EU AI-verordening Omnibus 2026: Nieuwe Nalevingstermijnen Uitgelegd

De Digitale Omnibus 2026 op AI heeft twee kritieke termijnen van de AI-verordening verlengd: zelfstandige hoog-risico Bijlage III-systemen naar 2 december 2027 en ingeboude Bijlage I-systemen naar 2 augustus 2028. Hier leest u wat er is veranderd, waarom en wat uw nalevingsprogramma nu moet doen.

Wat de Digitale Omnibus 2026 op AI wijzigt

De Digitale Omnibus op AI heeft twee centrale toepassingsdatums in EU-Verordening 2024/1689 (de EU AI-verordening) gewijzigd:

Verplichting	Oorspronkelijke termijn	Nieuwe termijn	Wijziging
Hoog-risico AI — Bijlage III (zelfstandige systemen)	2 augustus 2026	2 december 2027	+16 maanden
Hoog-risico AI — Bijlage I (ingebed in gereglementeerde producten)	2 augustus 2026	2 augustus 2028	+24 maanden

Er zijn geen andere grote termijnen gewijzigd. Verboden praktijken (2 februari 2025), GPAI-regels (2 augustus 2025) en transparantieverplichtingen voor het markeren van GPAI-inhoud (2 augustus 2025) blijven van kracht op hun oorspronkelijke datums.

Waarom de omnibus hoog-risico AI-termijnen heeft uitgesteld

De Europese Commissie heeft drie drijvende factoren aangehaald:

Afstemming met uitvoeringshandelingen — technische normen en geharmoniseerde normen voor hoog-risico AI-beoordeling (werkprogramma CEN/CENELEC) waren niet tijdig gefinaliseerd voor augustus 2026. Conformiteitsbeoordelingen vereisen deze normen.
Lacune in nalevingsinfrastructuur — aangemelde instanties, nationale bevoegde autoriteiten en het EU AI-bureau hadden extra installatietijd nodig. Zonder operationele handhavingsinfrastructuur zou een termijn van augustus 2026 in de praktijk onhandhaafbaar zijn geweest.
Gereedheid van kmo's — kleinere aanbieders, met name in medtech, HR-tech en financiële dienstverlening, meldden onvoldoende tijd om de implementatie van een kwaliteitsbeheersysteem en technische documentatie te voltooien naast parallelle verplichtingen uit DORA en NIS2.

De verlenging is een overgangsperiode, geen vermindering van het toepassingsgebied. Alle verplichtingen blijven; alleen hun tijdlijn verschuift.

Bijlage III — zelfstandige hoog-risico AI (termijn: 2 december 2027)

Bijlage III zelfstandig omvat AI-systemen die zelf op de markt worden gebracht of in gebruik worden gesteld als hoog-risico systemen, zonder een veiligheidscomponent te zijn van een ander product. Voorbeelden:

Werving- en HR-screening-AI (cv-rangschikking, gespreksanalyse)
Kredietscoring en beoordeling van kredietwaardigheid AI
Biometrische categorisering (geen real-time identificatie, die verboden is)
AI gebruikt bij beheer van kritieke infrastructuur
AI in onderwijs- en beroepsopleidingsbeoordeling
AI gebruikt door rechtshandhaving en migratieautoriteiten

Aanbiedersverplichtingen vóór 2 december 2027:

Voltooiing van een conformiteitsbeoordeling op grond van Art. 43
Implementatie van een kwaliteitsbeheersysteem (Art. 17)
Samenstelling van technische documentatie (Art. 11 + Bijlage IV)
Registratie van het systeem in de EU AI-databank (Art. 71)
Aanbrengen van CE-markering (Art. 48)
Aanwijzing van een EU-vertegenwoordiger indien buiten de EU gevestigd

Gebruikersverplichtingen (ook vóór 2 december 2027):

Uitvoering van een grondrechtenbeoordeling (FRIA) voor gebruikers bij overheidsinstanties
Implementatie van maatregelen voor menselijk toezicht (Art. 26)
Documentatie van in- en uitvoer (Art. 26(6))
Informeren van medewerkers wanneer door AI ondersteunde beslissingen hen betreffen

Bijlage I — ingeboude hoog-risico AI (termijn: 2 augustus 2028)

Bijlage I ingebed heeft betrekking op AI die een veiligheidscomponent vormt van een product dat al is gereglementeerd door bestaande EU-productveiligheidswetgeving. De AI-verordening-naleving is geïntegreerd in de bestaande conformiteitsbeoordelingsprocedure voor dat product. Voorbeelden:

AI-componenten in medische hulpmiddelen (MDR/IVDR)
AI in automotivesystemen (typegoedkeuringskaders)
AI in machines (Machinerichtlijn)
AI in luchtvaartcomponenten
AI in speelgoed en consumentenproducten (laagspanning/EMC)

De twee jaar extra verlenging (versus 16 maanden voor Bijlage III) weerspiegelt de gelaagde complexiteit van conformiteitsbeoordeling over twee regelgevingsregimes tegelijkertijd.

Wat er is gewijzigd is de termijn — niet de verplichtingen

Een gebruikelijk misverstand over de omnibus: de termijnverlenging betekent dat verplichtingen worden versoepeld. Dat is niet het geval.

De conformiteitsbeoordeling, het kwaliteitsbeheersysteem, technische documentatie, CE-markering en registratievereisten zijn identiek aan wat vereist was onder augustus 2026. De omnibus vermindert het toepassingsgebied niet, creëert geen vrijstellingen en voegt geen overgangsderogaties toe. Ze verschuift de eindstreep.

Praktische implicatie: Organisaties die de verlenging gebruiken als excuus om nalevingsprogramma's te pauzeren, zullen in late 2027 voor een hardere eindsprint staan. Het productievere gebruik van de extra tijd is het voltooien van de implementatie van het kwaliteitsbeheersysteem, het stresstesten van technische documentatie aan de hand van ontwerpgeharmoniseerde normen en het vroeg betrekken van aangemelde instanties — hun capaciteit zal beperkt zijn naarmate de termijn van december 2027 nadert.

Verboden praktijken die al van kracht zijn

Deze verboden op grond van Art. 5 zijn van toepassing vanaf 2 februari 2025 en zijn niet aangeraakt door de omnibus:

Subliminale manipulatie — AI-technieken die onderbewuste kwetsbaarheden exploiteren om gedrag te veranderen tegen de belangen van gebruikers
Exploitatie van kwetsbaarheden — gericht op kinderen, ouderen of kansarme groepen
Sociale scoring — op AI gebaseerde algemene scoring van natuurlijke personen door overheidsinstanties
Real-time biometrische identificatie op afstand in voor het publiek toegankelijke ruimten door rechtshandhaving (met beperkte uitzonderingen)
Emotieherkenning op de werkplek en in onderwijsinstellingen
Biometrische categorisering systemen die gevoelige kenmerken afleiden (ras, politieke opvattingen, vakbondslidmaatschap, seksuele geaardheid, religie) — tenzij voor legitieme rechtshandhavingsdoeleinden met rechterlijke toestemming
NCII/CSAM — generatie of manipulatie van niet-consensuele intieme beelden of kinderpornografie met behulp van AI is verboden

Niet-naleving van de verboden van Art. 5 vanaf 2 februari 2025 brengt boetes met zich mee tot €35 miljoen of 7% van de wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is.

GPAI-modelregels: al van toepassing

Verplichtingen van Hoofdstuk 5 GPAI zijn van toepassing vanaf 2 augustus 2025:

Alle GPAI-aanbieders moeten voldoen aan transparantieverplichtingen (Art. 53)
Aanbieders van GPAI-modellen met systemisch risico (boven 10²⁵ FLOP's trainingsrekenkracht) hebben aanvullende verplichtingen, waaronder adversarial testing en incidentrapportage
Markering van door AI gegenereerde inhoud (watermerken) voor synthetische media is van toepassing op generatieve GPAI-systemen

Convergentie met DORA en NIS2

Organisaties in de financiële sector worden geconfronteerd met de drievoudige last van verplichtingen uit de AI-verordening, DORA en NIS2 met overlappende tijdlijnen. Belangrijke kruispunten:

ICT-risicobeheer onder DORA (Art. 5–16) moet AI-gestuurde ICT-systemen omvatten — DORA vrijstelt AI-tools niet van zijn ICT-risicokader
Incidentrapportage onder DORA (Art. 19–23) is van toepassing op incidenten veroorzaakt door of waarbij AI-systemen betrokken zijn
NIS2-beveiligingsmaatregelen (Art. 21) omvatten AI-gerelateerde cyberrisico's
AI-verordening Art. 9 risicobeheer voor hoog-risico AI overlapt significant met het ICT-risicobeheer van DORA — dubbele mapping is mogelijk en aanbevolen om duplicatieve documentatie te vermijden

Zie onze volledige convergentie-analyse → of onze zustersite regulation-dora.eu voor DORA-specifieke dekking.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Wanneer zijn hoog-risico AI-verordening-verplichtingen nu van toepassing onder de omnibus?

Voor zelfstandige Bijlage III-systemen (bijv. werving-AI, kredietscoring, biometrische categorisering): 2 december 2027. Voor AI ingebed in gereglementeerde Bijlage I-producten (bijv. medische hulpmiddelen, machines): 2 augustus 2028.

Wat is de AI-verordening Digitale Omnibus?

De Digitale Omnibus op AI is een EU-wetgevingswijziging, formeel vastgesteld medio 2026, die verscheidene termijnen en verplichtingen in Verordening (EU) 2024/1689 (de AI-verordening) heeft herzien. Het primaire doel was aanbieders en gebruikers meer tijd te geven om conforme AI-governance-kaders te bouwen, met name voor hoog-risico categorieën.

Zijn de termijnen voor verboden praktijken (Art. 5) ook uitgesteld door de omnibus?

Nee. De verboden op AI met onaanvaardbaar risico — inclusief subliminale manipulatie, sociale scoring, real-time biometrische identificatie in openbare ruimten (met uitzonderingen) en generatie van NCII/CSAM — zijn van toepassing sinds 2 februari 2025 en zijn niet gewijzigd door de omnibus.

Veranderen GPAI-modelregels onder de omnibus?

GPAI-verplichtingen (Hoofdstuk 5 van de AI-verordening) blijven ook op 2 augustus 2025. De omnibus was uitsluitend gericht op Bijlage III- en Bijlage I-hoog-risico-verplichtingen.

Wat moeten organisaties vóór 2 december 2027 doen voor Bijlage III AI?

Aanbieders moeten: een conformiteitsbeoordeling voltooien, een kwaliteitsbeheersysteem (QMS) implementeren, registreren in de EU-databank, CE-markering aanbrengen en technische documentatie opstellen. Gebruikers moeten: grondrechtbeoordelingen uitvoeren, menselijk toezicht implementeren en al het hoog-risico AI-gebruik documenteren.

Verandert de termijnverlenging de verplichtingen — of alleen hun tijdlijn?

De verlenging is puur tijdelijk: geen enkele verplichting is verwijderd. Dezelfde conformiteitsbeoordeling, technische documentatie, kwaliteitsbeheersysteem, CE-markering, registratie en transparantievereisten zijn van toepassing — ze moeten simpelweg worden nageleefd vóór de nieuwe datums.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.