Appearance
NIST AI RMF ↔ EU AI Act Çapraz Eşleme
- Sahip: Simetri
- Son Güncelleme: 2026-04-18 (SIM-178 — compliance register; GOVERN 1.2 ✅)
- Güncelleme Tetikleyicisi: İlk ABD pazarı / enterprise RFP, NIST RMF sürüm güncellemesi, EU AI Act delegated act yayınlanması, gap kapatma (yeni dosya / ADR eklenmesi).
- Durum: İskelet — ilk enterprise pipeline başladığında her satıra kanıt eklenecek.
1. Neden Bu Doküman?
EU AI Act yasal zorunluluk (Avrupa), NIST AI RMF operasyonel çerçeve (ABD/küresel). Bir B2B alıcı (özellikle Kuzey Amerika) RFP'sinde muhtemelen şunu sorar:
"AI governance çerçeveniz ne? NIST AI RMF ile eşleşmeniz var mı?"
Bu dosya, Humindx'in zaten yaptığı şeyleri NIST dilinde ifade eder — sıfırdan yeni iş yaratmak yerine mevcut kontrolleri mapping. Eşleşmeyen satırlar, kapanması gereken gap'lerdir.
NIST AI RMF dört fonksiyondan oluşur: GOVERN, MAP, MEASURE, MANAGE. Her biri kategorilere, kategoriler alt-kategorilere bölünür (v1.0, 2023-01).
2. GOVERN — Yönetişim Kültürü
Organizasyonel politika, sorumluluk, risk toleransı.
| NIST Kontrolü | EU AI Act Karşılığı | Humindx Kanıtı | Durum |
|---|---|---|---|
| GOVERN 1.1 AI risk yönetim politikası belgeli | Art. 9 Risk Mgmt System | eu-ai-act-compliance.md, threat-model.md | ✅ |
| GOVERN 1.2 Yasal/regülatif kontrol envanteri | Art. 17 Quality Mgmt | compliance-register.md (GDPR 17 + EU AI Act 12 kontrol, çeyreklik review ritmi) | ✅ |
| GOVERN 2.1 Rol ve sorumluluklar net | — | CODEOWNERS + bu dosyalardaki "Sahip" satırları | ✅ |
| GOVERN 3.2 Çeşitlilik ve bias yönetişimi | Art. 10 Data Governance | eu-ai-act-compliance.md §3.3, scoring-algorithms.md fairness testleri | ✅ kısmen |
| GOVERN 4.1 Şeffaflık kültürü | Art. 13 Transparency | product/trust-architecture.md, Data X-Ray | ✅ |
| GOVERN 6.1 Üçüncü taraf AI bileşenleri | Art. 25 Supply Chain | vendor-inventory.md (LLM, embedding, NER, altyapı) + ADR-001 (pgvector) | ✅ |
3. MAP — Bağlamı Haritala
Sistem ne yapıyor, kimin için, hangi riskle?
| NIST Kontrolü | EU AI Act Karşılığı | Humindx Kanıtı | Durum |
|---|---|---|---|
| MAP 1.1 AI sistem amacı belgeli | Art. 11 Technical Documentation | master-plan.md, product/features.md | ✅ |
| MAP 1.2 Etkilenen paydaşlar listeli | — | product/user-journeys.md | ✅ |
| MAP 2.1 Bağlam ve kullanım sınırları | Art. 13 Intended Purpose | eu-ai-act-compliance.md §2 (Duygu tanıma yasağı) | ✅ |
| MAP 3.1 Potansiyel zararlar | Art. 9 Risk Analysis | threat-model.md LINDDUN kısmı | ✅ |
| MAP 4.1 Üçüncü taraf veri kaynağı envanteri | Art. 10 Data Governance | vendor-inventory.md §3 (kategori bazlı vendor tabloları) | ✅ |
| MAP 5.1 Etki ölçümü (bias/fairness) | Art. 10 & Art. 15 | testing-strategy.md eval + golden-dataset-governance.md (slice-by-slice raporlama, disparate impact eşikleri) | ✅ |
4. MEASURE — Ölç ve Değerlendir
Performans, bias, güvenlik, güvenilirlik.
| NIST Kontrolü | EU AI Act Karşılığı | Humindx Kanıtı | Durum |
|---|---|---|---|
| MEASURE 1.1 Nicel performans metrikleri | Art. 15 Accuracy | testing-strategy.md Direction Accuracy >%85 | ✅ |
| MEASURE 2.3 Test verisi temsil gücü | Art. 10(3) | golden-dataset-governance.md §5 temsil hedefleri + §7 sürüm politikası + dataset-card şablonu | ✅ |
| MEASURE 2.7 Güvenlik/güvenilirlik testi | Art. 15 Cybersecurity | threat-model.md §4 ATLAS + adversarial-eval-suite.md (3 alt-set × 20 seed, CI regresyon, çeyreklik red-team ritmi) | ✅ |
| MEASURE 3.2 Explainability | Art. 13 Explainability | Veri Röntgeni (product/features.md), Confidence Engine | ✅ |
| MEASURE 4.1 Sürekli izleme | Art. 61 Post-Market Monitoring | observability.md (metrik taksonomisi, log/trace hiyerarşisi, alerting, PII redaction) + ADR-005 (Grafana Cloud Free + OpenTelemetry) | ✅ |
5. MANAGE — Yönet ve İyileştir
Riskleri önceliklendir, azalt, incident'a tepki ver.
| NIST Kontrolü | EU AI Act Karşılığı | Humindx Kanıtı | Durum |
|---|---|---|---|
| MANAGE 1.1 Risk önceliklendirme süreci | Art. 9 | threat-model.md §5 matris (kritiklik sütunu) | ✅ |
| MANAGE 2.2 Incident response planı | Art. 62 Serious Incident | incident-response.md | ✅ MVP |
| MANAGE 3.1 Yeni riskleri geri-besleme | Art. 61 | Çeyreklik threat-model review | ✅ süreç |
| MANAGE 4.1 Sürekli iyileştirme | — | ADR kültürü + docs canlı sahipleri | ✅ |
6. Genel Özet ve Boşluklar
| Fonksiyon | Kapalı | Kısmen | Açık |
|---|---|---|---|
| GOVERN | 5 | 1 | 0 |
| MAP | 6 | 0 | 0 |
| MEASURE | 5 | 0 | 0 |
| MANAGE | 3 | 1 | 0 |
Açık kalan kritik gap'ler:
Takibi Linear SIM-173 epik'i altındadır.
| Gap | NIST Kontrolü | Linear Issue | Öncelik |
|---|---|---|---|
| GOVERN 6.1, MAP 4.1 | → vendor-inventory.md | ✅ Closed | |
| MEASURE 2.3, MAP 5.1 | → golden-dataset-governance.md | ✅ Closed | |
| MEASURE 2.7 + ATLAS §4 | → adversarial-eval-suite.md | ✅ Closed | |
| MEASURE 4.1 | → observability.md + ADR-005 | ✅ Closed | |
| GOVERN 1.2 | → compliance-register.md | ✅ Closed |
7. Ne Zaman Güncellenir?
- Yeni gap kapandığında satır durumu değişir ve §6 özet yenilenir.
- NIST AI RMF 1.1 veya üstü çıktığında subcategory numaraları kontrol edilir.
- EU AI Act delegated act (Ek III güncellemesi) yayınlanınca karşılık sütunu revize.
- Her 6 ayda bir "hala temsilî mi" kontrolü.
Not: Bu doküman NIST AI RMF 1.0 Core (2023-01) kategorilerini kullanır. Tam çapraz eşleme için NIST AI 100-1 belgesinin kendisi kanonik referanstır.