Yapay zekâ kurumların karar süreçlerine girdikçe, onu yönetmek artık teknik bir tercih değil, hukuki ve kurumsal bir zorunluluk hâline geldi. Bir yapay zekâ sistemi yanlış karar verdiğinde, taraflı davrandığında veya kişisel veriyi sızdırdığında sorumluluk kuruma aittir. Bu sorumluluğu yönetmek için üç temel çerçeve öne çıkıyor: Avrupa Birliği Yapay Zekâ Yasası, NIST Yapay Zekâ Risk Yönetimi Çerçevesi ve ISO/IEC 42001 yapay zekâ yönetim sistemi standardı. Bu yazıda bu üç çerçeveyi, birbirleriyle ve mevcut güvenlik standartlarıyla nasıl uyumlandığını ve Türk şirketleri için ne anlama geldiğini ayrıntısıyla ele alıyoruz.

Hızlı Cevap

Yapay zekâ risk yönetimi, yapay zekâ sistemlerinin güvenlik, gizlilik, taraflılık ve güvenilirlik risklerini sistemli biçimde yönetme disiplinidir. Üç temel çerçeve öne çıkar: Avrupa Birliği Yapay Zekâ Yasası risk temelli yasal yükümlülükler getirir, NIST Yapay Zekâ Risk Yönetimi Çerçevesi gönüllü bir yönetişim yapısı sunar ve ISO/IEC 42001 belgelendirilebilir bir yapay zekâ yönetim sistemi tanımlar. Bu çerçeveler birbirini tamamlar ve mevcut ISO 27001 ile KVKK uyumunun üzerine inşa edilir.

Neden Yapay Zekâ Yönetişimi Gerekli

Yapay zekâ, geleneksel yazılımdan farklı riskler taşır. Olasılıksal davranır, eğitim verisindeki önyargıları yansıtabilir, açıklanması zor kararlar üretir ve kişisel veriyi beklenmedik yollarla işleyebilir. Bu riskler yalnızca teknik değil, hukuki ve itibari sonuçlar doğurur. Bir kredi kararı algoritması ayrımcılık yaparsa, bir sağlık modeli hatalı teşhis önerirse veya bir asistan kişisel veriyi sızdırırsa, kurum hem yasal yaptırımla hem de güven kaybıyla karşılaşır. Yapay zekâ yönetişimi, bu riskleri sistemli biçimde tanımlamak, ölçmek ve azaltmak için gereken çerçevedir.

Avrupa Birliği Yapay Zekâ Yasası

Avrupa Birliği Yapay Zekâ Yasası, dünyanın ilk kapsamlı yapay zekâ düzenlemesidir ve risk temelli bir yaklaşım benimser. Sistemleri dört kategoriye ayırır. Kabul edilemez riskli sistemler, örneğin sosyal puanlama, yasaktır. Yüksek riskli sistemler, örneğin istihdam, kredi, sağlık ve kritik altyapıda kullanılanlar, sıkı yükümlülüklere tabidir: risk yönetimi, veri yönetişimi, teknik dokümantasyon, kayıt tutma, insan gözetimi, sağlamlık ve çekişmeli test. Sınırlı riskli sistemler şeffaflık yükümlülüğü taşır; kullanıcı bir yapay zekâyla etkileştiğini bilmelidir. Asgari riskli sistemler ise serbesttir. Yasa ayrıca genel amaçlı yapay zekâ modelleri için özel yükümlülükler getirir.

Bu yasa yalnızca Avrupa şirketlerini ilgilendirmez. Avrupa Birliği pazarına hizmet veren veya çıktısı Birlik içinde kullanılan her yapay zekâ sistemi kapsama girer. Dolayısıyla Avrupa'ya hizmet veren Türk şirketleri de bu yükümlülüklerden etkilenir; bu, NIS2 direktifinin sınır ötesi etkisine benzer bir durumdur.

NIST Yapay Zekâ Risk Yönetimi Çerçevesi

NIST Yapay Zekâ Risk Yönetimi Çerçevesi, gönüllü ama giderek fiili standart hâline gelen bir yönetişim yapısıdır. Dört temel işlev üzerine kuruludur. Yönetmek işlevi, kurum genelinde bir risk kültürü ve sorumluluk yapısı kurar. Haritalamak işlevi, yapay zekâ sisteminin bağlamını, paydaşlarını ve risklerini tanımlar. Ölçmek işlevi, riskleri analiz eder, izler ve çekişmeli test dâhil yöntemlerle değerlendirir. Yönetmek işlevi ise riskleri önceliklendirir ve azaltır. NIST ayrıca üretken yapay zekâ için özel bir profil yayımlamıştır; bu profil prompt injection, halüsinasyon ve veri sızıntısı gibi üretken modellere özgü riskleri ele alır ve çekişmeli testi temel bir kontrol olarak listeler.

ISO/IEC 42001 Yapay Zekâ Yönetim Sistemi

ISO/IEC 42001, yapay zekâ için ilk belgelendirilebilir yönetim sistemi standardıdır. ISO 27001'in bilgi güvenliği için yaptığını, yapay zekâ için yapar: kurulması, işletilmesi ve sürekli iyileştirilmesi gereken bir yapay zekâ yönetim sistemi tanımlar. Bu standart, yapay zekâ politikalarını, rol ve sorumlulukları, risk değerlendirmesini, yaşam döngüsü kontrollerini ve sürekli izlemeyi kapsar. Belgelendirilebilir olması önemlidir; bir kurum bu belgeyle, yapay zekâyı sorumlu biçimde yönettiğini bağımsız bir denetimle kanıtlayabilir. Bu, hem düzenleyiciler hem de iş ortakları karşısında somut bir güvence sağlar.

Çerçeveler Nasıl Bir Araya Gelir

Bu üç çerçeve rakip değil, tamamlayıcıdır. Avrupa Birliği Yapay Zekâ Yasası ne yapılması gerektiğini hukuken belirler. NIST çerçevesi bunu nasıl yöneteceğinizi pratik bir yapıyla gösterir. ISO/IEC 42001 ise bu yönetimi belgelendirilebilir bir sisteme dönüştürür. Üçü de mevcut güvenlik temelinizin üzerine inşa edilir: ISO 27001 bilgi güvenliği yönetimini, KVKK ve GDPR kişisel veri korumasını sağlar. Bir kurum, ISO 27001 ile zaten kurduğu yönetim sistemini yapay zekâ kontrolleriyle genişleterek bu çerçevelere verimli biçimde uyum sağlayabilir. Önemli olan, bu çerçeveleri ayrı silolar olarak değil, tek bir bütünleşik yönetişim yapısı olarak ele almaktır.

Türkiye Perspektifi

Türkiye'de henüz Avrupa Birliği Yapay Zekâ Yasası benzeri kapsamlı bir yapay zekâ kanunu yoktur, ancak bu, Türk şirketlerinin yükümlülükten muaf olduğu anlamına gelmez. Birincisi, Avrupa pazarına hizmet veren şirketler Avrupa Birliği Yapay Zekâ Yasası kapsamına girer. İkincisi, KVKK kişisel veri içeren her yapay zekâ uygulamasını zaten düzenler; otomatik karar verme, veri minimizasyonu ve açık rıza gibi ilkeler yapay zekâ sistemleri için de geçerlidir. Üçüncüsü, ISO/IEC 42001 belgesi, Türk şirketlerine uluslararası iş ortaklıklarında somut bir rekabet avantajı sağlar. Dolayısıyla yapay zekâ yönetişimi, Türk şirketleri için bekleyip görmek değil, şimdiden hazırlanmak gereken bir alandır.

DSET Nasıl Destekler

Yapay zekâ uyumu yalnızca kâğıt üzerinde bir politika değil, kanıtlanması gereken bir güvencedir. DSET olarak yaklaşımımız boşluk değerlendirmesiyle başlar: mevcut yapay zekâ sistemlerinizi ve süreçlerinizi bu çerçevelerin gereksinimlerine karşı haritalarız. Ardından kontrolleri tasarlar ve mevcut ISO 27001 ile KVKK temelinizle bütünleştiririz. En kritik katkımız ise kanıttır: çerçevelerin talep ettiği çekişmeli testi ve sağlamlık değerlendirmesini, yapay zekâ kırmızı takım metodolojimizle yürütür ve uyumu söze değil kanıta dayandırırız. Böylece bir denetim anında, yapay zekânızı sorumlu biçimde yönettiğinizi gösterebilirsiniz.

SSS

Yapay zekâ risk yönetimi nedir? Yapay zekâ sistemlerinin güvenlik, gizlilik, taraflılık ve güvenilirlik risklerini sistemli biçimde tanımlama, ölçme ve azaltma disiplinidir. Geleneksel yazılım risk yönetiminden farkı, olasılıksal davranış, taraflılık ve açıklanabilirlik gibi yapay zekâya özgü riskleri kapsamasıdır.

Avrupa Birliği Yapay Zekâ Yasası Türk şirketlerini bağlar mı? Avrupa Birliği pazarına hizmet veren veya çıktısı Birlik içinde kullanılan yapay zekâ sistemleri kapsama girer. Bu nedenle Avrupa'ya hizmet veren Türk şirketleri de yasanın yükümlülüklerinden etkilenir.

NIST çerçevesi ile ISO 42001 farkı nedir? NIST çerçevesi gönüllü ve esnek bir yönetişim yapısı sunar; ISO/IEC 42001 ise belgelendirilebilir bir yönetim sistemi tanımlar. NIST nasıl yöneteceğinizi gösterir, ISO 42001 bunu bağımsız denetimle kanıtlamanızı sağlar.

ISO 27001 varken neden ISO 42001 gerekli? ISO 27001 bilgi güvenliğini yönetir ama yapay zekâya özgü riskleri, örneğin taraflılık, açıklanabilirlik ve model yaşam döngüsünü kapsamaz. ISO/IEC 42001 bu boşluğu doldurur ve ISO 27001'in üzerine inşa edilir.

DSET yapay zekâ uyumunda nasıl yardımcı olur? Boşluk değerlendirmesi, kontrol tasarımı ve mevcut ISO 27001 ile KVKK temeline entegrasyon sağlarız; ayrıca çerçevelerin talep ettiği çekişmeli testi kırmızı takım metodolojimizle yürüterek uyumu kanıta bağlarız.

Sonuç

Yapay zekâ yönetişimi, kurumların yapay zekâyı sorumlu ve hukuka uygun biçimde kullanabilmesinin temelidir. Avrupa Birliği Yapay Zekâ Yasası, NIST Yapay Zekâ Risk Yönetimi Çerçevesi ve ISO/IEC 42001, birbirini tamamlayan ve mevcut güvenlik temelinizin üzerine inşa edilen üç sütundur. DSET, bu çerçevelere uyumu boşluk değerlendirmesinden kanıt temelli çekişmeli teste kadar uçtan uca destekler. Kurumunuzun yapay zekâ uyumunu değerlendirmek için bizimle iletişime geçin veya siber güvenlik hizmetlerimizi inceleyin.