Üç tarih: 2 Şubat 2026, 2 Ağustos 2026, 2 Şubat 2027. Brussels etkisi Türk RFP'lerinde bu dili çoktan konuşturuyor. Ciddi operatörler için tezli yol haritası.
Önümüzdeki On Sekiz Ayı Tanımlayan Üç Tarih
EU AI Act tek bir son tarih olarak gelmiyor. Üç dalgada geliyor — 2 Şubat 2026, kabul edilemez riskli sistemlerin yasaklarının yürürlüğe girdiği gün; 2 Ağustos 2026, genel amaçlı yapay zekâ yükümlülükleri ve yönetişim kurallarının ilk turunun canlılaştığı gün; 2 Şubat 2027, yüksek riskli sistem gereksinimlerinin tamamlandığı gün. Düzenlemeyi tek bir tarih olarak okumak yönetim kurulu sohbetlerinde gördüğüm en yaygın hata. Üç kontrol noktası içeren bir takvim olarak ele almak — ve portföyünüzü her birine karşı haritalandırmak — ciddi operatörlerin zaten yaptığı şey. Takvim duvarınızda; ona henüz bakmamış olsanız bile.
Risk Kategorileri, Sade Türkçe
Dört kademe. Kabul edilemez risk — sosyal puanlama, manipülatif bilinçaltı teknikleri, dar kolluk istisnaları olan kamusal alanlarda gerçek zamanlı biyometrik tanımlama. Şubat 2026'dan itibaren tamamen yasak. Yüksek risk — kritik altyapıda, eğitime erişimde, istihdam kararlarında, kredi puanlamasında, kolluk kuvvetlerinde, göçte, adalette yapay zekâ. En ağır dokümantasyon, test ve piyasa sonrası izleme yükümlülükleri burada. Sınırlı risk — chatbot'lar, deepfake'ler, duygu tanıma — şeffaflık yükümlülüğü, çoğunlukla makineyle konuştuğunuzu açıklamak. Minimum risk — geri kalan her şey, resmi yükümlülük yok. Çoğu kurumsal yapay zekâ konuşlandırması yüksek ya da sınırlı kategoride sonlanıyor. Sisteminizin hangisine düştüğünü bilmek otuz dakikalık bir hukuki egzersiz; neredeyse kimse yapmamış.
Brussels Etkisi Türk RFP'lerine Çarpıyor
Türkiye AB'de değil. AI Act, sadece yurt içinde faaliyet gösteren Türk kuruluşlarına resmi olarak uygulanmıyor. Bu cümle teknik olarak doğru ve operasyonel olarak işe yaramaz. Avrupalı müşterileri, Avrupalı veri sahipleri ya da bu hedeflere yönelik aspirasyonu olan her Türk şirketi şu an AI Act uyumuna atıfta bulunan sözleşmeler müzakere ediyor. 2025'in son çeyreğinde savunma tedarikinde, fintech RFP'lerinde ve birkaç mid-market SaaS ihalesinde AI Act dilini gözlemledik — hiçbiri yasal olarak içermek zorunda değildi. Tedarik ekipleri ekledi çünkü denetçileri istedi. 2026 sonuna kadar sınır ötesi maruziyetten bağımsız olarak AI Act eşdeğeri dilin RFP standardı olmasını bekleyin. Brussels etkisi tam da bu — düzenleyici çekim, satın alma siparişleri üzerinden ihraç ediliyor.
Türkiye'de Sektörel Etki
Savunma — çift kullanımlı yapay zekâ Act'ten kısmen muaf, ama NATO ortaklarına hizmet veren ya da Avrupa savunma tedarik zincirine satan şirketler fiilî uygulama ile karşılaşıyor. BÖRÜ Pack sınıfı sistemler bu bölgede yaşıyor. Sağlık — tanısal yapay zekâ Act altında yüksek risk; nokta. Avrupa hastanelerini hedefleyen Türk healthtech şirketleri tam uyumluluk değerlendirmesi planlamak zorunda. Finans — kredi puanlama, sigorta fiyatlama ve AML sistemleri açıkça adlandırıldı. AB pasaportu hedefleyen Türk fintech'lerin bunu çoktan kapsama almış olması gerek. Kamu sektörü ve eğitim sırada; tedarik döngüleri yavaş olduğu için en uzun kuyruk onlarda. Sektörler arası örüntü tutarlı — yapay zekâ kararının sonucu ne kadar ağırsa Act o kadar derinden uzanıyor.
Yol Haritasına Ne Giriyor
Beş iş akışı. Yapay zekâ envanteri ve sınıflandırması — her sistem belgelenmiş gerekçelerle bir risk kademesine eşlenmiş. Teknik dokümantasyon — model kartları, eğitim verisi özetleri, performans metrikleri, bilinen sınırlar. Act buna Annex IV diyor; biz son denetiminizde sahip olmayı dilediğiniz dosya diyoruz. Risk yönetim sistemi — sürekli, tek seferlik değil. İnsan denetimi — iş akışına tasarlanmış, bir feragatname olarak cıvatalanmış değil. Piyasa sonrası izleme — konuşlandırılmış bir model yanlış davranmaya başladığında size haber veren operasyonel telemetri. Bu arada AgentOps'un istediği telemetrinin aynısı. İş akışlarını bir kez kur, birden çok çerçeveyi karşıla. AI Act, ISO 42001 ve KVKK için ayrı uyum yığınları kurmaya çalışmak bütçe yakan bir hata.
Bugün Bir Yönetim Kuruluna Söyleyeceğim Şey
Üç cümle. Bir — AI Act düzenleyici bir belge olmadan çok önce bir tedarik belgesi; yani eylemsizliğin ilk maliyeti ihale kaybı, ceza değil. İki — uyum için yapılacak teknik iş büyük ölçüde yapay zekâyı sorumlu şekilde işletmek için zaten yapılması gereken teknik iş; yani yapmanız gerekenin üzerine eklenen marjinal maliyet düşük. Üç — envanteri bu çeyrek başlat, yüksek risk sınıflandırmasını gelecek çeyrek bitir, teknik dokümantasyonu Ağustos 2026 GPAI tarihinden önce hazırla. Takvim sabit. İş bitimli. Bunu 2027 sorunu olarak gören yönetim kurulları, ilk Avrupa ihale yanıtları AI Act hazırlığı hakkında tek satırlık notla geri döndüğünde 2026'nın üçüncü çeyreğinde rahatsız edici sorulara cevap veriyor olacak.