De EU AI Act lag vanaf de invoering vast in een strak tijdschema, maar dat schema is gewijzigd. Op 7 mei 2026 bereikten de Raad, het Europees Parlement en de Europese Commissie een voorlopig akkoord over de Digital Omnibus op AI, het eerste pakket wijzigingen op de verordening sinds de aanname. De kern ervan: de verplichtingen voor hoog-risico AI-systemen worden uitgesteld. Voor organisaties die zich op die deadlines hadden ingesteld, verandert er iets, maar minder dan de term uitstel suggereert.
Wat er verschuift
De Digital Omnibus hanteert een aanpak in twee sporen voor de hoog-risico-deadlines. Voor zelfstandige hoog-risico AI-systemen onder Annex III, denk aan toepassingen voor werving, kredietscoring en biometrie, schuift de toepassing van de eisen op naar 2 december 2027. Voor AI die is ingebouwd in gereguleerde producten onder Annex I, zoals medische hulpmiddelen en machines, gaat de deadline naar 2 augustus 2028. Oorspronkelijk stond de hoog-risico-deadline op 2 augustus 2026.
De formele aanname en publicatie in het Publicatieblad worden verwacht in de periode voorafgaand aan die oude deadline van augustus 2026. Tot die formele aanname blijft het belangrijk om de oorspronkelijke termijn in het oog te houden: pas wanneer de wijziging definitief is gepubliceerd, geldt de nieuwe datum met zekerheid.
Wat blijft staan
Het uitstel betreft de hoog-risico-verplichtingen. Andere onderdelen van de AI Act blijven gewoon van kracht. Het verbod op bepaalde AI-praktijken geldt al sinds 2 februari 2025. De verplichting tot AI-geletterdheid uit artikel 4 geldt eveneens sinds februari 2025, met handhaving vanaf augustus 2026. En de verplichtingen voor general-purpose AI-modellen zijn van kracht sinds 2 augustus 2025. Voor die onderdelen verandert er met de Omnibus niets wezenlijks.
Met andere woorden: de organisaties die dachten dat de hele AI Act was uitgesteld, hebben het mis. De verplichtingen die nu al gelden, blijven gelden. Alleen het zwaarste en meest bewerkelijke deel, de eisen voor hoog-risico-systemen, krijgt meer tijd.
Waarom uitstel geen pauze is
Uitstel klinkt als ademruimte, maar voor wie hoog-risico AI inzet is het vooral extra voorbereidingstijd, geen reden om stil te zitten. De eisen voor hoog-risico-systemen zijn fors: risicobeheer, datakwaliteit, technische documentatie, menselijk toezicht, transparantie en een conformiteitsbeoordeling. Een organisatie die zo'n traject onderschat, heeft ook met de nieuwe deadlines werk aan de winkel. De tijd die nu vrijkomt, kun je het beste gebruiken om de inventarisatie, de risicoclassificatie en de impactassessments grondig te doen in plaats van onder tijdsdruk.
Bovendien is voorbereiding op de AI Act zelden een doel op zich. De maatregelen die de wet vraagt, overlappen sterk met goede AI-governance in het algemeen, en met de structuur die ISO 42001 biedt. Een organisatie die nu een AI-managementsysteem opzet, voldoet straks niet alleen aan de hoog-risico-eisen wanneer die ingaan, maar krijgt ook nu al grip op haar AI-gebruik. Dat is waarde die niet afhankelijk is van een deadline.
Wat dit betekent voor jouw planning
De praktische boodschap is tweeledig. Ten eerste: laat je niet verrassen door wat al geldt. Verbod, AI-geletterdheid en GPAI-verplichtingen zijn actueel, niet uitgesteld. Ten tweede: gebruik de extra tijd voor hoog-risico-systemen om het goed te doen. Begin met weten welke AI je inzet en in welke categorie die valt, want zonder die basis helpt geen enkele deadline je vooruit.
Hoe Secure Audit hierin ondersteunt
Wij helpen organisaties om hun positie in de EU AI Act te bepalen, hun AI-systemen te classificeren en een realistische roadmap te maken die rekening houdt met de gewijzigde deadlines. Neem contact op voor een AI Act-readiness gesprek.
Veelgestelde vragen
Is de hele EU AI Act uitgesteld?+
Nee. Alleen de verplichtingen voor hoog-risico AI-systemen schuiven op. Het verbod op bepaalde AI-praktijken (sinds februari 2025), de AI-geletterdheidsplicht (sinds februari 2025) en de GPAI-verplichtingen (sinds augustus 2025) blijven gewoon gelden.
Wat zijn de nieuwe deadlines voor hoog-risico AI?+
Voor zelfstandige hoog-risico AI-systemen onder Annex III schuift de deadline naar 2 december 2027. Voor AI die is ingebouwd in gereguleerde producten onder Annex I gaat de deadline naar 2 augustus 2028.
Wanneer is de Digital Omnibus definitief?+
Op 7 mei 2026 is een voorlopig akkoord bereikt tussen de Raad, het Europees Parlement en de Europese Commissie. De formele aanname en publicatie in het Publicatieblad worden verwacht vóór de oude deadline van augustus 2026.
Lees ook
De AI-verordening (EU AI Act) treedt augustus 2026 volledig in werking voor hoog-risico AI-systemen. Hoe classificeer je jouw AI-systemen, wat zijn de verplichtingen en hoe bereid je de conformiteitsbeoordeling voor? Een praktische gids met boetes tot 35 miljoen euro.
Sinds 2 augustus 2025 gelden onder de EU AI Act specifieke verplichtingen voor aanbieders van general-purpose AI-modellen, de modellen achter tools als GPT, Claude en Gemini. Transparantie, documentatie, auteursrecht en, voor de zwaarste modellen, eisen rond systeemrisico. Wat betekent dit voor wie zulke modellen aanbiedt of inbouwt?
De EU AI Act is van kracht en ISO 42001 biedt het managementsysteem om eraan te voldoen. Maar hoe verhouden ze zich tot elkaar? En waar zitten de hiaten?
Sinds 2 februari 2025 verplicht artikel 4 van de EU AI Act elke organisatie die AI inzet om te zorgen voor voldoende AI-geletterdheid bij haar personeel. Het is de eerste concrete verplichting die al van kracht is, en het raakt vrijwel iedere organisatie. Wat houdt de eis precies in en hoe geef je er invulling aan?
Over de auteur
Partner | IT-auditor