EU AI Act Kapsamındaki Firmalar için ISO 42001 Yol Haritası
EU AI Act kapsamındaysanız — AB pazarına AI sunuyorsanız ya da AB’li müşterileriniz tedarik denetimlerinde AI yönetişimi kanıtı istiyorsa — dağınık uyum çabaları yerine tek bir programa ihtiyacınız var. ISO 42001, AI Act şartlarının yönetim sistemi karşılığını kurar. Bu yazı, iki hedefi tek planda birleştiren 6 aşamalı yol haritasını verir.
Aşama 0: Kapsam gerçeğinizi netleştirin (1-2 hafta)
Üç soruya yazılı yanıt verin:
- AB pazarına doğrudan AI sistemi sunuyor muyuz (ürün, SaaS, gömülü bileşen)?
- Çıktısı AB’de kullanılan bir sistem işletiyor muyuz?
- AB’li müşterilerimizin denetim anketlerinde AI soruları var mı; sözleşmelerde AI taahhütleri isteniyor mu?
Birine bile “evet” diyorsanız yol haritası sizin için. Ayrıntılı etki analizi: EU AI Act ve Türkiye.
Aşama 1: Envanter + AI Act sınıflandırması (2-4 hafta)
Tüm AI sistemlerinizi envantere alın (envanter rehberimiz şablonu verir), sonra her satırı AI Act gözüyle etiketleyin:
- Yasak uygulamaya temas var mı? (varsa derhâl durdurun)
- Yüksek risk alanına (Ek III: istihdam, kredi, eğitim, kritik altyapı…) giriyor mu?
- Şeffaflık yükümlülüğü (sohbet botu, üretilmiş içerik) var mı?
Bu etiket, eforun nereye akacağını belirler: derin çalışma yalnızca yüksek risk adaylarına.
Aşama 2: Gap analizi (1-2 hafta)
Yönetim sistemi tarafında neredesiniz? Ücretsiz gap analizi aracı 25 soruda skorunuzu ve zayıf kategorilerinizi verir. ISO 27001’iniz varsa entegrasyon rehberini okuyun — mevcut altyapının ne kadarının yeniden kullanılacağını görmek planı kısaltır.
Aşama 3: Çekirdek dokümantasyon (4-8 hafta)
AI Act şartlarıyla eşleşen AIMS dokümanlarını kurun:
| Doküman | ISO 42001 | AI Act karşılığı |
|---|---|---|
| AI politikası + roller | Madde 5.2-5.3 | Hesap verebilirlik |
| Risk metodolojisi + etki değerlendirmesi | Madde 6.1, 6.1.4 | Risk yönetim sistemi (yüksek risk şartı) |
| Veri yönetişimi prosedürü | Ek A.7 | Veri ve veri yönetişimi |
| İnsan gözetimi prosedürü | Ek A.9 | İnsan gözetimi |
| Şeffaflık bildirimleri | Ek A.8 | Kullanıcı bilgilendirme |
| Yaşam döngüsü + kayıt düzeni | Ek A.6, Madde 7.5 | Teknik dokümantasyon, log |
ISO/IEC 42001 SoA’sı burada çift iş görür: denetçiye kontrol haritası, müşteriye uyum kanıtı.
Aşama 4: Uygulama + iç denetim (6-10 hafta)
Prosedürleri işletin, kanıt biriktirin: risk değerlendirme kayıtları, gözetim müdahale logları, eğitim kayıtları, tedarikçi sözleşme ekleri. Ardından iç denetim (Madde 9.2) ve yönetim gözden geçirmesi (Madde 9.3). AB’li bir müşterinin denetim anketini prova olarak kullanın — gerçek sorularla test edilmiş sistem, gerçek denetimde şaşırtmaz.
Aşama 5: Belgelendirme + sürdürme
Akredite kuruluşla Aşama 1-2 denetimleri (süreç rehberi). Belge sonrası: yıllık gözetim denetimleri, envanter güncelleme tetikleyicileri, AI Act ikincil düzenlemelerinin (standartlar, kılavuzlar) takibi.
Kritik başarı faktörü: iki projeyi birleştirin
En pahalı hata, “AI Act uyumu” ve “ISO 42001” için ayrı ekipler, ayrı danışmanlar, ayrı dokümanlar üretmek. Şartlar %70+ örtüşüyor; tek program, tek doküman seti, tek denetim hazırlığı hem maliyeti hem çelişki riskini düşürür.
Yol haritanızı firmanıza uyarlamak için teklif alın — AI Act etkilenme analizi danışmanlık kapsamımızın parçası. Sorularınız için iletişim sayfamız açık.