Altı ay önce ISO 42001 bir merak konusuydu. Şimdi her beş kurumsal RFP'den üçünde geçiyor. Aslında ne istediği, OSP beş adımlı yolu ve KVKK ile EU AI Act'e köprüsü.
ISO/IEC 42001 Aslında Neyi Kapsıyor
ISO/IEC 42001 — Aralık 2023'te yayımlandı — özellikle yapay zekâ için tasarlanmış ilk uluslararası yönetim sistemi standardı. Yapı, ISO 27001 sertifikasyonunu yaşamış herkese tanıdık gelecek. Kapsam tanımı, liderlik taahhüdü, risk değerlendirmesi, operasyonel kontroller, performans değerlendirmesi, sürekli iyileştirme. Yenilik Annex A'daki yapay zekâya özgü kontrol seti: veri kalitesi, şeffaflık, insan denetimi, yaşam döngüsü yönetimi, üçüncü taraf yapay zekâ tedariği. Bir modelin doğru olduğunu sertifikalamıyor. Kuruluşun inşa ettiği ve satın aldığı yapay zekâyı yönetmek için savunulabilir bir sistemi olduğunu sertifikalıyor. Denetçi içeri girdiğinde fark belli oluyor.
2026'da Neden RFP Standardı Oldu
Üç güç birleşti. EU AI Act yürürlüğü tedarik ekiplerini uyandırdı — "yapay zekâ yönetişimi konusunda ciddi misiniz" sorusunu sormanın, soruyu kendileri tasarlamak zorunda kalmadan bir yolu gerekiyordu. ISO 42001 onlara bir kutucuk verdi. Brussels etkisi gerisini halletti. Avrupalı müşterilere hizmet veren Türk kurumları 2025'in son çeyreğine doğru tedarikçi anketlerine ISO 42001 dilini eklemeye başladı. Savunma ana yüklenicileri takip etti. 2026'nın ilk çeyreğinde Türkiye'de örneklenen 50 kurumsal yapay zekâ RFP'sinin 31'inde "ISO 42001 sertifikalı veya aktif sertifikasyon yol haritası" şartı saydık. "Aktif sertifikasyon yol haritası" ifadesi çok şey ifade ediyor — inandırıcı bir plan, anlaşmalı bir denetçi ve sözleşme süresi içinde bir hedef tarih demek.
OSP Beş Adımlı Yol
Birinci adım — envanter. Kapsamdaki her yapay zekâ sistemini katalogla: iç modeller, üçüncü taraf API'ler, gömülü satıcı yapay zekâ özellikleri. Çoğu müşteri bunu yarı yarıya az tahmin ediyor. İkinci adım — dürüstçe puanlanmış ISO 42001 Annex A kontrollerine karşı boşluk analizi. Üçüncü adım — politika ve prosedür dokümantasyonu; üst üste binen eserlerin ormanı yerine küçük bir master doküman setine dayanarak. Dördüncü adım — politikaları yazmamış biri tarafından yürütülen iç denetim ve düzeltme; çünkü öz-denetim tiyatrosu hiç denetim yapmamaktan daha kötü. Beşinci adım — sertifikasyon kuruluşu eşleştirme. Türkiye'de ISO 42001 sertifikasyon pazarı hâlâ ince; yapay zekâ denetçi yetkinliği doğrulanmış kuruluşların kısa listesini tutuyoruz. Uçtan uca, mid-market şirket için altı ila on iki hafta; düzenlenmiş sektörler için daha uzun.
KVKK ve EU AI Act'e Köprü
ISO 42001 ne KVKK uyumunun ne de EU AI Act hazırlığının yerine geçiyor — ama her ikisi için bir kuvvet çarpanı. 42001 için kurulan veri envanteri KVKK'nın talep ettiği işleme sicili olarak da iş görüyor. Risk değerlendirmesi EU AI Act'in yüksek riskli sınıflandırma mantığına temiz biçimde eşleniyor. Şeffaflık kontrolleri AI Act'in kullanıcıya yönelik açıklama yükümlülüklerini doğrudan besliyor. Bir kez inşa et, üç çerçeveyi karşıla. Alternatif — üç farklı ekibin yürüttüğü üç paralel uyum programı — mid-market müşterilerin sahip olmadığı parayı yakıyor. 42001 programını ilk eserden itibaren KVKK ve AI Act örtüşmeleri işaretlenmiş şekilde tasarlıyoruz; matematik ancak böyle çalışıyor.
Somut Sayılar ve Angajman Nasıl Görünüyor
Mid-market müşteri, 50-500 çalışan, kapsamda iki ila beş yapay zekâ sistemi: toplam altı ila sekiz hafta, OSP ücretleri ve sertifikasyon kuruluşu maliyetleri dahil 35K-60K dolar. Sektörel bir katman ekleyin — finans, sağlık, savunma — ve takvim on ila on iki haftaya uzuyor; çoğunlukla politika çalışmasından değil kanıt toplamadan. Küresel operasyonları olan büyük kuruluşlar on iki ila on altı hafta bütçelemeli ve angajmanı proje yerine program olarak ele almalı. Her iki durumda da sertifikasyon üç yıl geçerli, yıllık gözetim denetimleri var; işletim disiplini kendini orada amorti ediyor — sistem canlıysa gözetim acısız, kâğıt işiyse acılı.
Ne Zaman Başlamalı
Aşikâr cevap "dün". Gerçekçi cevap "şimdi". 2026 RFP döngüsü zaten 42001 statüsüne göre filtreliyor. 2027 döngüsü kamu sektörü verisi, düzenlenmiş endüstriler veya AB'ye dönük müşteri içeren her ihalede yokluğunu eleyici sayacak. "Buna bakmalıyız" ile "sertifikalı bir ISMS'imiz var" arasındaki altı haftalık pencere yol haritasını saptırmayacak kadar kısa, 2026'nın üçüncü çeyreğinden sonraya ertelemeyi 2. çeyrekte başlamış bir rakibe ihale kaybetme riski yapacak kadar uzun. Matematik duygusal değil. Standart burada, tedarik dili kilitlendi ve sertifikasyon işinin kendisi tüm uyum manzarasının en kolay parçası.