Güncellenen GMP yönetmelikleri ve EU Cyber Resilience Act (CRA) laboratuvarları nasıl etkileyecek?
29 Nis 2026
Ürün
Makaleyi paylaş
Son yıllarda kritik altyapı ve şirketlere yönelik siber saldırıların sayısında ciddi bir artış yaşandığı görülmektedir. Bu gelişme siber güvenliği gündeme getirmekte ve sonuç olarak, dünya genelindeki hükümetler siber güvenliği güçlendirmeyi amaçlayan yasalar çıkarmaktadır. Bunlar arasında en öne çıkanı, Avrupa Birliği tarafından ilan edilen Cyber Resilience Act (Siber Dayanıklılık YAsası) [1]'dır. Diğer örnekler arasında ise U.S. Cyber Trust Mark veya China Cybersecurity Law [2,3] yer almaktadır.
Bu yasalar, dünya genelinde yönetmelikler ile düzenlenmiş ortamlardaki tüm laboratuvarları etkileyecek olan GMP yönetmeliklerinin de güncellenmesine yol açmış bulunmaktadır. Bu blog yazısı, Metrohm Uluslararası Genel Merkezi'nde Enterprise Services Müdürü Stefan Gohr ile yapılan bir röportaja dayanmaktadır. Makale, temel değişiklikleri sunmakta, bunların laboratuvarları nasıl etkilediğini açıklamakta, laboratuvar yöneticilerine ilk adımlar konusunda rehberlik etmekte ve Metrohm'un CRA gereksinimlerini karşılamak için nasıl hazırlandığı hakkında bilgiler vermektedir.
Doğrudan bir konuya gitmek için tıklayın:
- Cyber Resilience Act (CRA) hakkında kısa bir özet
- CRA, GMP düzenlemelerinde değişikliklere yol açıyor
- CRA ve GMP güncellemesi laboratuvarları nasıl etkileyecek?
- Laboratuvarlar uyumluluğu sağlamak ve hazırlık yapmak için neler yapabilir?
- Metrohm, Cyber Resilience Act ile uyumluluğu nasıl sağlıyor??
- Metrohm, uyumsuz sistemleri değiştirmesi gereken müşterilerine nasıl destek veriyor?
Cyber Resilience Act (CRA) hakkında kısa bir özet
Cyber Resilience Act (CRA) 2024 yılında Avrupa Birliği tarafından yayımlanmış ve aynı yılın sonbaharında onaylanmıştır. CRA'nın amacı, Avrupa pazarında satılan ürünler için güvenlik standartlarını yükselterek siber güvenliği artırmaktır.
CRA, dijital unsurlar içeren tüm ürünler için geçerlidir. Bu, yalnızca yazılımı değil, aynı zamanda diğer sistemlerle veri alışverişi yapabilen cihazları da içermektedir.
Laboratuvar cihazınız veri gönderen bir yazılım veya bulut sistemine veri iletiyorsa veya ağ kanalları aracılığıyla iletişim kuruyorsa, Cyber Resilience Act'den etkilenecek demektir.
Stefan Gohr,
Metrohm Enterprise Services Müdürü - Metrohm Uluslararası Genel Merkezi
Bu yeni yasa iki aşamada uygulanacaktır:
- Eylül 2026: Tedarikçiler, siber güvenlik açıklarını European Union Agency for Cybersecurity (ENISA)'ya bildirmeye başlamalıdır.
- Aralık 2027: CRA'ya uymayan ürünler artık AB içinde satılamayacaktır.
Özellikle bu ikinci aşama, laboratuvarlar için daha derin sonuçlar doğurabilecektir, çünkü artık yedek parça veya malzeme temin edememe durumu ile karşılması söz konusu olacaktır.
CRA, GMP düzenlemelerinde değişikliklere yol açıyor
CRA kapsamında, tedarikçilerin güvenlik açığı yönetimi süreçleri uygulamaları gerekmektedir. Söz konusu süreçler, ürünlere düzenli güvenlik güncellemeleri yapılmasını ve güvenlik açıkları tespit edilirse bunların derhal kapatılmasını içermektedir.
Bu durum, yönetmelikler ile düzenlenmiş ortamlarda uzun süredir kabul görmüş bir yöntem olan sistemlerin yalnızca gerektiğinde güncellenmesi uygulamasıyla çelişmektedir. Öte yandan, söz konusu ortamlara sahip şirketler kritik mallar ürettiğinden, yönetmelikler ile düzenlenmiş ortamlarda siber güvenliğin ihmal edilmesi de söz konusu olamamaktadır.
Bir sistem ancak güvenlik açıklarını kesintisiz olarak kapatarak güvenlik seviyesini artırdığınızda güvenli olabilmektedir. Bu durum, devamlılığa sahip bir süreç demektir. Bu yeni farkındalık, Ek 11 «Computerized Systems» bölümünün revize edilmiş versiyonuna yansıtılmıştır.
Stefan Gohr,
Enterprise Services Müdürü - Metrohm Uluslararası Genel Merkezi
Bu nedenlerle GMP komitesi, Chapter 4 «Documentation» and Annex 11 «Computerised Systems» [4] içeriğini güncellemiş bulunmaktadır. Söz konusu güncellemeler hakkındaki istişareler Temmuz-Ekim 2025 tarihleri arasında gerçekleştirilmiş olup, revize edilmiş kılavuzların 2026 yılı içinde yürürlüğe girmesi beklenmektedir.
CRA ve GMP güncellemesi laboratuvarları nasıl etkileyecek?
CRA ve güncellenmiş GMP yönergeleri, doğrulama süreçlerini etkileyecek ve mevcut ekipmanların değiştirilmesini gerektirebilecektir.
Basitçe anlatmak gerekirse, eski GMP yönergeleri şöyle diyordu: «Bir sistem oluşturun, doğrulayın ve sonra bir daha asla dokunmayın». Bu metodoloji CRA ile çelişiyordu ve GMP komitesi artık CRA'nın yeni standartlarını takip etmeye karar verdi.
Stefan Gohr,
Metrohm Enterprise Services Müdürü - Metrohm Uluslararası Genel Merkezi
Öncelikle, daha sık yazılım ve güvenlik güncellemelerinin sistemin daha sık yeniden doğrulanmasına yol açabileceği değendirilmelidir. Laboratuvarlar, yalnızca işletim sistemini (örneğin Windows) değil, aynı zamanda kritik laboratuvar yazılımlarını da kapsayan güvenlik yamaları ve sistem güncellemelerinin uygulanmasına yönelik stratejiler geliştirmek zorunda kalacaklardır. Revize edilmiş GMP yönergelerine göre, yönetmelikler ile düzenlenmiş laboratuvarlar tedarikçiler tarafından sağlanacak önerilere uymalıdır. Tipik önerilen önlemler arasında ayrı güvenlik güncellemeleri ve özelleştirilmiş bir test ortamı bulunmaktadır.
Bunlara ek olarak, CRA, uyumsuz analitik cihazların ve yazılımların satışını yasaklayacaktır. Aralık 2027'den önce satılan cihazlar ve yazılımlar muaf tutulurken, bu ürünlere yapılan tüm güncellemelerin uyumlu olması gerekecektir. Bazı tedarikçiler için, eski ürünleri yeni düzenlemelere uyarlamak çok karmaşık ve çok maliyetli olabilir. Sonuç olarak, söz konusu ürünlerin üretimi durdurabilir ve 2027 yılında desteğin sona erdiğini ilan edebilirler.
BT ortamınızda, desteklenmeyen veya yamalanmamış sistemleri, uyumlu ve düzgün şekilde yamalanmış sistemlerle bir arada bulundurduğunuzda uyumlu olamazsınız. Açıklar yaratıyorsunuz. Bu büyük bir risk.
Stefan Gohr,
Metrohm Enterprise Services Müdürü - Metrohm Uluslararası Genel Merkezi
Yönetmelikler ile düzenlenmiş laboratuvarlar, uyumsuz cihazları daha uzun süre kullanmaya devam etmek istiyorlarsa, bu cihazları ağlarından ve internetten tamamen izole eden bir acil durum BT ortamı kurmak zorunda kalacaklardır. LIMS ve ERP sistemleriyle entegre analitik cihazlar söz konusu olduğunda, bu yaklaşım pratik değildir ve veri bütünlüğünü tehlikeye atabilmektedir.
Yönetmelikler ile düzenlenmemiş laboratuvarlar kendi risk değerlendirmelerini yapabilirler ve yeni yatırımlar devreye girene kadar boşluğu kapatmak için uyumsuz cihazları kullanmaya devam edip etmeyeceklerine kendileri karar verebilirler. Bununla birlikte, değiştirme işlemlerini geciktirmenin güvenlik açıklarını zamanla büyüteceğinin ve güvenlik risklerini artırdığının da farkında olmalıdırlar.
Laboratuvarlar uyumluluğu sağlamak ve hazırlık yapmak için neler yapabilir?
Laboratuvarlar, güncellenmiş GMP yönergelerine ve Cyber Resilience Act gereksinimlerine hazırlanmak için çeşitli adımlar atabilirler (Şekil 1'e bakınız).
- Potansiyel eksiklikleri belirlemek için mevcut ekipman ve yazılımları değerlendirin.
- Yeniden doğrulama çabalarını en aza indirmek için bir güvenlik güncellemeleri uygulama stratejisi geliştirin.
- Güncellemelerin operasyonları aksatmadığından emin olmak için özelleştirilmiş bir test ortamı oluşturun.
Güncellenmiş GMP yönergeleri ve Cyber Resilience Act, yönetmelikler ile düzenlenmiş laboratuvarlarda iş yükünü ve maliyetleri artıracaktır. Planlama sürecine şimdi başlamak ve bir yol haritası oluşturmak, laboratuvarların bu değişikliklere hazırlanmasına yardımcı olacaktır.
Laboratuvardaki Mevcut Ekipmanların Değerlendirilmesi
İlk adım, halihazırda kullanımda olan tüm cihaz ve yazılımların değerlendirilmesidir. Laboratuvarlar ayrıca, Metrohm gibi tedarikçilerle belirli ürünler için uyumluluk planları hakkında iletişime geçmelidir.
Ele alınması gereken temel sorular şunlardır:
- Cihazlar ve yazılımlar tedarikçi tarafından hala destekleniyor mu?
- Tedarikçiler CRA ve güncellenmiş GMP yönergelerini dikkate alıyor mu? Ürün güvenlik açıklarını yönetme süreçleri nedir? Güvenlik güncellemelerini nasıl sağlamayı planlıyorlar?
- Tedarikçi, Aralık 2027'den sonra cihaz veya yazılımları desteklemeye devam edecek mi?
Bu soruların herhangi birine olumsuz yanıt verilirse, laboratuvarlar değiştirme için bütçe ayırmalı veya BT departmanlarıyla işbirliği içinde sistemi nasıl izole edeceklerine dair stratejiler geliştirmelidir. Birden fazla sistem etkileniyorsa, sistemin operasyonlar için kritiklik derecesine bağlı olarak değiştirme veya izolasyon için bir yol haritası oluşturulmalıdır.
SBOM ve HBOM – Hazırlık Göstergeleri
Mevcut yazılım çözümlerini değerlendirirken, laboratuvarlar yazılım malzeme listesinin (SBOM) mevcut olup olmadığını kontrol etmelidir. Cyber Resilience Act (CRA) tarafından zorunlu kılınan SBOM, üçüncü taraf bileşenler de dahil olmak üzere yazılımı oluşturmak için kullanılan tüm bileşenler hakkında temel bilgileri listelemekte ve yazılımın bilinen güvenlik açıkları olan bileşenler içerip içermediğini belirlemeye yardımcı olmaktadır.
SBOM genellikle kurulum dizininde bir metin dosyası olarak sunulmakta veya ürün belgelerinde listelenmektedir. SBOM mevcut değilse, laboratuvarlar bunu ürünün Cyber Resilience Act'e hazır olmayabileceğine dair bir uyarı işareti olarak değerlendirmelidir. Bu gibi durumlarda, satıcıyla iletişime geçilmesi ve uygulama başlamadan önce bir SBOM sağlanıp sağlanmayacağının teyit edilmesi önerilmektedir.
Donanım için, SBOM'un eşdeğeri HBOM'dur (donanım malzeme listesi). Firmware içeren herhangi bir cihaz için bir HBOM dosyası gereklidir. Tedarikçilerin HBOM dosyasını dijital formatta sağlamaları gerekecektir. Tedarikçilerle iletişime geçilmesi ve dosyanın veya ne zaman kullanıma sunulacağının sorulması önerilmektedir.
Güvenlik Güncellemelerinin Uygulanması İçin Bir Strateji Geliştirin
Güncellenen GMP düzenlemeleri ve CRA, düzenli güvenlik güncellemelerini şart koşmaktadır. Doğrulama çabalarını ve üretim durdurma riskini en aza indirmek için laboratuvarlar bir uygulama stratejisi geliştirmelidir.
Ayrı güvenlik güncellemeleri, yeniden doğrulama çabasını azaltmak için kritik öneme sahiptir. Düzenli yazılım güncellemeleri, yeni özellikler ve güvenlik güncellemelerinin bir karışımını sağlamakta ve tam doğrulama gerektirmektedir. Buna karşılık, ayrı güvenlik güncellemeleri, yeni özellikler eklemeden yalnızca güvenlik sorunlarını düzeltmektedir. Kapsamları daha küçük olduğundan, doğrulama daha hızlı ve daha az karmaşık hale gelmektedir.
Her zaman hızlı doğrulama arzu edilmektedir, çünkü kritik güvenlik sorunları mümkün olan en kısa sürede düzeltilmelidir. Kritik bir güvenlik sorunu söz konusu olduğunda, tam bir yeniden doğrulama yapılana kadar altı ila dokuz ay beklemek kabul edilebilecek bir durum değildir.
Sadece ayrı güvenlik güncellemelerine sahip ürünler, yeniden doğrulamayı daha hızlı, daha ucuz ve daha yönetilebilir hale getirmektedir. Laboratuvarlar, satıcıyla yakın işbirliği içinde, hiçbir özelliğin değişmediğinden ve doğrulanmış süreçlerinin hala amaçlandığı gibi çalıştığından emin olabilirler. Ayrı güvenlik güncellemeleri ve risk yönetimi, tüm sistemin yeniden doğrulanmasını gereksiz kılmaktadır.
Stefan Gohr,
Metrohm Enterprise Services Müdürü - Metrohm Uluslararası Genel Merkezi
Bir test ortamı oluşturun
Güvenlik güncellemelerinin yüklenmesi her zaman sistem arızası riskini taşımakta ve bu durum da üretimin durmasına neden olabilmektedir. Bu riski azaltmak için laboratuvarlar bir test ortamı oluşturmayı düşünmelidir.
Bu senaryoda, güvenlik paketleri önce test sistemine yüklenmekte ve günlük işlemler için gerekli olan temel işlevler kapsamlı bir şekilde test edilmektedir. Güvenlik güncellemesinden etkilenen işlevler test ortamında başarıyla test edildikten sonra, güvenlik güncellemesi üretim ortamına dağıtılmaktadır. Şekil 2, test ortamı olan bir laboratuvar ile test ortamı olmayan bir laboratuvar arasındaki farkı göstermektedir.
Daha büyük kuruluşlar üç ortam uygulamayı düşünebilir: geliştirme/nitelendirme, test ve üretim. Geliştirme/nitelendirme ortamı, yöntem geliştirme ve doğrulama için kullanılır. Test ortamı, üretim ortamını yansıtır; örneğin, aynı ağı ve güvenlik duvarlarını kullanır. Son olarak, ürün sürümleri için kalite kontrol gibi günlük işlemler üretim ortamında yürütülür.
Hali hazırda çalışan bir üretim ortamınız olsa bile, tavsiyem paralel olarak bir test ortamı kurmanız veya örneğin BT departmanınızda böyle bir ortam için bütçe ayırarak ve kaynak tahsis ederek planlamaya başlamanızdır.
Stefan Gohr,
Metrohm Enterprise Services Müdürü - Metrohm Uluslararası Genel Merkezi
Ek bir test ortamı kurmak, ek maliyetler getirmekte ve özellikle istemci/sunucu sistemleri için daha fazla BT kaynağına ihtiyaç duymaktadır. Ölçeklenebilir ve maliyet etkin bir sistemin önemi hakkında daha fazla bilgi edinmek için ücretsiz White Paper yayınımızı inceleyin:
White Paper Yayını: OMNIS Client/Server (C/S)'a neden geçmelisiniz?
Metrohm, Cyber Resilience Act ile uyumluluğu nasıl sağlıyor?
Metrohm olarak, bu düzenlemeler yürürlüğe girdiğinde tedarikçiler için CRA ve GMP gereksinimlerini karşılayacağımızdan emin olmak amacıyla bir süredir bu düzenlemelere hazırlanmaya başladık. Platform yazılımımız, OMNIS'in gereksinimleri karşılayacağını garanti edebilmekteyiz. SBOM dosyası her kurulum dizininde zaten mevcut olup, her sürümle birlikte bir siber güvenlik beyanı da yayınlıyoruz. Bu beyan Metrohm Knowledgebase alanında bulunmaktadır. HBOM dosyaları da hazırlanma aşamasındadır.
Müşteriler düzenli OMNIS güncellemeleri ve güvenlik yamaları bekleyebilirler. OMNIS bakım sözleşmesi olan müşterilerle doğrudan iletişime geçeceğiz. Diğer müşteriler için farklı bilgi seçeneklerini değerlendiriyoruz.
OMNIS'in, ister CRA ister güncellenmiş GMP yönergeleri olsun, yeni düzenlemeler ile uyumlu olması için her şeyi yapıyoruz.
Stefan Gohr,
Metrohm Enterprise Services Müdürü - Metrohm Uluslararası Genel Merkezi
Farklı ihtiyaçlar için farklı OMNIS sürümleri
Yazılım güncellemelerine ilişkin sektör gereksinimleri farklılık göstermektedir. Bazı sektörlerde, mobil uygulamaların güncellemelerine benzer şekilde düzenli otomatik güncellemeler kabul edilebilmekle bereaber, konu yönetmelikler ile düzenlenmiş ortamlar olduğunda bu tür otomatik güncellemeler istenmeyen bir durumdur. Ayrıca, laboratuvar ağları internete bağlı olmayabilmektedir.
Bu nedenle Metrohm, OMNIS'in iki tür sürümünü sunmaktadır. Söz konusu sürümler destek ve servis garantileri bakımından farklılık göstermektedirler; farklılıklar için Tablo 1'e bakınız.
| Özellik | Standart versiyon | Long-Term Support (LTS) versiyonu |
|---|---|---|
| Yazılım destek garantisi | Destek garantisi, bir sonraki sürümün yayınlanmasının ardından sona erer. | Yayın tarihinden itibaren 5 yıl boyunca destek garantisi verilmektedir. |
| Servis garantisi | Bir sonraki sürüm yayınlanana kadar tüm bileşenlerin kullanılabilirliği garantilidir. | Tüm bileşenlerin kullanılabilirliği, piyasaya sürülme tarihinden itibaren 5 yıl süreyle garantilidir. |
| IQ/OQ desteği | IQ/OQ mevcut değil | FDA 21 CFR Bölüm 11 ve EudraLex, Cilt 4, Ek 11'e uygun olarak eksiksiz dokümantasyonla belgelendirilmiş bilgisayar sistemi yeterlilik belgesi mevcuttur. |
| Yeniden kalifikasyon | Yeniden kalifikasyon mevcut değil | Yeniden kalifikasyon mevcuttur |
| Güvenlik güncellemeleri | Düzenli olarak kullanıma sunulmaktadır. | Müşteri tarafından belirlenen stratejiye göre manuel olarak devreye alınır. |
Metrohm, uyumsuz sistemleri değiştirmesi gereken müşterilerine nasıl destek veriyor?
Tedarikçiler tarafından artık desteklenmeyecek donanım ve yazılımların değiştirilmesi gerekecektir, çünkü bunların şirket ağından izole edilmesi yalnızca geçici bir çözümdür. Yeni bir ürüne, özellikle yeni bir yazılım çözümüne geçiş çeşitli zorluklar ortaya çıkarabilmektedir. Metrohm, müşterilerini OMNIS'e geçişte desteklemek için Metrohm Enterprise Services ekibini kurmuştur. Bu ekip, müşterinin özel ihtiyaçlarına ve durumuna uyarlanmış uzmanlaşmış danışmanlık ve uygulama hizmetleri sunmaktadır.
Metrohm Enterprise Services ekibi ayrıca, güvenlik açığı ve güvenlik yaması yönetimini sağlayan OMNIS için bakım sözleşmeleri de sunmaktadır. Ekip, müşterinin BT ve güvenlik uzmanlarıyla birlikte, güvenlik yamalarının dağıtımı için bir strateji geliştirmeye de yardımcı olmaktadır. Atanan bir hizmet yöneticisi, bu stratejinin müşteri tesisinde OMNIS'in ömrü boyunca uygulanmasını ve bakımını denetleyecektir.
BT mimarileri, BT stratejileri ve BT güvenlik stratejileri çeşitlilik gösterdiğinden, genel geçer bir çözüm yoktur. OMNIS güvenlik güncelleme stratejisinin şirketinizin özel ihtiyaçlarına ve durumuna uyarlanmasını şiddetle tavsiye ediyoruz. İşte bu noktada danışmanlık hizmetlerimiz devreye girerek müşterilerimize destek oluyor ve ihtiyaçlarınıza en uygun çözümü buluyor.
Stefan Gohr,
Metrohm Enterprise Services Müdürü - Metrohm Uluslararası Genel Merkezi
Sonuç
Güncellenen GMP yönergeleri ve CRA, yönetmelikler ile düzenlenmiş laboratuvarların çalışma şeklini değiştirecektir. Laboratuvarlar, mevcut ekipman ve yazılımlarını değerlendirerek bu değişikliklere hazırlanmaya başlayabilirler. Bazı sistemlerin değiştirilmesi gerekebilecektir, çünkü CRA ve revize edilmiş GMP Ek 11 yürürlüğe girdiğinde bu üniteler artık desteklenmeyeceklerdir.
Siber güvenlik, sürekliliğe sahip bir süreç olduğundan, düzenli güvenlik güncellemeleri standart hale gelecektir. Bu değişim, laboratuvarların analitik sistemlerini güncelleme, yeniden doğrulama ve bakım süreçlerinde değişiklikler gerektirecektir. Sürekli çalışmayı sağlamak için ek test ortamlarının kurulması gerekebilecektir.
Yalnızca OMNIS gibi güncellenen GMP düzenlemelerini ve CRA'yı karşılayan çözümler, laboratuvarların uyumlu kalmasını sağlayabilecektir. OMNIS'e geçişi desteklemek için Metrohm, müşterilerle yakın işbirliği içinde çalışan ve onların özel güvenlik stratejilerine göre uyarlanmış güvenli bir OMNIS ortamının dağıtımına ve bakımına yardımcı olan Metrohm Enterprise Services ekibini kurmuştur.
Ek Kaynaklar
White Paper Yayını: OMNIS Client/Server (C/S)'a neden geçmelisiniz?
Blog: Analitik Cihaz Kalifikasyonuna Giriş
Referanslar
[1] European Commission. Cyber Resilience Act. Shaping Europe’s digital future. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act (accessed 2025-12-18).
[2] Federal Communications Commission. U.S. Cyber Trust Mark. Federal Communications Commission (FCC). https://www.fcc.gov/CyberTrustMark (accessed 2025-12-18).
[3] Creemers, R.; Webster, G.; Triolo, P. Translation: Cybersecurity Law of the People’s Republic of China (Effective June 1, 2017). DigiChina, 2018.
[4] European Commission. Stakeholders’ Consultation on EudraLex Volume 4 - Good Manufacturing Practice Guidelines: Chapter 4, Annex 11 and New Annex 22 - Public Health. Public Health. https://health.ec.europa.eu/consultations/stakeholders-consultation-eudralex-volume-4-good-manufacturing-practice-guidelines-chapter-4-annex_en (accessed 2025-12-18).
