AI Yönetişim ve Uyum Danışmanlığı
ISO 42001, EU AI Act, KVKK ve NIST AI RMF — üretim AI çağında zorunlu hale gelen dört çerçeve.
2026 AI uyumu Türk kurumlar için nasıl şekilleniyor?
EU AI Act, 2 Şubat 2026'da 'kabul edilemez risk' yasağını uygulamaya başladı; GPAI yükümlülükleri 2 Ağustos 2026'da devreye girdi. ISO/IEC 42001 (Aralık 2023'te yayımlanan AI yönetim sistemi standardı) artık birincil sertifikasyon. Türkiye'de KVKK ve Cumhurbaşkanlığı AI Stratejisi yürürlükte. Şirketlerin yalnızca beşte biri olgun bir yönetişim modeline sahip (Databricks, 2026). OpenSeaPiranha, dört çerçeveyi de tek denetimle eşleyen tek bir audit yürütüyor.
- ▸ISO/IEC 42001 hazırlık değerlendirmesi artı sertifikasyon yol haritası
- ▸EU AI Act risk sınıflandırması ve risk azaltma kılavuzu
- ▸KVKK ve NIST AI RMF çapraz haritalama artı dokümantasyon seti
- ▸Angajmanlar 4–8 hafta sürüyor, $20K–$60K aralığında
2026'da Neden Acil
Yalnızca %20 olgun yönetişim
Databricks Enterprise AI Agent Trends 2026: her beş şirketten yalnızca biri olgun bir AI yönetişim modeli yürütüyor. Diğer %80, kapıya bir audit dayandığında düşecek.
EU AI Act takvimde
2 Şubat 2026 — kabul edilemez risk yasağı. 2 Ağustos 2026 — GPAI yükümlülükleri. 2 Şubat 2027 — yüksek riskli sistemler için tam uyum. AB müşterisine hizmet veren her Türk şirketi kapsam içinde.
ISO 42001, AI'nın ISO 27001'i oluyor
Aralık 2023'te yayımlanan AI Yönetim Sistemi standardı, 2026 boyunca RFP boilerplate'ine girdi. Sertifikaya sahip firma sayısı az — erken giren ihaleyi kapıyor.
ISO/IEC 42001 — AI Yönetim Sistemi Sertifikasyonu
Neyi kapsıyor
AI sistemlerinin yaşam döngüsü yönetimi: risk değerlendirmesi, veri yönetişimi, şeffaflık, hesap verebilirlik, tedarikçi gözetimi, olay müdahalesi. AI'ya odaklı bir mercekle ISO 27001 olarak düşünün.
OSP'nin yolu
Beş adım: mevcut sistem envanteri, gap analizi, politika ve prosedür dokümantasyonu, iç audit ve düzeltme, ardından sertifikasyon kurumu eşleştirmesi. Toplamda altı ila on iki hafta.
EU AI Act — 2026 Takvimi ve Türkiye İçin Anlamı
Risk kategorileri
Kabul edilemez (yasak — sosyal skorlama, gerçek zamanlı biyometrik gözetim), yüksek risk (tıp, eğitim, kritik altyapı — sıkı yükümlülükler), sınırlı risk (chatbot — şeffaflık görevleri), minimal risk (filtreler, oyunlar — yükümlülük yok).
Türkiye'ye nasıl iniyor
AB müşterisine hizmet veren, AB verisi işleyen, AB'ye AI ürünü satan veya AB sınırları içinde otomatik karar veren her Türk şirketi doğrudan kapsamda. Brüksel etkisi: yıl sonuna kadar ISO 42001 artı EU AI Act, çoğu Türk RFP'sinde bulunacak.
KVKK + NIST AI RMF — Yerel-Küresel Köprü
KVKK 2026 AI rehberi
Kişisel veri bir AI sistemi içinden geçtiğinde KVKK 2026 AI rehber dokümanı devreye giriyor. Aydınlatma, açık rıza ve veri minimizasyonu AI vakası için ayrıca tanımlanmış.
NIST AI Risk Yönetim Çerçevesi
ABD'de doğdu ama küresel bir RFP standardı. Map, Measure, Manage, Govern. ISO 42001'e çapraz haritalamak, ikisine birden uyumu tek seferde belgelememizi sağlıyor.
Nasıl Çalıştırıyoruz
Tek audit, dört çerçeve
ISO 42001, EU AI Act, KVKK ve NIST RMF tek bir cross-walk olarak belgelenir. Dört ayrı audit yerine paralel tek bir proje.
AgentOps entegrasyonu
Üretim audit kayıtları, tekrarlanabilirlik ve değişiklik yönetimi gereksinimleri AgentOps retainer'ı üzerinden operasyonelleşiyor.
Sektöre özel kılavuzlar
Savunma (sınıflandırılmış protokoller), sağlık (GDPR artı HIPAA artı KVKK), finans (KVKK artı SPK artı EU AI Act yüksek risk) — her birinin kendi runbook'u var.