ISO 42001 Sertifikam Varsa EU AI Act’tan Muaf mıyım?
Kısa cevap: hayır. ISO 42001 belgeniz, EU AI Act uyumunun büyük bölümünü hazırlar ama yasal yükümlülüğün yerine geçmez. Bu ikisi farklı türde araçlardır: ISO 42001 gönüllü bir yönetim sistemi standardı, AI Act ise bağlayıcı bir AB düzenlemesidir. Sertifika, uyumu kolaylaştıran bir kanıttır — muafiyet değil.
İki çerçeve neyi kapsar?
ISO 42001, kuruluşunuzun yapay zekâyı nasıl yönettiğini standartlaştırır: politika, risk metodolojisi, roller, kontroller, iç denetim. AI Act ise belirli sistemleri risk seviyesine göre sınıflandırır ve yüksek riskli olanlara somut yasal şartlar koyar. Biri “nasıl yönetiyorsunuz”, diğeri “bu sistem yasal mı” sorusunu sorar.
Örtüşme nerede? (yaklaşık %80)
Yüksek riskli sistemlerde iki çerçevenin şartları büyük ölçüde çakışır. ISO 42001’i kurduysanız aşağıdaki AI Act beklentilerinin çoğunu zaten karşılamış olursunuz:
| AI Act şartı | ISO 42001 karşılığı |
|---|---|
| Risk yönetim sistemi | Madde 6.1 + risk metodolojisi |
| Veri ve veri yönetişimi | Ek A.7 |
| İnsan gözetimi | Ek A.9 |
| Kayıt ve izlenebilirlik | Madde 7.5, Ek A.6 |
| Şeffaflık / kullanıcı bilgilendirme | Ek A.8 |
Bu örtüşme, belge sahibi firmaların AI Act hazırlığında önemli bir avantajla başladığı anlamına gelir.
ISO 42001’in kapsamadığı 3 alan
Muafiyet iddiasını çürüten fark tam burada. AI Act’in şu somut yükümlülükleri ISO 42001’de yoktur:
- Otomatik loglama (Madde 12): Yüksek riskli sistemler, çalışma boyunca olayları otomatik kaydetmeli ve bu kayıtlar yetkililere erişilebilir olmalı.
- Uygunluk değerlendirmesi ve CE işareti (Madde 43): Yüksek riskli sistemler AB uygunluk prosedürünü izlemeli ve CE işareti taşımalı. ISO belgesi bu prosedürün yerine geçmez.
- AB veritabanı kaydı: Belirli yüksek riskli sistemler AB veritabanına kaydedilmeli.
Bu üç alan yasal ve prosedüreldir; yönetim sistemi belgesi bunları otomatik sağlamaz.
Sertifika nasıl “tamamlayıcı kanıt” olur?
ISO 42001, uygunluk değerlendirmesinde ve müşteri denetimlerinde beyandan çok daha güçlü bir dayanaktır. Akredite üçüncü taraf doğrulaması, “biz uyumluyuz” demenin kanıtlı halidir. Yüksek riskli sistemler için AI Act’in istediği risk yönetimi ve veri yönetişimi kayıtlarını üretir; bu kayıtlar CE sürecinde teknik dokümantasyonu besler.
Doğru yaklaşım: ikisini birlikte kurun
En pahalı hata, “AI Act uyumu” ve “ISO 42001” için ayrı projeler açmaktır. Şartlar büyük ölçüde örtüştüğü için tek program, tek doküman seti ve tek denetim hazırlığı hem maliyeti hem çelişki riskini düşürür. Kapsam etkinizi görmek için EU AI Act ve Türkiye sayfasını okuyun.
Nerede olduğunuzu 10 dakikada ölçmek isterseniz ücretsiz gap analizi aracımız kategori kırılımınızı verir. Firmanıza özel yol için teklif alın — 24 saat içinde dönüyoruz.