EU AI Act (Regulation 2024/1689) 1 Ağustos 2024’te yürürlüğe girdi; yüksek riskli AI sistemleri için tam compliance takvimi 2 Ağustos 2026 olarak belirlendi ve ihlallerde ciro üzerinden yüzde 7’ye kadar idari para cezası uygulanıyor.
EU AI Act 2026: Stratejik Çerçeve ve Risk Sınıflandırması
EU AI Act, dünyada genel-amaçlı AI sistemlerini düzenleyen ilk kapsamlı yasal çerçeve. 13 Haziran 2024’te resmi gazetede yayınlandı ve 1 Ağustos 2024’te yürürlüğe girdi. Tam uyum takvimi kademeli: Şubat 2025 yasaklı AI uygulamaları, Ağustos 2025 genel amaçlı AI (GPAI) modeli yükümlülükleri, Ağustos 2026 yüksek riskli sistemler için tam uyum, Ağustos 2027 Ek III dışındaki yüksek riskli sistemler. Yaptırımlar: yasaklı uygulamalar için 35 milyon euro veya küresel yıllık cironun yüzde 7’si (hangisi yüksekse), yüksek riskli sistem ihlali için 15 milyon euro veya yüzde 3, bilgi yanlışlığı için 7,5 milyon euro veya yüzde 1.
Yasa “risk-tabanlı yaklaşım” benimsiyor: dört risk kategorisi (unacceptable, high, limited, minimal). Unacceptable kategorisi sosyal skorlama, biyometrik gerçek-zamanlı kamuya açık yer kimliklendirme (sınırlı istisnalarla), manipülatif teknikler gibi uygulamaları yasaklıyor. High-risk kategorisi Annex III’te listelenen 8 alan: biyometri, kritik altyapı, eğitim/meslek, istihdam, esansiyel hizmetlere erişim, hukuk uygulama, göç, adalet uygulamaları. Bu sistemlere conformity assessment, CE markası, post-market monitoring gibi yükümlülükler getiriyor.
Yüksek Riskli AI Sistemleri için Yükümlülük Matrisi
Yüksek riskli sistem üreticileri ve operatörleri (provider, importer, distributor, deployer) farklı yükümlülüklere sahip. Provider yapısal yükümlülüklerle (risk management system, data governance, technical documentation, record-keeping, transparency, human oversight, accuracy/robustness/cybersecurity) ilgilenir; deployer kullanım sırasında human oversight, monitoring ve DPIA + Fundamental Rights Impact Assessment (FRIA) yapmak zorunda.
| Yükümlülük | Madde | Sorumlu Rol | Implementation Pattern | Uyum Süresi |
|---|---|---|---|---|
| Risk Management System | Art. 9 | Provider | ISO/IEC 23894:2023 | 3-6 ay |
| Data Governance | Art. 10 | Provider | Veri kalite süreçleri, bias mitigation | 4-8 ay |
| Technical Documentation | Art. 11 + Annex IV | Provider | Model card + AIBOM + algorithmic impact | 2-4 ay |
| Record-keeping | Art. 12 | Provider | Audit log retention 6 ay+ | 1-3 ay |
| Transparency | Art. 13 | Provider | Kullanıcıya AI sistemi olduğu bildirimi | 1-2 ay |
| Human Oversight | Art. 14 | Provider + Deployer | Override, stop button, monitoring UI | 3-6 ay |
| Accuracy + Cybersecurity | Art. 15 | Provider | ISO/IEC 27001 + adversarial testing | 4-8 ay |
| FRIA (Fundamental Rights IA) | Art. 27 | Deployer | Sektörel etki değerlendirmesi | 2-4 ay |
GPAI (General Purpose AI) Yükümlülükleri ve Systemic Risk
Yasa GPAI modellerini ayrı bir kategori olarak ele alıyor: OpenAI GPT, Anthropic Claude, Google Gemini, Meta Llama gibi büyük dil modelleri. Tüm GPAI sağlayıcılar teknik dokümantasyon, copyright uyumu (eğitim verisi içeriği özetleme), downstream provider’lara bilgi sağlama yükümlülüğüne tabi. GPAI modeli “systemic risk” kategorisinde sayılıyorsa (eğitim FLOP’u 10^25’i aşarsa) ek yükümlülükler eklenir: model evaluation, adversarial testing, incident reporting, cybersecurity protection. Şu an GPT-4 sınıfı modeller systemic risk kategorisindedir; daha küçük modeller (7B-70B parametre) sadece temel GPAI yükümlülüklerine tabi.
- Technical Documentation: Eğitim sürecinde kullanılan veri tipi, compute, eğitim metodolojisi, kabul edilen kullanım
- Copyright compliance: Eğitim verisi üzerinde uygulanan opt-out (TDM exception) sürecinin dokümantasyonu
- Downstream info sharing: Modeli kullanan provider/deployer’lara teknik bilgi paketi
- Systemic risk ek: Model evaluation report, adversarial test sonuçları, serious incident reporting (15 gün)
İlgili konu: AI Bill of Materials (AIBOM) kurumsal rehber
Conformity Assessment ve CE Markası Süreci
Yüksek riskli AI sistemleri pazara sürülmeden önce conformity assessment’tan geçmek zorunda. İki yol var: internal control (Annex VI) — provider kendi süreciyle uyum sağlar; üçüncü taraf değerlendirme (Annex VII) — notified body bir uygunluk değerlendirmesi yapar. CE markası başarılı assessment sonrasında uygulanır. Notified body listesi 2026 itibarıyla genişliyor; ENISA AB AI Act Sandbox programları (Madde 57) tedarikçilere test ortamı sağlıyor.
Standardizasyon çalışmaları paralelde sürüyor. CEN-CENELEC JTC 21 (Artificial Intelligence) ETSI ile koordineli olarak harmonized standards üretiyor: ISO/IEC 42001 (AI Management System), ISO/IEC 23894:2023 (AI Risk Management), ISO/IEC 5259-1 (AI Data Quality), ISO/IEC TR 24028 (Trustworthiness). 2025 sonuna kadar harmonized standards listesinin EU Resmi Gazetesinde yayınlanması bekleniyor; bu standartlara uyum compliance presumption sağlıyor.
Operasyon, Maliyet ve Cezalar Profili
Orta ölçekli bir SaaS şirketi (50-200 mühendis, AB pazarı satışlı, 2-5 yüksek riskli AI sistemi) için ilk uyum maliyeti 1-3 milyon euro civarında: AI governance framework, technical documentation (model card, AIBOM, conformity assessment), tooling lisansları (LLM evaluation, MLOps platform), conformity assessment ücreti, hukuki danışmanlık. Yıllık tekrarlayan maliyet 200-600 bin euro (post-market monitoring, technical doc güncellemesi, audit support). Cezalarla karşılaştırıldığında yatırım açıkça pozitif: yüzde 3 ciro cezası tipik bir orta ölçekli şirket için 5-30 milyon euro bandında olabiliyor.
| İhlal Tipi | Maksimum Ceza | Tipik Kapsam | İlgili Madde |
|---|---|---|---|
| Yasaklı uygulama | 35M EUR veya %7 ciro | Sosyal skorlama, manipulatif AI | Art. 5 |
| Yüksek riskli sistem ihlali | 15M EUR veya %3 ciro | RMS, data governance, transparency | Art. 16-29 |
| Yetkili otoriteye yanlış bilgi | 7,5M EUR veya %1 ciro | Hatalı self-declaration | Art. 99 |
| GPAI yükümlülük ihlali | 15M EUR veya %3 ciro | Technical doc eksik, transparency eksik | Art. 53 |
| Systemic risk GPAI ihlali | 15M EUR veya %3 ciro | Model evaluation eksik, incident reporting eksik | Art. 55 |
Sektörel Uygulamalar: Finans, Sağlık, HR
Finansal hizmetlerde kredi skorlama sistemleri Annex III §5(b) altında yüksek riskli; AB bankacılığı için ECB AI rehberi 2024 paralelinde uyum hızlanıyor. Sağlık tarafında AI tabanlı medikal cihazlar MDR + AI Act çift uyumu gerektiriyor; FDA SaMD kılavuzu paralel takip edilebiliyor. HR ve istihbarat tarafında CV elemesi, performans değerlendirme, terfi karar destek sistemleri yüksek riskli kategorisinde — Workday, Greenhouse, SAP gibi platformlar 2024-2025 boyunca uyum bildirimlerini güçlendirdi. EU AI Act portalı resmi metni ve compliance araçlarını sunuyor; EC AI Strategy sayfası resmi yorumlar barındırıyor.
Kurumsal EU AI Act Uyumunda Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Risk sınıflandırma belirsizliği: “Yüksek riskli mi sayılıyor” sorusu yorum gerektiriyor; AI sistemi envanteri ve hukuki danışmanlık şart
- Technical documentation üretimi: Annex IV gereksinimlerini karşılayan dokümantasyon ortalama 80-150 sayfa; otomatik üretim için MLOps platformu adaptasyonu gerekiyor
- FRIA süreci yok: Deployer rolündeki şirketler Fundamental Rights Impact Assessment yapma zorunluluğunu gözden kaçırıyor
- Post-market monitoring eksik: Pazara sürüldükten sonra performans, accuracy, bias drift için sürekli monitoring altyapısı yok
- Serious incident reporting: 15 günlük bildirim süresi için SOC / incident response süreci AI sistemlerine uyarlanmamış
- GPAI tedarikçi bilgisi: Üçüncü taraf LLM kullanan deployer’lar tedarikçiden technical doc almıyor; sözleşmeye eklenmiyor
Sonuç
EU AI Act, 2026 itibarıyla AB pazarına AI sistemi sunan tüm kurumlar için yeni bir compliance disiplini. Türk şirketleri için iki açıdan kritik: birincisi, AB pazarına satış yapan veya AB müşterilerine hizmet sunan firmalar (extraterritorial uygulama, Madde 2). İkincisi, Türkiye’nin kendi AI mevzuatının (KVKK, TCMB, BDDK rehberleri) AI Act’i model alması yüksek olasılık. Pratik yol haritası: birinci, AI sistemleri envanteri çıkarın ve risk sınıflandırması yapın. İkinci, yüksek riskli sistemler için technical documentation (model card + AIBOM + conformity assessment kanıtı) üretim pipeline’ı kurun. Üçüncü, post-market monitoring + incident response sürecini AI’ya uyarlayın. Dördüncü, FRIA ve transparency yükümlülüklerini deploy aşamasına ekleyin. 6-12 aylık bir uyum projesi ile orta ölçekli kurum 2026 Ağustos takvimine yetişebilir; bu yatırım hem milyon euro’luk cezalardan korur hem de AB pazarındaki rekabet pozisyonunu güçlendirir.
Sıkça Sorulan Sorular
Türk şirketleri EU AI Act’e uymak zorunda mı?
AB pazarına AI sistemi süren, AB’de yerleşik kullanıcılara hizmet sunan veya AI çıktısı AB’de kullanılan tüm şirketler kapsamda (Madde 2 extraterritorial yetki). Sadece AB’de kayıtlı olmak yeterli değil; AB pazarına dolaylı erişim de yükümlülük doğuruyor.
Yüksek riskli sistem ne demek?
Annex III’te listelenen 8 alanda kullanılan AI sistemleri (biyometri, kritik altyapı, eğitim, istihdam, esansiyel hizmetler, hukuk uygulama, göç, adalet) ve Annex I’de listelenen ürün güvenliği mevzuatı kapsamındaki AI bileşenleri. Risk sınıflandırma için kapsamlı envanter ve hukuki yorum gerekli.
GPAI provider olarak bizim yükümlülüğümüz nedir?
Tüm GPAI sağlayıcılar: technical documentation, copyright compliance (eğitim verisi opt-out süreci), downstream provider’a bilgi paylaşımı. Systemic risk eşiği (10^25 FLOP eğitim) aşılırsa ek olarak model evaluation, adversarial testing, incident reporting (15 gün), cybersecurity protection.
Conformity assessment sürecini kim yapıyor?
Çoğu yüksek riskli sistem için internal control (Annex VI) yeterli — provider kendi sürecinde uyum sağlıyor. Biyometrik kategorize sistemler için notified body değerlendirmesi (Annex VII) zorunlu. Notified body listesi AB Komisyonu tarafından yayınlanıyor; 2025-2026 boyunca genişliyor.
Üçüncü taraf LLM kullanan SaaS firmaları nasıl uyum sağlar?
Deployer rolünde transparency (kullanıcıya AI olduğu bildirimi), human oversight, post-market monitoring, FRIA yükümlülükleri var. Provider’dan (OpenAI, Anthropic, Google) GPAI technical documentation paketini sözleşmeyle talep etmek ve audit log retention kurmak şart.
Ömer Önal
Mayıs 23, 2026EU AI Act, 2026 itibarıyla AB pazarına AI sistemi sunan tüm kurumlar için yeni bir compliance disiplini. Türk şirketleri için iki açıdan kritik: AB pazarı satışı ve KVKK/TCMB/BDDK’nın AI Act’i model alma olasılığı. 6-12 aylık bir uyum projesi orta ölçekli kurum için yeterli; AI sistem envanteri + risk sınıflandırması ile başlayıp technical documentation pipeline ve post-market monitoring ile devam etmeli.