Columbia Group, AB Siber Dayanıklılık Yasası'nın (Cyber Resilience Act) pratik gerekliliklerinin Bükreş'teki CRA Europe 2026 konferansında yeniden gündeme gelmesinin ardından, siber düzenleme ile operasyonel hazırlık arasında büyüyen bir uçurumun sektördeki ilerlemeyi engellediği uyarısında bulundu.
Mart ayı başında Romanya Parlamentosu'nda düzenlenen konferansı I-ENERGYLINK ve CYBERFORT konsorsiyumu, Romanya Ulusal Siber Güvenlik Müdürlüğü'nün (DNSC) desteğiyle organize etti.
Konferans; politika yapıcılar, düzenleyiciler, denetim otoriteleri, sektör liderleri, siber güvenlik uzmanları, teknoloji sağlayıcılar ve akademisyenlerden oluşan 150'den fazla katılımcıyı bir araya getirdi. Katılımcılar, Siber Dayanıklılık Yasası'nın yasal metinden pratik uygulamaya nasıl geçirilebileceğini ele aldı.
Bu konu, etkinlik boyunca tartışmaların merkezinde yer aldı.
CRA'nın neyi hedeflediği konusunda geniş bir uzlaşı olmasına rağmen, tartışmalar asıl zorluğun bu gereklilikleri net rehberlere, uygulanabilir uyum modellerine ve pratikte kullanılabilecek sistemlere dönüştürmekte yattığını ortaya koydu. Bu durum özellikle KOBİ'ler, üreticiler, entegratörler ve kritik sektörlerdeki operatörler için geçerliydi.
Bu bağlamda, güvenlik açığı yönetimi ve güvenlik güncellemeleri konferans boyunca sürekli gündemde kalan bir tema olarak öne çıktı. Bu konular artık arka planda bırakılan teknik meseleler olmaktan çıkıp kuruluşların uyum beklentilerini karşılayıp karşılayamayacağını belirleyen merkezi unsurlar haline geldi.
Sonuç olarak şirketler, dijital ürünlerin tasarım ve geliştirmeden destek sonu sürecine kadar tüm yaşam döngüsüne güvenliğin nasıl entegre edildiğini yeniden düşünmek zorunda kalıyor.
Konferans üç stratejik eksende yapılandırıldı. İlk eksen, CRA uyum çerçevesinin oluşturulmasına odaklandı ve rolleri, sorumlulukları ve destek mekanizmalarını netleştirmek için kurumsal ve sektörel sesleri bir araya getirdi.
İkinci eksen operasyonel uygulamayı ele aldı. Bu kapsamda güvenlik açığı işleme prosedürleri, olay raporlama yükümlülükleri, CE işareti dokümantasyon gereklilikleri ve enerji, finans, denizcilik ile siber güvenlik KOBİ'leri gibi sektörlerdeki pilot kullanım örnekleri incelendi.
Son oturum ise uyumun ötesine geçerek, tasarımda güvenlik ilkelerinin, kamu-özel sektör ortaklıklarının ve uzun vadeli destek yapılarının düzenleyici yükümlülükleri nasıl pazar avantajına dönüştürebileceğini araştırdı.
Columbia Group, AB tarafından finanse edilen CYBERGUARD ve CYBERFORT projelerine katılımı aracılığıyla denizcilik sektöründen pratik görüşler sunarak konferansa katkıda bulundu.
Columbia Group İş Bilgi Güvenliği Sorumlusu Marios Ioannou, CRA'nın neyi başarmaya çalıştığı konusunda "büyük bir uyum" olduğunu belirtti. Ancak asıl zorluğun "bunu ürün ve süreç düzeyinde operasyonel hale getirmek" olduğunu ekledi.
Ioannou, "Düzenleme; güvenlik açığı bildirimi, yazılım malzeme listesi ve kullanım ömrü sonu güvenlik yükümlülükleri konusunda net beklentiler ortaya koyuyor. Bu durum kuruluşları, pazardaki rollerine bağlı olarak güvenliğin tüm geliştirme yaşam döngüsüne nasıl entegre edildiğini yeniden düşünmeye zorluyor" dedi.
Ioannou şunları ekledi: "Birçok kuruluş, özellikle küçük işletmeler için sorun düzenlemeyi bilmemek değil; bunu tutarlı bir şekilde hayata geçirecek yönetişim yapılarına ve mühendislik kapasitesine sahip olmamaktır."
Bu zorluğun büyük ölçüde güvenlik açığı yönetimi ve yaşam döngüsü güvenliğiyle ilgili olduğunu belirten Ioannou, "Süreçler basit ve uygulanabilir değilse, bu zorlaşıyor; özellikle ayak uydurmaya çalışan küçük işletmeler için" diye konuştu.
Aynı zamanda konferans daha geniş bir endişeye de dikkat çekti. Birden fazla girişim ve rehberlik çerçevesi paralel olarak gelişiyor ve bu durum parçalanma ve mükerrerlik riskini artırıyor.
Bu nedenle Bükreş'te, kuruluşlara daha net ve tutarlı uyum yolları sunulması için AB tarafından finanse edilen projeler, ulusal otoriteler ve sektör arasında daha güçlü bir iş birliğine ihtiyaç duyulduğu konusunda açık bir görüş birliği oluştu.
CRA Europe 2026'nın daha geniş önemi de burada yatıyordu. Düzenleyici tartışmanın ötesinde etkinlik, Siber Dayanıklılık Yasası gerekliliklerinin pratik yöntemlere, yapılandırılmış uyum modellerine ve eyleme dönüştürülebilir araçlara nasıl aktarılabileceğini ortaya koymayı hedefledi.
Etkinlik aynı zamanda koordineli ve sürdürülebilir bir destek ekosistemi oluşturmaya yönelik daha geniş bir Avrupa çabasını yansıttı. Bu süreçte Romanya'nın aktif bir katkıda bulunan olarak rolünü ve KOBİ odaklı siber dayanıklılık girişimleri için bölgesel bir merkez konumunu güçlendirmeyi amaçladı.
Avrupa Birliği'nin Siber Güvenlik ve Güven Programı ile Dijital Avrupa Programı kapsamında finanse edilen CYBERGUARD ve CYBERFORT projeleri, denizcilik, enerji ve finans gibi sektörlerde pratik araçlar ve pilot kullanım örnekleri geliştirerek bu yönelimi desteklemeyi amaçlıyor.
Columbia Group CEO'su Mark O'Neil, artık netleşen şeyin bunun "sadece kâğıt üzerinde bir düzenleme meselesi olmadığı", aksine "farklı sektörlerde pratikte nasıl işleyeceği" olduğunu söyledi.
O'Neil, sektörün "bu açığı kapatmada hayati bir rol üstlenmesi gerektiğini" ekledi.
O'Neil sözlerini şöyle tamamladı: "Operasyonel içgörü ve gerçek dünya deneyimini bu sohbete katarak, siber dayanıklılığın kuruluşların sadece başarması beklenen bir şey değil, gerçekten hayata geçirebileceği bir şey olmasını sağlamaya yardımcı olabiliriz."
