmet Gümüş
Kurucu Ortak & CTO
Kriptografik protokol tasarımı, chip-to-cloud SDK mimarisi, gömülü güvenlik. Kaynak kısıtlı sistemlerde güvenli yazılım güncelleme ve telemetri altyapısı geliştirme.
SB
Sevilay Bayuk
Kurucu Ortak & CFO
Kurumsal ölçeklendirme, büyüme stratejisi ve finansal mimari.
Sık Sorulanlar
Üreticilerden gelen en yaygın sorular
Bir CISO veya donanım ekibi liderindenseniz, ilk değerlendirmenizde ihtiyaç duyacağınız teknik ve operasyonel cevaplar.
Avrupa pazarına dijital unsurlu (IoT, gömülü, ağ bağlantılı) ürün satan donanım ve yazılım üreticileri için tasarlandı. Akıllı sayaç, beyaz eşya, endüstriyel ekipman, ağ cihazı ve sağlık donanımı üreticileri öncelikli kullanıcı profilimizdir.
Tegmensoft SDK, build adımına eklenen düşük ayak izli bir kütüphane olarak çalışır. SBOM üretimi build-time'da, telemetri ve raporlama ise runtime'da yapılır. Jenkins, GitLab CI, GitHub Actions ve Azure DevOps hatlarıyla doğrudan uyumludur.
ESP32, STM32, NXP i.MX, Raspberry Pi ve genel olarak gömülü Linux çalıştıran tüm platformlar desteklenir. MCU sınıfı için minimum 256 KB Flash / 64 KB RAM ayak izi hedeflenmiştir.
Evet. CRA, sahada çalışan ürünleri de kapsadığı için tegmensoft-ota modülümüz üzerinden imzalı bir SDK güncellemesiyle mevcut filoya geriye dönük (retrofit) entegrasyon sağlanabilir.
Üretici tercihine göre AB içinde (Frankfurt / Amsterdam) veya Türkiye (İstanbul) bölgelerinde tutulur. Multi-tenant mimari, satır seviyesinde güvenlik (Row-Level Security) ile her müşterinin verisini izole eder.
Eylül 2026 — Kırılma Noktası
Pilot üretici programımıza katılın ve CRA günü bizimle hazır olun.
İlk pilot üreticilerimize cihaz başına lisanslamada ayrıcalıklı koşullar, özel entegrasyon ekibi ve uyumluluk belgeleri sağlıyoruz. 30 dakikalık teknik bir tanışma toplantısı planlayalım.
CRA Madde 14 başlangıcı
11 Eylül 2026
—GÜN
——SAAT
——DK
——SN
Erken dönem pilot kontenjanı sınırlıdır. Almanya, Hollanda ve İskandinav pazarlarına ihracat yapan üreticiler önceliklidir.