İki kilometre taşı çoktan yürürlükte: 2 Şubat 2025 yasaklar, 2 Ağustos 2025 GPAI. Sıradaki büyük tarih yüksek-risk Annex III için 2 Aralık 2027. Brussels etkisi Türk RFP'lerinde bu dili çoktan konuşturuyor. Ciddi operatörler için tezli yol haritası.
Takvimi Tanımlayan Kilometre Taşları
EU AI Act tek bir son tarih olarak gelmiyor; dalgalar halinde yürürlüğe giriyor ve ilk iki dalga çoktan canlı. 2 Şubat 2025'ten beri kabul edilemez riskli sistemlerin yasakları yürürlükte; 2 Ağustos 2025'ten beri genel amaçlı yapay zekâ (GPAI) yükümlülükleri ve yönetişim kurallarının ilk turu uygulanıyor. Sıradakiler: 2 Ağustos 2026'da genel uygulanabilirlik ve şeffaflık görevleri (Article 50); 2 Aralık 2027'de yüksek riskli Annex III sistemleri için gereksinimler (Digital Omnibus ertelemesiyle orijinal 2 Ağustos 2026 tarihinden ötelendi). Düzenlemeyi tek bir tarih olarak okumak yönetim kurulu sohbetlerinde gördüğüm en yaygın hata. Birden fazla kontrol noktası içeren bir takvim olarak ele almak — ve portföyünüzü her birine karşı haritalandırmak — ciddi operatörlerin zaten yaptığı şey. İlk iki tarih geride; takvim duvarınızda ve saat çoktan işliyor.
Risk Kategorileri, Sade Türkçe
Dört kademe. Kabul edilemez risk — sosyal puanlama, manipülatif bilinçaltı teknikleri, dar kolluk istisnaları olan kamusal alanlarda gerçek zamanlı biyometrik tanımlama. 2 Şubat 2025'ten beri tamamen yasak ve yürürlükte. Yüksek risk — kritik altyapıda, eğitime erişimde, istihdam kararlarında, kredi puanlamasında, kolluk kuvvetlerinde, göçte, adalette yapay zekâ. En ağır dokümantasyon, test ve piyasa sonrası izleme yükümlülükleri burada. Sınırlı risk — chatbot'lar, deepfake'ler, duygu tanıma — şeffaflık yükümlülüğü, çoğunlukla makineyle konuştuğunuzu açıklamak. Minimum risk — geri kalan her şey, resmi yükümlülük yok. Çoğu kurumsal yapay zekâ konuşlandırması yüksek ya da sınırlı kategoride sonlanıyor. Sisteminizin hangisine düştüğünü bilmek otuz dakikalık bir hukuki egzersiz; neredeyse kimse yapmamış.
Brussels Etkisi Türk RFP'lerine Çarpıyor
Türkiye AB'de değil. AI Act, sadece yurt içinde faaliyet gösteren Türk kuruluşlarına resmi olarak uygulanmıyor. Bu cümle teknik olarak doğru ve operasyonel olarak işe yaramaz. Avrupalı müşterileri, Avrupalı veri sahipleri ya da bu hedeflere yönelik aspirasyonu olan her Türk şirketi şu an AI Act uyumuna atıfta bulunan sözleşmeler müzakere ediyor. 2025'in son çeyreğinde savunma tedarikinde, fintech RFP'lerinde ve birkaç mid-market SaaS ihalesinde AI Act dilini gözlemledik — hiçbiri yasal olarak içermek zorunda değildi. Tedarik ekipleri ekledi çünkü denetçileri istedi. 2026 sonuna kadar sınır ötesi maruziyetten bağımsız olarak AI Act eşdeğeri dilin RFP standardı olmasını bekleyin. Brussels etkisi tam da bu — düzenleyici çekim, satın alma siparişleri üzerinden ihraç ediliyor.
Türkiye'de Sektörel Etki
Savunma — çift kullanımlı yapay zekâ Act'ten kısmen muaf, ama NATO ortaklarına hizmet veren ya da Avrupa savunma tedarik zincirine satan şirketler fiilî uygulama ile karşılaşıyor. BÖRÜ Pack sınıfı sistemler bu bölgede yaşıyor. Sağlık — tanısal yapay zekâ Act altında yüksek risk; nokta. Avrupa hastanelerini hedefleyen Türk healthtech şirketleri tam uyumluluk değerlendirmesi planlamak zorunda. Finans — kredi puanlama, sigorta fiyatlama ve AML sistemleri açıkça adlandırıldı. AB pasaportu hedefleyen Türk fintech'lerin bunu çoktan kapsama almış olması gerek. Kamu sektörü ve eğitim sırada; tedarik döngüleri yavaş olduğu için en uzun kuyruk onlarda. Sektörler arası örüntü tutarlı — yapay zekâ kararının sonucu ne kadar ağırsa Act o kadar derinden uzanıyor.
Yol Haritasına Ne Giriyor
Beş iş akışı. Yapay zekâ envanteri ve sınıflandırması — her sistem belgelenmiş gerekçelerle bir risk kademesine eşlenmiş. Teknik dokümantasyon — model kartları, eğitim verisi özetleri, performans metrikleri, bilinen sınırlar. Act buna Annex IV diyor; biz son denetiminizde sahip olmayı dilediğiniz dosya diyoruz. Risk yönetim sistemi — sürekli, tek seferlik değil. İnsan denetimi — iş akışına tasarlanmış, bir feragatname olarak cıvatalanmış değil. Piyasa sonrası izleme — konuşlandırılmış bir model yanlış davranmaya başladığında size haber veren operasyonel telemetri. Bu arada AgentOps'un istediği telemetrinin aynısı. İş akışlarını bir kez kur, birden çok çerçeveyi karşıla. AI Act, ISO 42001 ve KVKK için ayrı uyum yığınları kurmaya çalışmak bütçe yakan bir hata.
Bugün Bir Yönetim Kuruluna Söyleyeceğim Şey
Üç cümle. Bir — AI Act düzenleyici bir belge olmadan çok önce bir tedarik belgesi; yani eylemsizliğin ilk maliyeti ihale kaybı, ceza değil. İki — uyum için yapılacak teknik iş büyük ölçüde yapay zekâyı sorumlu şekilde işletmek için zaten yapılması gereken teknik iş; yani yapmanız gerekenin üzerine eklenen marjinal maliyet düşük. Üç — yasaklar ve GPAI yükümlülükleri zaten yürürlükte; envanteri bu çeyrek başlat, yüksek risk sınıflandırmasını gelecek çeyrek bitir, teknik dokümantasyonu 2 Ağustos 2026 genel uygulanabilirlik ve şeffaflık tarihine ve 2 Aralık 2027 yüksek-risk Annex III tarihine yetişecek şekilde hazırla. Takvim sabit. İş bitimli. Bunu uzak bir gelecek sorunu olarak gören yönetim kurulları, ilk Avrupa ihale yanıtları AI Act hazırlığı hakkında tek satırlık notla geri döndüğünde rahatsız edici sorulara cevap veriyor olacak.