ISO 42001 Sertifikanız Var. Peki Bu Yeterli mi?
Bu soruyu son birkaç ayda çok aldım: "ISO/IEC 42001 sertifikamı alırsam EU AI Act uyumum tamamlanmış sayılır mı?"
Kısa cevap: hayır. Ama hikaye burada bitmiyor.
ISO 42001 ile EU AI Act arasında anlamlı bir örtüşme var; literatürde bu oran yüksek riskli sistem gereksinimleri için %70-80 olarak tahmin ediliyor.¹ Ama kalan %20-30, tam olarak denetçilerin ve düzenleyicilerin baktığı yerler. Bu yazıda neyin örtüştüğünü, neyin örtüşmediğini ve önceliklendirmenizi nasıl yapmanız gerektiğini somut biçimde ele alacağım.
ISO 42001 Kapsamı Nedir?
ISO/IEC 42001:2023, yapay zeka yönetim sistemleri için dünyanın ilk uluslararası standardıdır.² Aralık 2023'te yayımlandı. ISO 9001 veya ISO 27001'e aşinaysanız, yapıyı tanıyacaksınız: Madde 4'ten 10'a uzanan bir çerçeve; bağlam, liderlik, planlama, destek, operasyon, performans değerlendirme ve iyileştirme.
Ama ISO 42001'in özü şu: bir yapay zeka yönetim sistemi (AIMS) kurmanızı ve bunu sürdürmenizi talep eder. Bu, AI ile ne yaptığınızı biliyor olmanız, riskleri değerlendirmeniz, politika sahibi olmanız ve bunu kanıtlayabilmeniz anlamına gelir.
EU AI Act ise farklı bir şey yapar. O bir yönetim sistemi standardı değil, bir düzenlemedir. Size "nasıl yönetin" değil, "neyi yapın veya yapmayın" der. Ayrımı önemli.
Hangi Maddeler Örtüşüyor?
Somut eşleşmelere bakalım. ISO 42001 Madde 6.1.2 (AI risk değerlendirmesi), EU AI Act Madde 9'daki (yüksek riskli sistemler için risk yönetim sistemi) gereksinimlerle güçlü biçimde örtüşüyor.³ Her ikisi de risklerin tanımlanmasını, analiz edilmesini ve kontrol altına alınmasını talep ediyor.
Benzer şekilde ISO 42001 Madde 7 (destek ve kaynaklar) ile EU AI Act Madde 11 (teknik dokümantasyon) arasında pratik bir bağ var. ISO 42001 için hazırladığınız AIMS dokümantasyonu, EU AI Act Ek IV gereksinimlerinin önemli bir bölümüne zemin oluşturuyor.
Şeffaflık ve insan gözetimi konularında da benzer tablo geçerli. ISO 42001 Madde 8, AI sistemlerinin sorumlu biçimde işletilmesini ve izlenmesini gerektiriyor. EU AI Act Madde 13 (şeffaflık) ve Madde 14 (insan gözetimi) bu alanla çakışıyor.
Performans izleme de kesişiyor. ISO 42001 Madde 9'daki sürekli ölçüm ve denetim gereksinimleri, EU AI Act Madde 72'deki (piyasa sonrası izleme) ruhu taşıyor.
Kısaca: ISO 42001'i ciddiye alıp doğru uyguladıysanız, yüksek riskli sistem gereksinimlerinin büyük bölümüne güçlü bir altyapı kurmuşsunuz demektir.
Kritik Boşluklar: ISO 42001'in Kapsamadığı Alan
Asıl kritik nokta burada.
Otomatik kayıt (Madde 12). EU AI Act, yüksek riskli sistemlerin operasyon sırasında olayları otomatik olarak kaydetmesini zorunlu kılıyor; bu kayıtlara yetkili makamlar erişebilmeli. ISO 42001 izleme ve ölçüm gerektiriyor, ama uygulama esnekliğini kuruluşa bırakıyor. Düzenleme bu konuda çok daha spesifik.
Uygunluk değerlendirmesi ve CE işareti (Madde 43). Yüksek riskli AI sistemleri için AB'nin belirlediği usule göre uygunluk değerlendirmesi yapmanız gerekiyor. ISO 42001 sertifikası bu prosedürün yerini almıyor; tamamlayıcı bir kanıt niteliği taşıyor.
AB veritabanı kaydı (Madde 49). Belirli yüksek riskli sistemler için piyasaya sürülmeden önce AB veritabanına kayıt zorunluluğu var. Bu tamamen düzenleyici bir prosedür; ISO 42001 kapsamı dışında.
Yasaklı uygulamalar (Madde 5). Madde 5 kapsamında yasaklanan AI kullanımları (sosyal skorlama, bilinçaltı manipülasyon vb.) bir yönetim sistemi standardıyla ele alınan konular değil. Bunlar doğrudan hukuki yasaklar.
Özetle: ISO 42001 "nasıl iyi yönetirim" sorusunu cevaplıyor. EU AI Act ise ek olarak "hangi prosedürü izlerim, nereye kayıt yaptırırım, nasıl belgelerim" sorularına da cevap istiyor.
Türk Şirketler İçin Öncelik Sırası
Eğer ISO 42001 sertifikanız varsa veya süreçteyseniz, tebrikler: başlangıç noktanız zaten iyi. Şimdi yapmanız gereken şey bir boşluk analizi (gap analysis).
ORIENT çerçevesini kullanırsak, bulunduğunuz yer Evaluate aşamasının başlangıcı. ISO 42001 altyapınızın EU AI Act gereksinimlerini ne ölçüde karşıladığını madde bazında haritalandırmanız gerekiyor.
Pratik başlangıç noktaları:
1. Risk değerlendirmenizi EU AI Act diliyle genişletin. ISO 42001 Madde 6.1.2 çalışmanız varsa, bu değerlendirmeye "sağlık, güvenlik ve temel haklar" perspektifini ekleyin. EU AI Act Madde 9 bu ifadeyi özellikle kullanıyor.
2. Teknik dokümantasyonunuzu Ek IV'e göre gözden geçirin. AIMS dokümantasyonunuzun Ek IV gereksinimlerini karşılayıp karşılamadığına bakın; sistem amaçları, test yöntemleri, risk değerlendirme sonuçları bu listede.
3. Otomatik kayıt mekanizmanızı değerlendirin. Mevcut izleme altyapınız Madde 12'nin "otomatik kayıt" gereksinimini karşılıyor mu? Bu genellikle teknik bir geliştirme gerektiriyor.
4. Uygunluk değerlendirmesi yolunu netleştirin. Sisteminizin Ek I mi (ürün güvenliği, 2027) yoksa Ek III mi (2026) kapsamında olduğunu belirleyin. Bu, önceliklerinizi doğrudan etkiliyor.
Sisteminizin hangi risk kategorisine girdiğinden emin değilseniz, EU AI Act Risk Sınıflandırıcısını kullanarak 7 adımda netleştirebilirsiniz.
ISO 42001'in Gerçek Değeri: Kanıt Üretme Kapasitesi
ISO 42001 sertifikasının EU AI Act'a kıyasla genellikle eksik anlatılan bir boyutu var: kanıt üretme kapasitesi.
EU AI Act denetimlerinde düzenleyici otorite, uyumu belgeleyen kanıtlar isteyecek. ISO 42001 implementasyonu, bu kanıtları sistematik biçimde üretmenizi sağlayan süreçleri kurar. Audit trail'ler, yönetim gözden geçirmeleri, iç denetim raporları; bunların hepsi EU AI Act denetiminde kullanabileceğiniz materyaller.
Bu açıdan bakıldığında ISO 42001, EU AI Act uyumunun "nasıl ispat ederim" sorusuna güçlü bir cevap. Yalnız başına yeterli değil, ama olmadan gitmek çok daha zor.
Sıkça Sorulan Sorular {#sss}
ISO 42001 sertifikası EU AI Act uyumu için zorunlu mu?
Hayır, EU AI Act ISO 42001 sertifikasını zorunlu kılmıyor. Ancak yüksek riskli AI sistemi işleten kuruluşlar için güçlü bir zemin oluşturuyor ve denetim süreçlerini kolaylaştırıyor. Düzenleme standarda değil sonuca bakıyor; ISO 42001 o sonuca ulaşmanın kanıtlanmış bir yolu.
ISO 42001 ile EU AI Act arasındaki örtüşme oranı nedir?
Literatürde yüksek riskli sistem gereksinimleri (Maddeler 9-15) için %70-80 örtüşme tahmin ediliyor. Risk yönetimi, dokümantasyon, şeffaflık ve insan gözetimi konularında güçlü hizalama var. Boşluklar ağırlıklı olarak otomatik kayıt, uygunluk değerlendirmesi prosedürleri ve AB veritabanı kaydında.
ISO 42001 implementasyonu ne kadar sürer?
Kuruluşun büyüklüğüne ve mevcut AI yönetişim olgunluğuna göre değişiyor. Sıfırdan başlayan bir KOBİ için 6-12 ay gerçekçi bir tahmin. Eğer ISO 9001 veya ISO 27001 gibi standartlara aşinalık varsa, bu süre belirgin biçimde kısalabiliyor.
Türkiye'deki şirketlerin EU AI Act kapsamında olup olmadığını nasıl anlarım?
EU AI Act'ın kapsam maddesi (Madde 2) coğrafi değil, etki bazlı çalışıyor. AB pazarına hizmet veren, AB'deki kullanıcıları etkileyen veya AB çıktısı kullanan AI sistemleri kapsam içinde. Türk şirketlerin büyük bölümü, AB ile ticari veya hizmet ilişkisi varsa kapsama giriyor.
Mevcut ISO 27001 sertifikam ISO 42001'e geçişi kolaylaştırır mı?
Evet, anlamlı ölçüde. Her iki standart da ISO Yüksek Yapısını (High Level Structure) kullanıyor; liderlik taahhüdü, risk yönetimi ve sürekli iyileştirme bölümleri yapısal olarak benzer. ISO 27001 sahibi kuruluşlar genellikle adaptasyon sürecini daha hızlı tamamlıyor.
---
Kaynaklar
1. Glocert International. EU AI Act Preparation Using ISO 42001: Practical Mapping Guide. glocertinternational.com. glocertinternational.com
2. International Organization for Standardization. ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system. iso.org, Aralık 2023. iso.org
3. European Union AI Act Service Desk. Article 9: Risk management system. Avrupa Komisyonu. ai-act-service-desk.ec.europa.eu
4. ISMS.online. Is Your AI Risk Management Ready for Article 9 and ISO 42001? isms.online. isms.online
5. Avrupa Parlamentosu ve Konseyi. Regulation (EU) 2024/1689 — Artificial Intelligence Act. EUR-Lex, 12 Temmuz 2024. eur-lex.europa.eu