EU AI Act'in temel kuralları 2 Ağustos 2026'da yürürlüğe giriyor. Hazırlık salt teknik bir mesele değil; bir yönetişim projesidir ve saat çoktan işlemeye başladı.
Yönetmelik, yapay zekâ sistemlerini risk seviyesine göre sınıflandırır ve her seviyeye farklı yükümlülükler getirir. Uyumsuzluğun bedeli ağırdır: idari para cezaları 35 milyon euroya ya da küresel cironun yüzde 7'sine kadar çıkabilir. Bu, çoğu kurum için bütçeyle yönetilebilir bir risk değil, yönetim kurulu düzeyinde bir gündem maddesidir.
Dört adımlık hazırlık
- Envanter. Kurum içinde hangi yapay zekâ sistemlerinin kullanıldığını, hangi verilerle beslendiğini ve kimin sorumlu olduğunu çıkarın. Görünmeyen "gölge AI" kullanımları çoğu zaman en büyük risktir.
- Sınıflandırma. Her sistemi yasanın risk kategorilerine yerleştirin: yasaklı, yüksek riskli, sınırlı riskli veya asgari risk. Yükümlülükleriniz buradan doğar.
- Şeffaflık ve dokümantasyon. Yüksek riskli sistemler için kayıt, izlenebilirlik ve insan gözetimi; kullanıcıya yapay zekâ ile etkileşimde olduğunu bildirme.
- Okuryazarlık eğitimi. Yasa, yapay zekâ işleten kuruluşlardan personelinin yeterli AI okuryazarlığına sahip olmasını ister. Bu artık iyi niyet değil, bir yükümlülüktür.
Sınıflandırma neden kritik
Çoğu kurum, sistemlerini olduğundan daha yüksek riskli sanıp gereksiz maliyet üstlenir ya da tam tersine yüksek riskli bir kullanımı gözden kaçırır. Doğru sınıflandırma, hem uyum yükünü hem de cezai riski aynı anda yönetmenin tek yoludur.
Egemenlik bir uyum kısayoludur: çıkarımı kendi veri merkezinizde çalıştırdığınızda kişisel veri perimetrenizi terk etmez, bu da pek çok aktarım sorununu en baştan ortadan kaldırır.
Unora yaklaşımı
Sistemlerinizi sınıflandırır, şeffaflık ve dokümantasyon yükümlülüklerini karşılar ve zorunlu AI okuryazarlığı eğitimini tek bir pakette sunarız. On-prem veya bölge içi çalıştırma seçeneğiyle, veri egemenliğini bir sonraki adıma değil ilk güne yerleştiririz.
The core rules of the EU AI Act take effect on 2 August 2026. Readiness is not purely a technical task; it is a governance project, and the clock is already running.
The regulation classifies AI systems by risk level and attaches different obligations to each. The cost of non-compliance is steep: administrative fines reach up to EUR 35 million or 7% of global turnover. For most organizations that is not a budgetable risk but a board-level agenda item.
A four-step readiness path
- Inventory. Map which AI systems are in use, what data feeds them and who owns them. Invisible "shadow AI" is often the biggest exposure.
- Classification. Place each system into the law's risk categories: prohibited, high-risk, limited-risk or minimal. Your obligations follow from here.
- Transparency and documentation. Logging, traceability and human oversight for high-risk systems; telling users when they interact with AI.
- Literacy training. The law requires operators of AI to ensure their staff have sufficient AI literacy. This is now an obligation, not a nicety.
Why classification is critical
Many organizations assume their systems are higher-risk than they are and take on needless cost, or miss a genuinely high-risk use. Correct classification is the only way to manage compliance burden and penalty exposure at the same time.
Sovereignty is a compliance shortcut: run inference in your own data center and personal data never leaves your perimeter, removing most transfer issues at the source.
The Unora approach
We classify your systems, meet the transparency and documentation duties and deliver the mandatory AI-literacy training in one package. With on-prem or in-region execution, data sovereignty becomes day-one, not a later step.