Blog · 5 Temmuz 2026

EU AI Act Kapsamındaki Firmalar için ISO 42001 Yol Haritası

EU AI Act kapsamındaysanız — AB pazarına AI sunuyorsanız ya da AB’li müşterileriniz tedarik denetimlerinde AI yönetişimi kanıtı istiyorsa — dağınık uyum çabaları yerine tek bir programa ihtiyacınız var. ISO 42001, AI Act şartlarının yönetim sistemi karşılığını kurar. Bu yazı, iki hedefi tek planda birleştiren 6 aşamalı yol haritasını verir.

Aşama 0: Kapsam gerçeğinizi netleştirin (1-2 hafta)

Üç soruya yazılı yanıt verin:

  1. AB pazarına doğrudan AI sistemi sunuyor muyuz (ürün, SaaS, gömülü bileşen)?
  2. Çıktısı AB’de kullanılan bir sistem işletiyor muyuz?
  3. AB’li müşterilerimizin denetim anketlerinde AI soruları var mı; sözleşmelerde AI taahhütleri isteniyor mu?

Birine bile “evet” diyorsanız yol haritası sizin için. Ayrıntılı etki analizi: EU AI Act ve Türkiye.

Aşama 1: Envanter + AI Act sınıflandırması (2-4 hafta)

Tüm AI sistemlerinizi envantere alın (envanter rehberimiz şablonu verir), sonra her satırı AI Act gözüyle etiketleyin:

  • Yasak uygulamaya temas var mı? (varsa derhâl durdurun)
  • Yüksek risk alanına (Ek III: istihdam, kredi, eğitim, kritik altyapı…) giriyor mu?
  • Şeffaflık yükümlülüğü (sohbet botu, üretilmiş içerik) var mı?

Bu etiket, eforun nereye akacağını belirler: derin çalışma yalnızca yüksek risk adaylarına.

Aşama 2: Gap analizi (1-2 hafta)

Yönetim sistemi tarafında neredesiniz? Ücretsiz gap analizi aracı 25 soruda skorunuzu ve zayıf kategorilerinizi verir. ISO 27001’iniz varsa entegrasyon rehberini okuyun — mevcut altyapının ne kadarının yeniden kullanılacağını görmek planı kısaltır.

Aşama 3: Çekirdek dokümantasyon (4-8 hafta)

AI Act şartlarıyla eşleşen AIMS dokümanlarını kurun:

DokümanISO 42001AI Act karşılığı
AI politikası + rollerMadde 5.2-5.3Hesap verebilirlik
Risk metodolojisi + etki değerlendirmesiMadde 6.1, 6.1.4Risk yönetim sistemi (yüksek risk şartı)
Veri yönetişimi prosedürüEk A.7Veri ve veri yönetişimi
İnsan gözetimi prosedürüEk A.9İnsan gözetimi
Şeffaflık bildirimleriEk A.8Kullanıcı bilgilendirme
Yaşam döngüsü + kayıt düzeniEk A.6, Madde 7.5Teknik dokümantasyon, log

ISO/IEC 42001 SoA’sı burada çift iş görür: denetçiye kontrol haritası, müşteriye uyum kanıtı.

Aşama 4: Uygulama + iç denetim (6-10 hafta)

Prosedürleri işletin, kanıt biriktirin: risk değerlendirme kayıtları, gözetim müdahale logları, eğitim kayıtları, tedarikçi sözleşme ekleri. Ardından iç denetim (Madde 9.2) ve yönetim gözden geçirmesi (Madde 9.3). AB’li bir müşterinin denetim anketini prova olarak kullanın — gerçek sorularla test edilmiş sistem, gerçek denetimde şaşırtmaz.

Aşama 5: Belgelendirme + sürdürme

Akredite kuruluşla Aşama 1-2 denetimleri (süreç rehberi). Belge sonrası: yıllık gözetim denetimleri, envanter güncelleme tetikleyicileri, AI Act ikincil düzenlemelerinin (standartlar, kılavuzlar) takibi.

Kritik başarı faktörü: iki projeyi birleştirin

En pahalı hata, “AI Act uyumu” ve “ISO 42001” için ayrı ekipler, ayrı danışmanlar, ayrı dokümanlar üretmek. Şartlar %70+ örtüşüyor; tek program, tek doküman seti, tek denetim hazırlığı hem maliyeti hem çelişki riskini düşürür.

Yol haritanızı firmanıza uyarlamak için teklif alın — AI Act etkilenme analizi danışmanlık kapsamımızın parçası. Sorularınız için iletişim sayfamız açık.

SSS

Sık sorulan sorular

AB'de yalnızca müşterimiz var, ofisimiz yok. Bu yol haritası bizi ilgilendirir mi? +

Evet. AI Act yükümlülükleri tedarik zinciri sözleşmeleriyle size ulaşır: AB'li müşteriniz kendi uyumu için sizden risk yönetimi, veri yönetişimi ve insan gözetimi kanıtı ister. Yol haritasının ilk üç aşaması tam bu kanıtları üretir.

Önce AI Act uyumu mu, önce ISO 42001 mi? +

İkisi ayrı projeler değil. ISO 42001, AI Act'in istediği yönetim altyapısını (risk yönetimi, kayıt, gözetim) kurar; AI Act ise hangi sistemlerin derin çalışma gerektirdiğini söyler. Doğru sıra: envanter + sınıflandırma önce, sonra ikisini tek programda yürütmek.

Süreç toplam ne kadar sürer? +

Yönetim sistemi deneyimi olan orta ölçekli firmada 6-9 ay gerçekçidir: 1-2 ay envanter/sınıflandırma ve gap, 3-5 ay dokümantasyon ve uygulama, kalanı iç denetim ve belgelendirme. Yüksek riskli sistem sayısı arttıkça süre uzar.

Belgelendirme zorunlu mu, yoksa sistemi kurmak yeter mi? +

AI Act, ISO belgesi şart koşmaz. Ancak müşteri denetimlerinde üçüncü taraf doğrulaması (akredite belge) beyandan çok daha güçlüdür. Sistemi kurup belgeyi almamak, sınava çalışıp sınava girmemek gibidir — çoğu firma son adımı da atıyor.