CCTVplanner.io
    Uyumluluk15 dakikalık okuma süresi

    AB CCTV Projelerinde Rus Menşeli Yazılımlar (2026): Uyumluluk, Yaptırımlar ve Tedarik İncelemesi

    Bu makale, 2026 yılında aynı soruyu soran CCTV tasarımcıları, entegratörleri ve AB sözleşme makamları için gerçekçi, tedarik odaklı bir incelemedir: CCTV tasarım yazılımı söz konusu olduğunda menşe, yaptırımlar ve veri yerleşimi kuralları nasıl uygulanır? Bu makale, kamuya açık çerçeveyi özetlemektedir. Bu bir hukuki tavsiye değildir; her somut tedarik kararı, nitelikli bir tedarik danışmanı tarafından teyit edilmelidir.

    Önemli: Bu, hukuki tavsiye değil, olgusal bir değerlendirmedir.

    Yaptırımlar, ihracat kontrolleri ve tedarik kuralları sık sık değişmekte ve AB üye devletlerinde farklı şekilde yorumlanmaktadır. Bu makaledeki hiçbir şey belirli bir işlem için yasal tavsiye olarak değerlendirilmemelidir. Bağlayıcı kararlar için, ilgili yargı bölgesindeki yetkili tedarik hukuk danışmanına danışın. Kamuoyuna açık standartlara, düzenlemelere ve içtihatlara yapılan atıflar, Mayıs 2026 itibarıyla bilgimiz dahilinde doğrudur.

    İçindekiler

    Bu sorunun 2026 AB tedarikinde neden önemli olduğu

    2022'den bu yana AB, Rusya'yı hedef alan çok sayıda ardışık yaptırım paketini uygulamaya koyarken, üye devletlerin kamu ihale kurallarında da paralel gelişmeler yaşandı. Yazılım tedarikine olan kümülatif etkisi önemli oldu: Daha önce yazılımın menşei hakkında soru sormayan ihale makamları artık rutin olarak yeterlilik aşamasında menşe açıklama şartlarını dahil ediyor ve yaptırım uygulanmamış menşei kanıtlayamayan teklifler genellikle ticari incelemeden önce eleniyor.

    CCTV tasarım yazılımları, ürettiği unsurların (kat planları, kamera yerleşimi, ağ topolojisi, BOM ) hem güvenlik hem de operasyonel açıdan hassas olması nedeniyle özel bir risk kategorisinde yer almaktadır. Bir yaptırım aracı açıkça belirli bir CCTV planlama aracını kapsamasa bile, ihale makamları özellikle savunma, kamu yönetimi, kritik altyapı ve büyük sağlık veya ulaşım projelerinde ihtiyatlı bir yaklaşım benimseme eğilimindedir.

    Bu makale, entegratör müşterilerimiz ihale yanıtlarında yazılımın kaynağı hakkında ilk kez soru sormaya başladığında var olmasını dilediğimiz açıklayıcı metindir. Tanımlayıcıdır, kural koyucu değildir; amacı, bir CCTV tasarımcısının satın alma danışmanına doğru soruları sorabilmesi için çerçeveyi sade bir dille ortaya koymaktır, o görüşmenin yerini almak değil.

    Mevcut AB yaptırım çerçevesi — üst düzey özet

    AB'nin Rusya'ya karşı kısıtlayıcı önlemleri, Avrupa Birliği Resmi Gazetesi'nde yayımlanan ve ardışık değişiklik paketleriyle güncellenen Konsey Tüzüğü aracılığıyla uygulanmaktadır. Bu çerçeve, yazılım tedarikine ilişkin üç geniş temel üzerine kuruludur.

    Yazılımla ilgili üç temel unsur

    • İhracat kontrolleri. Rusya'ya belirli mal, hizmet, teknoloji ve yazılımların tedarikine kısıtlamalar getirildi; bu kısıtlamalar özellikle çift kullanımlı ürünler, savunma ve belirli sanayi kategorilerine odaklanıyor.
    • Mali yaptırımlar. Listelenen kişi ve kuruluşlara fon veya ekonomik kaynak sağlanmasına ilişkin varlık dondurmaları ve yasaklar. "Mülkiyet ve kontrol" testi, duruma özgüdür ve bir satıcının kendisi listede yer almasa bile, listede yer alan bir kuruluş tarafından sahip olunduğu veya kontrol edildiği durumlarda bile geçerlidir.
    • Kamu ihale filtreleri. (Değişikliklerle birlikte) Konseyin (AB) 833/2014 sayılı Tüzüğünde yer alan ve belirli Rus kişi ve kuruluşlarına kamu sözleşmelerinin verilmesini yasaklayan hükümler, üye devletlerin ihale yasalarına farklı şekillerde aktarılmış ve tamamlanmıştır.

    AB düzeyindeki çerçeveye ek olarak, Almanya, Fransa, Polonya, İskandinav ülkeleri ve Baltık ülkeleri gibi üye devletler, daha katı kriterlere sahip kendi kamu ihale dillerini uygulamaya koymuştur. Sonuç olarak, aynı tedarikçi bir AB yargı bölgesinde kabul edilebilirken, başka bir yargı bölgesinde, hiçbir düzenlemede açıkça belirtilmemiş olsa bile, elenebilir. Bu nedenle, ihale ekipleri genellikle en katı üye devlet dilini kendi iç ölçütleri olarak uygulama eğilimindedir.

    ABD tarafı: NDAA §889 ve ICTS başkanlık kararnameleri

    ABD tarafında, AB tedarik yetkilileri tarafından bile gayri resmi ölçütler olarak sıklıkla iki düzenleme gösterilmektedir. NDAA §889 (John S. McCain 2019 Mali Yılı Ulusal Savunma Yetkilendirme Yasası), federal kurumların ve federal yüklenicilerin belirli Çinli üreticilerden kapsama giren telekomünikasyon ve video gözetim ekipmanlarını satın almasını veya kullanmasını yasaklamaktadır. Bilgi ve İletişim Teknolojileri ve Hizmetleri (ICTS) yürütme emirleri, özellikle 13873 sayılı Yürütme Emri ve halefleri, ABD Ticaret Bakanlığı'na yabancı düşmanlarla ilgili işlemleri inceleme konusunda geniş yetki vermektedir.

    Bu iki düzenleme de tipik bir AB tedarikinde yasal olarak uygulanmaz. Bununla birlikte, sıklıkla tedarik şablonu dili olarak kullanılırlar. 2026 AB sözleşme makamı, bir CCTV ihalesi hazırlarken, satıcının yazılımının, barındırma hizmetinin ve personelinin §889'a eşdeğer kurallar kapsamında kapsam dışında bırakılmayacağını beyan etmesini genellikle talep eder; bu durum, §889'un kendisinin sözleşmeyle ilgisiz olduğu durumlarda bile geçerlidir. Bu beyanı yapamayan satıcılar, tekliflerinin temel yasallığına bakılmaksızın rekabet dezavantajına düşerler.

    CCTV tasarım yazılımları üzerinde doğrudan tedarikin etkisi

    Aşağıdaki dört kategori, 2026 AB CCTV projelerinde yazılım kaynaklı soruların en sık ortaya çıktığı alanlardır.

    Kamu sektörü ihaleleri

    Devlet, savunma, sağlık ve eğitim ihalelerinde giderek daha açık "yazılım menşei" açıklama maddeleri yer almaktadır. Tetikleyici genellikle yukarıda tartışılan ve ulusal mevzuata uyarlanan tedarik filtreleme hükümlerinden biridir. Yasal eşik tartışmalı olsa bile, pratikte kabul edilebilir menşei kanıtlayamayan teklifler eleme aşamasında elenir. 2026 yılında kamu sektörü ihalelerine yanıt veren tasarımcılar, yalnızca gözetim donanımının kendisi için değil, tasarım sürecinde kullanılan her yazılım aracı için olumlu menşe beyanında bulunmayı beklemelidir.

    Kritik altyapı sözleşmeleri

    Enerji, ulaşım, bankacılık ve su hizmetleri tedariki, NIS2 (Direktif (AB) 2022/2555) ve örtüşen sektörel kurallar tarafından yönetilmektedir. NIS2'nin kendisi menşe tabanlı değil, risk tabanlı olsa da, ortaya çıkan risk değerlendirmeleri genellikle tedarik zinciri menşeini ilgili bir faktör olarak tanımlar ve temel hizmet operatörleri bunu tedarik çerçevelerine dahil etmiştir. Kritik altyapı projelerinde yazılım menşei kanıtı için gereken standart, genel ticari tedarike göre anlamlı derecede daha yüksektir.

    Özel işletme uyumluluk denetimleri

    Kendi ESG, tedarik zinciri veya siber risk çerçevelerine sahip büyük işletmeler, tedarikçilerini ve alt tedarikçilerini düzenli olarak denetler. Belirli bir ihale söz konusu olmasa bile, menşei kanıtlanamayan bir yazılım kullanan bir entegratör, yıllık inceleme sırasında tercih edilen tedarikçi listesinden çıkarılabilir. Bu dinamik, 2024 ve 2025 yıllarında belirgin bir şekilde hızlandı ve 2026'da da devam ediyor.

    Sınır ötesi entegratörlük faaliyetleri

    Hem AB hem de AB dışı ülkelerde faaliyet gösteren entegratörler, tedarik standartlarının farklı olması nedeniyle ek bir karmaşıklıkla karşı karşıya kalmaktadır. Bir ülkede özel ticari bir proje için kabul edilebilir bir araç, farklı bir ülkedeki kamu projesi için tedarik kriterlerini karşılamayabilir. Birçok entegratör, tüm projeler için AB menşeli araçları standartlaştırarak bu durumu rasyonelleştirmiş ve gelecekteki herhangi bir ihaleye, nerede olursa olsun, yanıt vermeyi basitleştirmiştir.

    Alıcılar yazılımın menşeini nasıl doğruluyor?

    Bir satın alma yetkilisi, menşe kontrolü yaparken oldukça standart bir araç setine sahiptir. Bu kontrollerin hiçbiri tek başına menşeiyi kanıtlamaz; kamuya açık bilgilerden üçgenleştirilmiş bir tablo oluştururlar.

    • Satıcı alan adındaki WHOIS kaydı — kayıt kuruluşu ülkesi, kayıt yaptıran kuruluş, ad sunucusu ASN.
    • Tedarikçinin tüzel kişilik adını, kayıt ülkesini ve vergi kimlik numarasını açıklaması - genellikle yeterlilik değerlendirmesinde istenir.
    • Barındırma sağlayıcısı incelemesi — SaaS altyapısının fiziksel olarak çalıştığı bulut bölgesi, bir onay belgesi veya üçüncü taraf barındırma sözleşmesiyle kanıtlanır.
    • Halka açık şirket kayıtları — gerçek sahiplik kayıtları, ana şirket yapısı ve yaptırım listesiyle ilgili çapraz referanslar.
    • Tedarik zinciri beyanı — yazılımın nerede geliştirildiğini, barındırıldığını ve desteklendiğini açıklayan ve varsa alt işlemcilerin adlarını belirten, satıcıdan gelen yazılı bir beyan.

    Daha yüksek riskli tedariklerde (savunma, kritik altyapı) değerlendirme, kaynak kodunun kökenine, üçüncü taraf güvenlik testlerine ve bağımsız bir hukuki görüşe kadar uzanabilir. Daha üst düzey değerlendirmenin marjinal maliyeti önemsiz değildir ve ihale makamları genellikle bunu yalnızca sözleşmenin değeri veya hassasiyeti gerektirdiğinde yaptırır.

    GDPR üçüncü ülke veri aktarımı boyutu

    GDPR 44 ila 49. maddeleri, kişisel verilerin Avrupa Ekonomik Alanı dışındaki ülkelere aktarılmasını düzenler. Varsayılan kural, belirtilen güvencelerden biri uygulanmadığı sürece bu tür bir aktarımın yasak olmasıdır: Avrupa Komisyonu tarafından verilen bir yeterlilik kararı, uygun ek önlemler içeren standart sözleşme maddeleri gibi onaylanmış bir aktarım mekanizması veya belirli durumlar için bir istisna.

    Avrupa Adalet Divanı, Schrems II davasında (C-311/18, 2020), standart sözleşme maddelerinin, hedef ülkenin yasalarını ve bunların esasen eşdeğer koruma sağlayıp sağlamadığını dikkate alan bir veri aktarım etkisi değerlendirmesiyle desteklenmesi gerektiğini açıkça belirtmiştir. Rusya, Avrupa Komisyonu'nun yeterlilik listesinde yer almamaktadır ve yaygın görüş, Rusya'daki yasal ortam göz önüne alındığında, Rusya'ya yapılan aktarımlar için "esas olarak eşdeğer" koruma sağlamanın zor olduğudur. Bunun pratik sonucu, kişisel verileri Rusya'daki sunuculara veya Rusya'nın yargı yetkisi altındaki kuruluşlara ileten herhangi bir CCTV tasarım aracının, AB'de barındırılan araçların sahip olmadığı önemli bir veri aktarım etkisi değerlendirme yüküyle karşı karşıya kalmasıdır.

    Güvenlik kamerası projeleri için bu önemlidir çünkü tasarım araçları, insanların fark ettiğinden daha sık kişisel verilere erişir; proje meta verileri, son müşteri site bilgileri, hesap e-posta adresleri, destek bileti içerikleri gibi. GDPR ciddiye alan bir alıcı, bu verilerin hiçbirinin Bölüm V incelemesini tetikleyecek şekilde AB/AEA dışına çıkmayacağından emin olmak isteyecektir.

    CCTVplanner'ın var olma nedeni — AB tarafından barındırılıyor, AB tarafından geliştiriliyor

    CCTVplanner, Polonya'da kayıtlı DEFENSAR tarafından işletilmektedir; ön yüzü Polonya'da, arka yüzü ise AB bölgesindeki bulut altyapısında barındırılmaktadır. "Tamamen AB'de Tasarlanmış ve Barındırılmış" başlığının anlamı budur; yasal kuruluş, mühendislik ve barındırma tamamen Avrupa Birliği içindedir ve varsayılan mimaride üçüncü ülke alt işlemcileri bulunmamaktadır.

    Tedarik ekipleri için bu, yukarıda açıklanan menşe açıklama sorularına kısa ve net bir yanıt anlamına gelir. Veri yolunda hiçbir yerde Rus, Çin veya ABD yargı yetkisine sahip bir alt işlemci bulunmamaktadır. Veriler AB dışına çıkmadığı için GDPR Bölüm V kapsamında transfer etkisi değerlendirme yükümlülüğü yoktur. Tedarik zincirinde §889'a eşdeğer bir diskalifiye edici unsur yoktur. Dünyanın dört bir yanındaki entegratörler tarafından güvenilen, varsayılan olarak AB mimarisi, 2026'da tedarik görüşmelerinde en sık gündeme gelen özelliktir.

    AB'nin tutumu tek paragrafta

    • DEFENSAR adlı faaliyet gösteren kuruluş Polonya'da kayıtlı ve vergi mükellefidir.
    • Ön uç Polonya'da, arka uç ise AB bölgesi bulutunda (eu-west) barındırılmaktadır.
    • Varsayılan mimaride üçüncü ülke veri alt işlemcileri bulunmamaktadır.
    • GDPR varsayılan olarak uyumludur — AB alıcıları için ayrı bir transfer etkisi değerlendirmesi gerekmez.

    " JVSG Geçiş"in Gerçekliği

    2026 yılında entegratörlerden sıkça duyduğumuz pratik bir soru şu: "Mevcut CCTV tasarım aracımızdan memnunuz, ancak satın alma ekibi yazılım kaynaklı ifşayı risk olarak işaretledi. Geçiş nasıl olmalı?" Cevap çoğunlukla mekanik: Kat planını DXF'ye dışa aktarın, CCTVplanner'a içe aktarın, 65.000'ten fazla model içeren katalogdan kameraları yeniden yerleştirin, DORI eşiklerini eşleştirin, kablolamayı yeniden yönlendirin, çok sayfalı PDF çıktısını dışa aktarın. Aşağıda bağlantısı verilen geçiş kılavuzunda adım adım bir kılavuz yazdık. Adımların hiçbiri özellikle zor değil. En zor kısım genellikle geçişin kendisi değil, geçiş yapma kararıdır.

    Özellikle tedarik odaklı geçişler için, geçişi yazılı olarak belgelemenizi öneririz: tetikleyici olay, değerlendirilen alternatifler, seçilen yedek ve mevcut aracın iş akışından çıkarıldığı tarih. Tedarik danışmanları ve ESG denetçileri belgelenmiş kararları ödüllendirir ve yazılı bir geçiş günlüğü, durum tespiti paketlerinde yaygın bir belge niteliğindedir.

    Kapanış uyarısı

    Bu makale, Mayıs 2026 itibarıyla kamuya açık standartlar, yönetmelikler ve içtihatlara dayalı olgusal bir incelemedir. Yasal tavsiye niteliğinde değildir ve yetki alanınızdaki nitelikli tedarik danışmanından alınacak tavsiyenin yerini tutmaz. Yaptırımlar, ihracat kontrolleri ve tedarik kuralları sık sık değişmekte ve AB üye devletlerinde farklı şekilde yorumlanmaktadır. Her somut tedarik kararı, ilgili sözleşme makamı, sektör ve yetki alanı konusunda bilgili bir avukat tarafından teyit edilmelidir.

    Bu makaledeki hiçbir ifade herhangi bir ülkeyi, şirketi veya tedarikçi kategorisini küçümseme amacı taşımamaktadır. Amaç, entegratörlerin teklif yanıtları hazırlayabilmeleri ve yeterlilik aşamasını geçebilecek iş akışları tasarlayabilmeleri için, alıcıların 2026 yılında deneyimleyeceği tedarik çerçevesini tanımlamaktır.

    Sıkça Sorulan Sorular

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    İlgili Makaleler

    CCTVplanner vs JVSG

    Veri yerleşim pozisyonunu da içeren yan yana karşılaştırma.

    JVSG Geçiş: 2026 Geçiş Kılavuzu

    Tedarik odaklı geçiş için adım adım kılavuz.

    En İyi Ücretsiz CCTV Tasarım Yazılımı (2026)

    Ücretsiz seçenekler, AB menşeli ve GDPR uyumluluğu açısından incelenmiştir.

    EN 62676-4 :2025 OODPCVS Güncellemesi (2026)

    AB tedarik mevzuatına ilişkin standartlar güncellemesi.

    DORI Hesap Makinesi

    AB'de barındırılan tarayıcı tabanlı hesap makinesi, kurulum gerektirmez.

    EN 62676-4 Hesap Makinesi

    Standartlara uygun lens önerisi, AB tarafından desteklenmektedir.

    ← Bloga Geri Dön

    © 2026 CCTVplanner. © 2026 CCTVplanner. Tüm hakları saklıdır.