ISO 42001 gönüllü seçtiğiniz bir sertifika; EU AI Act ise vazgeçemeyeceğiniz bir düzenleme. Altta yatan işin yaklaşık %70'i ortak, hukuki ağırlığın tamamı farklı. Kafa kafaya karşılaştırma — her biri ne istiyor, iş nerede üst üste biniyor ve Türkiye ya da Körfez'de bir operatör hangisinden başlamalı.
ISO 42001 mı EU AI Act mı — Hangisi Gerçekten Lazım?
İkisi de, ve ikisini karıştırmak uyum bütçesinin nasıl çarçur edildiğidir. ISO/IEC 42001 gönüllü seçtiğiniz, sertifikalandırabileceğiniz bir yönetim sistemi standardı; EU AI Act ise istesen de istemesen de sistemlerinize uygulanan bağlayıcı bir kanun. Biri tedarik kapılarını açan bir sertifika kazandırır. Diğeri global cironun €35M veya %7'sine kadar ceza taşır ve bir ürünü AB pazarından men edebilir. İkisini birbirinin yerine koyan bir yönetim kurulu — ISO sertifikası alırız, AI Act uyumu deriz — pahalı bir sürprize hazırlanıyor. Sertifika kanun değildir; kanun da sertifika dağıtmaz. İşe yarayan soru hangisi değil, hangi sırayla ve hangi sistemlere karşı. O sıralama oyunun tamamı ve Türkiye ile Körfez'deki çoğu operatörün 2026'da yanlış yaptığı şey tam da bu.
Her Biri Tek Cümlede Ne?
ISO/IEC 42001 — Aralık 2023'te yayımlandı — yapay zekâ için ilk uluslararası yönetim sistemi standardı: gönüllü, akredite bir kuruluşça sertifikalanabilir, kuruluşunuz seviyesinde değerlendirilir. EU AI Act — 2 Şubat 2025'ten beri dalgalar halinde yürürlükte — tek tek yapay zekâ sistemlerini risk kademesine göre sınıflayan ve her birine yükümlülük bağlayan bağlayıcı bir düzenleme: zorunlu, üye devlet otoritelerince uygulanır, ürününüz seviyesinde değerlendirilir. Sade haliyle: 42001 kuruluşunuzun yapay zekâyı savunulabilir bir süreçle yönettiğini belgeler; AI Act ise belirli bir sistemin pazara çıkıp çıkamayacağını ve hangi koşullarla çıkacağını düzenler. Biri nasıl işlediğinizle ilgili. Diğeri neyi piyasaya sürmenize izin verildiğiyle. Bu seride iki kardeş yazı ISO sertifika yolunu ve Act'in dalga takvimini ayrı ayrı açıyor; bu yazı ikisi aynı anda geçerli olduğunda yönetim kurulunun verdiği kararla ilgili.
Sıranızı Belirleyen Altı Fark
Altı eksen ikisini ayırır ve her biri planınızı değiştirir. Hukuki bağlayıcılık — ISO 42001 gönüllü; AI Act kapsamdaki sistemler için zorunlu, çıkış yok. Kapsam — 42001 tüm yapay zekâ yönetim sisteminizi kapsar; Act sistem sistem, risk kademesiyle ısırır. Tetik — 42001'i siz seçersiniz; Act bir sistemin ne yaptığına ve hangi pazara dokunduğuna göre otomatik uygulanır. Kanıt — 42001 akredite kuruluştan bir sertifikayla biter; Act uygunluk değerlendirmesi, teknik dokümantasyon (Annex IV) ve yüksek riskli sistemler için AB veri tabanına kayıt ister. Ceza — 42001'i kaçırırsanız bir ihale kaybedersiniz; Act'i ihlal ederseniz €35M veya global cironun %7'si ve pazar yasağıyla karşılaşırsınız. Coğrafya — 42001 her yerde tanınan global bir standart; Act AB hukuku, ama Brussels etkisi onu Avrupalı müşteriler ve tedarik zincirleri üzerinden Türk ve Körfez RFP'lerine sürüklüyor. Bu altıyı okuyun, sıra kendini seçer: kanun sert son tarihi koyar, standart yönetişimi savunulabilir kılar.
İş Nerede Üst Üste Biniyor — Bir Kez Kurduğunuz %70
Asıl emeğin büyük bölümü her iki çerçeveye birden hizmet eder; bütçe matematiğinin tutmasının tek nedeni budur. Act için kurduğunuz yapay zekâ sistemi envanteri, ISO 42001'in kapsam aşamasında istediği envanterin aynısıdır. Risk değerlendirmesi iki yönde de temiz eşlenir — Act'in risk kademesi mantığı ile 42001'in Annex A risk kontrolleri aynı sistemleri farklı kelimelerle okuyor. İnsan denetimi tasarımı, şeffaflık kontrolleri ve piyasa sonrası izleme neredeyse madde madde ikisine de yazılı; Act'in Article 14 denetimi ve Article 72 piyasa sonrası izlemesi, 42001'in performans değerlendirme maddesinin beklediği aynı operasyonel telemetriye iner. Aynı veri envanteri bir KVKK işleme kaydı olarak ikiye katlanır. Envanteri, risk haritasını, denetim akışını ve izleme telemetrisini bir kez kurun; üç rejimin yük taşıyan kısımlarını karşılamış olursunuz. SİNAN'ın Archidecors'ta on sekiz aydır üretimde yürüttüğü iş tam da bu — denetim izi, ajanı iyi işletmenin yan ürünüydü, sonradan cıvatalanan bir uyum projesi değil.
Nerede Üst Üste Binmiyor — Ekipleri Tökezleten %30
Boşluklar hacimce küçük, sonuçça büyük. ISO 42001 size hiçbir hukuki güvenli liman vermez — akredite bir sertifika iyi sürecin kanıtıdır, Act'e uyumun değil; bir düzenleyici bunu yüzünüze söyler. AI Act ise size hiçbir yönetim sistemi disiplini vermez — sistem bazlı uygunluk değerlendirmesini geçip yine de hiçbir yönetim gözden geçirmesi, iç denetim, sürekli iyileştirme döngüsü olmadan kalabilirsiniz; ki 42001 tam da bu yönetişim boşluğunu kapatmak için var. Yalnız AI Act tarafında yaşayan üç şey: yüksek risk uygunluk değerlendirmesi, AB veri tabanı kaydı ve kullanıcıya bir makineyle muhatap olduğunu söyleyen Article 50 şeffaflık açıklamaları. Yalnız ISO tarafında yaşayan üç şey: politikaları yazmayan birinin yürüttüğü resmi iç denetim, liderlik seviyesinde yönetim gözden geçirmesi ve yıllık gözetim denetimli üç yıllık sertifika döngüsü. Tuzak şu: 42001 sertifikası alıp zaferi ilan eden, sonra hiçbir uygunluk dosyası olmadan yüksek riskli bir AB konuşlandırmasına giren ekip. Sertifikalı ama uyumsuz, gerçek ve yaygın bir durum — birden fazla durum tespiti incelemesinde bu duruma girdik.
İşlettiğimiz Sıra — ve Karar Kuralı
Ortak envanter ve sınıflandırmayla başlayın; çünkü aşağıdaki her şeyi besler. AB müşterilerine ya da yüksek sonuçlu kararlara dokunan herhangi bir sistem için — kredi, işe alım, tanı, kritik altyapı — önce AI Act sınıflandırmasını yürütün; çünkü sabit takvim kanunun elinde: 2 Ağustos 2026'da genel uygulanabilirlik ve Article 50 şeffaflık kuralları, 2 Aralık 2027'de yüksek riskli Annex III yükümlülükleri, yasaklar ve GPAI kuralları ise 2025'ten beri zaten yürürlükte. ISO 42001'i üstüne katın; o uyum işini tedarik ekiplerinin tanıdığı bir sertifikaya çevirsin — mid-market bir şirket için altı ila on iki hafta ve kabaca $35K–$60K. Yükümlülük listesini ve düzenleyici takvimi canlı tutan araç ise AI Act Radar'a inşa ettiğimiz şey. Karar kuralı tek satır: son tarihleri kanun koysun, disiplini standart kanıtlasın — ve bir sistem hem AB'ye dönükse hem yüksek riskliyse, ikisi arasında seçim yapmıyorsunuz, ikisini de, o sırayla yürütüyorsunuz. HEALBAL'ın tanısal pilotu ve BÖRÜ Pack'in NATO'ya dönük maruziyeti bu kesişimde duruyor; her biri için önce Act'i, sonra sertifikayı kapsama almamızın nedeni bu.