Blog · 10 Temmuz 2026

ISO 42001 Sertifikam Varsa EU AI Act’tan Muaf mıyım?

Kısa cevap: hayır. ISO 42001 belgeniz, EU AI Act uyumunun büyük bölümünü hazırlar ama yasal yükümlülüğün yerine geçmez. Bu ikisi farklı türde araçlardır: ISO 42001 gönüllü bir yönetim sistemi standardı, AI Act ise bağlayıcı bir AB düzenlemesidir. Sertifika, uyumu kolaylaştıran bir kanıttır — muafiyet değil.

İki çerçeve neyi kapsar?

ISO 42001, kuruluşunuzun yapay zekâyı nasıl yönettiğini standartlaştırır: politika, risk metodolojisi, roller, kontroller, iç denetim. AI Act ise belirli sistemleri risk seviyesine göre sınıflandırır ve yüksek riskli olanlara somut yasal şartlar koyar. Biri “nasıl yönetiyorsunuz”, diğeri “bu sistem yasal mı” sorusunu sorar.

Örtüşme nerede? (yaklaşık %80)

Yüksek riskli sistemlerde iki çerçevenin şartları büyük ölçüde çakışır. ISO 42001’i kurduysanız aşağıdaki AI Act beklentilerinin çoğunu zaten karşılamış olursunuz:

AI Act şartıISO 42001 karşılığı
Risk yönetim sistemiMadde 6.1 + risk metodolojisi
Veri ve veri yönetişimiEk A.7
İnsan gözetimiEk A.9
Kayıt ve izlenebilirlikMadde 7.5, Ek A.6
Şeffaflık / kullanıcı bilgilendirmeEk A.8

Bu örtüşme, belge sahibi firmaların AI Act hazırlığında önemli bir avantajla başladığı anlamına gelir.

ISO 42001’in kapsamadığı 3 alan

Muafiyet iddiasını çürüten fark tam burada. AI Act’in şu somut yükümlülükleri ISO 42001’de yoktur:

  1. Otomatik loglama (Madde 12): Yüksek riskli sistemler, çalışma boyunca olayları otomatik kaydetmeli ve bu kayıtlar yetkililere erişilebilir olmalı.
  2. Uygunluk değerlendirmesi ve CE işareti (Madde 43): Yüksek riskli sistemler AB uygunluk prosedürünü izlemeli ve CE işareti taşımalı. ISO belgesi bu prosedürün yerine geçmez.
  3. AB veritabanı kaydı: Belirli yüksek riskli sistemler AB veritabanına kaydedilmeli.

Bu üç alan yasal ve prosedüreldir; yönetim sistemi belgesi bunları otomatik sağlamaz.

Sertifika nasıl “tamamlayıcı kanıt” olur?

ISO 42001, uygunluk değerlendirmesinde ve müşteri denetimlerinde beyandan çok daha güçlü bir dayanaktır. Akredite üçüncü taraf doğrulaması, “biz uyumluyuz” demenin kanıtlı halidir. Yüksek riskli sistemler için AI Act’in istediği risk yönetimi ve veri yönetişimi kayıtlarını üretir; bu kayıtlar CE sürecinde teknik dokümantasyonu besler.

Doğru yaklaşım: ikisini birlikte kurun

En pahalı hata, “AI Act uyumu” ve “ISO 42001” için ayrı projeler açmaktır. Şartlar büyük ölçüde örtüştüğü için tek program, tek doküman seti ve tek denetim hazırlığı hem maliyeti hem çelişki riskini düşürür. Kapsam etkinizi görmek için EU AI Act ve Türkiye sayfasını okuyun.

Nerede olduğunuzu 10 dakikada ölçmek isterseniz ücretsiz gap analizi aracımız kategori kırılımınızı verir. Firmanıza özel yol için teklif alın — 24 saat içinde dönüyoruz.

SSS

Sık sorulan sorular

ISO 42001 belgem AB denetiminde tek başına yeterli mi? +

Hayır. ISO 42001 yönetim sistemi olgunluğunu kanıtlar ve AI Act'in birçok şartıyla örtüşür, ancak yasal uyumun yerine geçmez. Yüksek riskli sistemlerde uygunluk değerlendirmesi, CE işareti ve AB veritabanı kaydı ayrıca gerekir. Belge, bu süreçte güçlü bir tamamlayıcı kanıttır.

ISO 42001 ile AI Act ne kadar örtüşüyor? +

Yüksek riskli sistemler için literatür yaklaşık %80 örtüşme tahmin ediyor: risk yönetimi, veri yönetişimi, insan gözetimi, kayıt tutma ve şeffaflık her iki çerçevede de var. Örtüşme, ISO 42001 kurduysanız AI Act hazırlığının büyük kısmını tamamlamış olduğunuz anlamına gelir.

AB'de ofisim yok, sadece müşterim var. Yine de kapsamda mıyım? +

Büyük olasılıkla evet. AI Act coğrafyaya değil etkiye bakar: çıktısı AB'de kullanılan veya AB pazarına sunulan sistemler kapsama girer. AB'li müşteriniz kendi uyumu için sizden risk ve gözetim kanıtı istediğinde yükümlülük tedarik zinciriyle size ulaşır.

Önce hangisine odaklanmalıyım? +

İkisini tek programda yürütün. ISO 42001, AI Act'in istediği yönetim altyapısını kurar; AI Act ise hangi sistemlerin derin çalışma gerektirdiğini söyler. Ayrı ekipler ve ayrı dokümanlar en pahalı hatadır.