قبل ستة أشهر كان ISO 42001 فضولاً. الآن يظهر في ثلاثة من كل خمسة RFPs مؤسسية. ما الذي يطلبه فعلاً، خطة OSP الخماسية، والجسر إلى KVKK وقانون الذكاء الاصطناعي الأوروبي.
ما الذي يغطيه ISO/IEC 42001 فعلاً
ISO/IEC 42001 — الصادر في ديسمبر 2023 — هو أول معيار دولي لنظام إدارة مبني خصيصاً للذكاء الاصطناعي. البنية تعكس ISO 27001 لكل من عاش تلك الشهادة. تعريف النطاق، التزام القيادة، تقييم المخاطر، الضوابط التشغيلية، تقييم الأداء، التحسين المستمر. الجديد هو مجموعة الضوابط الخاصة بالذكاء الاصطناعي في الملحق A: جودة البيانات، الشفافية، الإشراف البشري، إدارة دورة الحياة، شراء الذكاء الاصطناعي من طرف ثالث. لا يشهد بأن نموذجاً ما دقيق. يشهد بأن لدى المنظمة نظاماً قابلاً للدفاع عنه لإدارة الذكاء الاصطناعي الذي تبنيه وتشتريه. الفرق يهم حين يدخل المدقق.
لماذا أصبح معيار RFP في 2026
تقاطعت ثلاث قوى. أيقظ تطبيق قانون الذكاء الاصطناعي الأوروبي فرق المشتريات — احتاجوا طريقة لطرح سؤال "هل أنتم جادّون في حوكمة الذكاء الاصطناعي" دون أن يضطروا لتصميم السؤال بأنفسهم. أعطاهم ISO 42001 صندوق تأشير. وقام أثر بروكسل بالباقي. بدأت الشركات التركية التي تخدم العملاء الأوروبيين في إدراج لغة ISO 42001 ضمن استبيانات المورّدين بحلول الربع الأخير من 2025. تبعها مقاولو الدفاع. بحلول الربع الأول من 2026، أحصينا 31 من أصل 50 RFP مؤسسية للذكاء الاصطناعي في تركيا تشترط "حاصلة على ISO 42001 أو خارطة طريق فعالة للحصول عليها". عبارة "خارطة طريق فعالة" تحمل ثقلاً كبيراً — تعني خطة موثوقة، ومدقق متعاقد، وتاريخ مستهدف ضمن مدة العقد.
مسار OSP الخماسي
الخطوة الأولى — الجرد. كاتلِج كل نظام ذكاء اصطناعي ضمن النطاق: نماذج داخلية، APIs طرف ثالث، ميزات ذكاء اصطناعي مدمجة من المورّدين. معظم العملاء يستهينون بهذا بمقدار النصف. الخطوة الثانية — تحليل فجوة مقابل ضوابط الملحق A لـ ISO 42001، مُسجَّل بصدق. الخطوة الثالثة — توثيق السياسات والإجراءات، مرتكَز على مجموعة صغيرة من الوثائق الرئيسية بدلاً من غابة مخرجات متداخلة. الخطوة الرابعة — تدقيق داخلي ومعالجة، يجريهما شخص لم يكتب السياسات، لأن مسرحية التدقيق الذاتي أسوأ من عدم التدقيق. الخطوة الخامسة — مطابقة جهة الإصدار. سوق إصدار ISO 42001 في تركيا لا يزال رقيقاً؛ نحتفظ بقائمة قصيرة لجهات تم التحقق من كفاءة مدققيها في الذكاء الاصطناعي. من النهاية إلى النهاية، ستة إلى اثني عشر أسبوعاً لشركة متوسطة، أطول للقطاعات المنظَّمة.
الجسر إلى KVKK وقانون الذكاء الاصطناعي الأوروبي
ISO 42001 ليس بديلاً عن امتثال KVKK ولا عن جاهزية قانون الذكاء الاصطناعي الأوروبي — لكنه مضاعِف قوة لكليهما. جرد البيانات المبني لـ 42001 يخدم أيضاً كسجل معالجة تطلبه KVKK. تقييم المخاطر يُسقَط بسلاسة على منطق التصنيف عالي الخطورة في قانون الذكاء الاصطناعي الأوروبي. ضوابط الشفافية تُغذّي مباشرة التزامات الإفصاح للمستخدم في القانون. ابنِ مرة واحدة، أرضِ ثلاثة أُطُر. البديل — ثلاثة برامج امتثال متوازية تديرها ثلاث فرق مختلفة — يحرق مالاً لا تملكه شركات السوق المتوسط. نصمم برنامج 42001 مع علامات تشير إلى تقاطعات KVKK والقانون الأوروبي من أول مخرَج، وهذه هي الطريقة الوحيدة التي تنجح بها الحسابات.
أرقام محددة وكيف يبدو التكليف
عميل سوق متوسط، 50 إلى 500 موظف، نظامان إلى خمسة أنظمة ذكاء اصطناعي ضمن النطاق: من ستة إلى ثمانية أسابيع إجماليّاً، 35 ألفاً إلى 60 ألف دولار شامل أتعاب OSP وتكاليف جهة الإصدار. أضِف طبقة قطاعية — مالية، صحة، دفاع — ويمتد الجدول إلى عشرة أو اثني عشر أسبوعاً، معظمها بسبب جمع الأدلة لا بسبب عمل السياسات. المؤسسات الكبرى ذات العمليات العالمية ينبغي أن ترصد اثني عشر إلى ستة عشر أسبوعاً، وأن تتعامل مع التكليف كبرنامج لا كمشروع. في كلتا الحالتين، الشهادة نفسها صالحة لثلاث سنوات بعمليات تدقيق رقابية سنوية، وهنا يدفع انضباط التشغيل ثمن نفسه — التدقيق الرقابي غير مؤلم إن كان النظام حياً، مؤلم إن كان أوراقاً.
متى تبدأ
الإجابة الواضحة "أمس". الإجابة الواقعية "الآن". دورة RFP لعام 2026 تُفلتر بالفعل على حالة 42001. دورة 2027 ستعتبر غيابه مُسقِطاً للأهلية في أي مناقصة تشمل بيانات قطاع عام أو صناعات منظمة أو عملاء يتعاملون مع أوروبا. نافذة ستة أسابيع بين "ينبغي أن ننظر في هذا" و"لدينا ISMS معتمَد" قصيرة بما يكفي لئلا تُربك خارطة الطريق، طويلة بما يكفي ليُخاطر التأجيل ما بعد الربع الثالث من 2026 بخسارة مناقصة لمنافس بدأ في الربع الثاني. الحساب غير عاطفي. المعيار هنا، لغة المشتريات مثبَّتة، وعمل الشهادة نفسه أسهل جزء من مشهد الامتثال كله.