AI Act uitstel: high-risk regels naar 2027 en 2028 na Omnibus-akkoord

Op 7 mei 2026 hebben de Raad van de EU en het Europees Parlement een voorlopig politiek akkoord bereikt over de Digital Omnibus on AI. Het akkoord verschuift de inwerkingtreding van de zwaarste verplichtingen uit de AI Act met meer dan een jaar. Tegelijk komt er een nieuw verbod op zogeheten nudifier-apps en AI-gegenereerd kindermisbruikmateriaal. Bij TIL leggen we uit wat er verandert en waarom dit niet betekent dat je achterover kunt leunen.

Wat is het AI Act Omnibus-akkoord?

Een Omnibus is een wetgevingstechniek waarmee de EU meerdere bestaande wetten tegelijk aanpast in één pakket. De Commissie zet dit instrument sinds februari 2025 in om regelgeving te vereenvoudigen, op terreinen die uiteenlopen van duurzaamheid en landbouw tot chemie en digitalisering. Inmiddels zijn er tien Omnibus-pakketten gepresenteerd.

Het zevende pakket, Omnibus VII, richt zich op het digitale wetgevingskader. Daarbinnen valt het Digital Omnibus on AI: het voorstel dat de Commissie op 19 november 2025 indiende om de AI Act, de wet die via een risicogebaseerde aanpak regels stelt aan kunstmatige intelligentie, op specifieke punten aan te passen. Het akkoord van 7 mei 2026 is de politieke overeenstemming tussen Raad en Parlement over die wijzigingen. De co-wetgevers willen het akkoord formeel aannemen voor 2 augustus 2026, de oorspronkelijke startdatum van de high-risk verplichtingen.

Tot die formele aanname blijft de huidige wettekst onverkort gelden. De oorspronkelijke deadline van 2 augustus 2026 staat dus nog overeind totdat het Omnibus-akkoord is gepubliceerd in het Publicatieblad.

Nieuwe deadlines voor high-risk AI-systemen

De grootste wijziging zit in de tijdlijn voor high-risk AI-systemen. Onder de oorspronkelijke AI Act zouden alle high-risk verplichtingen ingaan op 2 augustus 2026. Dat wordt nu in twee stappen gesplitst.

Voor zelfstandige high-risk AI-systemen uit Annex III, denk aan biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, rechtshandhaving en grensbeheer, schuift de toepassingsdatum op naar 2 december 2027. Voor high-risk AI ingebed als veiligheidscomponent in producten onder sectorale wetgeving (Annex I) geldt 2 augustus 2028. Anders dan in het oorspronkelijke Commissievoorstel zijn deze data vast en hangen ze niet af van de beschikbaarheid van technische standaarden.

De transparantieverplichting voor AI-gegenereerde content uit artikel 50 krijgt ook een nieuwe deadline. Deze verplichting houdt in dat aanbieders van generatieve AI ervoor moeten zorgen dat hun output herkenbaar is als door AI gemaakt. Dat gebeurt via watermarking: het inbouwen van een onzichtbaar machineleesbaar signaal in beeld, video, audio en tekst, gecombineerd met een zichtbaar of hoorbaar label voor eindgebruikers. Het machineleesbare signaal stelt platforms en zoekmachines in staat AI-content te detecteren, het label informeert de eindgebruiker direct. De Commissie had zes maanden overgangstermijn voorgesteld, maar Parlement en Raad hebben dit teruggebracht naar drie maanden. Aanbieders moeten daardoor uiterlijk 2 december 2026 aan deze eisen voldoen. De deadline voor het opzetten van nationale AI-sandboxes verschuift naar 2 augustus 2027.

Verbod op nudifier-apps en AI-gegenereerd CSAM

Het akkoord voegt een nieuwe verboden praktijk toe. Het gaat om AI-systemen die intiem of seksueel beeldmateriaal van personen produceren zonder hun toestemming, en om systemen die kindermisbruikmateriaal genereren (child sexual abuse material, kortweg CSAM). Een bekend voorbeeld is de zogenoemde nudifier-app: een tool die op basis van een geklede foto via AI een naaktversie genereert. Ook deepfakes waarbij een gezicht zonder toestemming op een seksuele afbeelding wordt geplakt vallen eronder.

Aanbieders van beeldgeneratoren moeten vanaf 2 december 2026 voldoen aan dit verbod. In de praktijk betekent dat: technische waarborgen inbouwen die zulke output voorkomen, modellen trainen om deze verzoeken te weigeren, en detectiesystemen inrichten om misbruik te signaleren. Dit verbod is geen vereenvoudiging, maar een nieuwe verplichting die de Commissie oorspronkelijk niet had voorgesteld. Het Parlement en verschillende lidstaten hebben deze toevoeging actief afgedwongen (Iers ministerie van Enterprise).

Industriële AI en sectorale wetgeving

Veel AI zit in producten die al onder andere wetgeving vallen, zoals medische hulpmiddelen, speelgoed, liften en machines. Zonder ingreep zouden fabrikanten aan twee regelsets tegelijk moeten voldoen: de sectorale productwet én de AI Act. Het akkoord introduceert een mechanisme om die overlap te beperken. Wanneer een sectorale wet al vergelijkbare AI-eisen stelt, kan de Commissie de toepassing van de AI Act voor dat product beperken via uitvoeringshandelingen (Lewis Silkin).

Voor de Machineverordening, oftewel Verordening (EU) 2023/1230 betreffende machines, gaat dit verder. Deze krijgt een volledige uitzondering: de AI Act is daar niet rechtstreeks van toepassing. In plaats daarvan kan de Commissie via gedelegeerde handelingen aanvullende veiligheidseisen onder de Machineverordening zelf opleggen voor high-risk AI.

Daarnaast worden de uitzonderingen die voorheen alleen voor MKB golden uitgebreid naar small mid-cap (SMC) bedrijven, de categorie tussen MKB en grote onderneming in. Het gaat om uitzonderingen zoals lichtere documentatie-eisen, een vereenvoudigd kwaliteitsmanagementsysteem en een lagere drempel voor toegang tot AI-sandboxes. De bevoegdheden van het AI Office voor het toezicht op systemen gebaseerd op general-purpose AI-modellen worden verduidelijkt, met expliciete uitzonderingen voor rechtshandhaving, grensbeheer, justitie en financiële instellingen.

TIL-analyse: ademruimte, geen vrijbrief

De aankondiging klinkt als een uitkomst die alle partijen ten goede komt, maar de werkelijkheid is genuanceerder. Bij TIL zien we drie spanningen.

Ten eerste hangt het uitstel samen met vertraging bij de Europese standaardisatie. CEN en CENELEC, de organisaties die de technische normen voor de AI Act ontwikkelen, zijn nog niet klaar. Zonder die normen kunnen aanbieders niet via een geharmoniseerde route aantonen dat hun systemen voldoen aan de high-risk eisen (CCIA Europe). Het uitstel vangt dat probleem op, maar lost het niet op. Voor de zelfstandige Annex III-systemen geldt wat ons betreft: de stilte tot eind 2027 is niet leeg, maar gevuld met werk dat verzet moet worden zodra de standaarden er zijn.

Ten tweede stuit de eerdere snelheid waarmee organisaties zich op 2 augustus 2026 hebben voorbereid op een ongelijke uitkomst. Wie investeerde, zit met capaciteit die niet meer onder druk staat. Wie wachtte, krijgt extra tijd. Dat is geen morele triomf, maar een feit waar je rekening mee moet houden in interne planning. Wij verwachten geen tweede uitstel: het politieke argument voor verlenging is nu gebruikt en de wetgever zal de geloofwaardigheid van het kader willen beschermen.

Ten derde is het beeld van een "vereenvoudiging" misleidend. Het Parlement heeft verschillende eerder voorgestelde versoepelingen teruggedraaid. De registratieplicht voor zogenaamd niet-high-risk systemen blijft bestaan. De verwerking van bijzondere persoonsgegevens voor bias-correctie blijft gebonden aan strikte noodzaak. Tegelijk komt het CSAM-verbod erbij. Er gaat dus iets af, en er komt iets bij. Hoe je dit weegt, hangt af van waar je in de keten zit.

Wat betekent dit voor jou als jurist in de praktijk?

Vier acties tellen nu.

Maak je high-risk inventarisatie af. De inventarisatie van AI-systemen die onder Annex III of Annex I vallen blijft urgent, ook als de toepassingsdatum is opgeschoven. Zonder inventarisatie kun je geen risicoclassificatie maken en geen tijdlijn opstellen.

Plan rond de watermarking-deadline van 2 december 2026. Dit is de eerstvolgende live verplichting. Aanbieders van generatieve AI moeten labels en machineleesbare watermerken inbouwen in hun output, en detectiemogelijkheden inrichten. Dat vraagt aanpassingen in de productie-infrastructuur en in het uitleverproces, niet alleen documentatie.

Adviseer over het CSAM-verbod. Voor aanbieders van beeldgeneratoren betekent dit concreet: de modeltraining toetsen op het herkennen en weigeren van verboden verzoeken, technische filters op input en output activeren, en logging inrichten om misbruik te kunnen reconstrueren. Voor platformdiensten die door derden gegenereerde AI-beelden hosten betekent het: detectiesystemen koppelen aan een meld- en verwijderingsproces dat aansluit op bestaande verplichtingen onder de Digital Services Act. De deadline is 2 december 2026.

Leg AI-governance kaders vast. Of je nu in-house jurist, advocaat of compliance officer bent, het uitstel betekent niet minder werk, maar werk dat over een langere periode kan worden gespreid. Gebruik die tijd om beleid op orde te krijgen voordat de toezichthouder klopt. Wij schreven eerder over de eerste bepalingen van de AI Act, inclusief de AI-geletterdheidsplicht uit artikel 4 die al sinds 2 februari 2025 geldt. Die verplichtingen blijven onverkort van kracht.

Aan de slag met je AI-beleid

AI-beleid is het interne kader waarin je organisatie vastlegt hoe AI mag worden gebruikt: welke tools voor welke taken, met welke data, met welke mate van menselijke controle, en wie verantwoordelijk is bij fouten. Dit beleid raakt het uitstel niet. De AI-geletterdheidsplicht uit artikel 4 geldt al sinds februari 2025, de watermarking-deadline van 2 december 2026 nadert, en het CSAM-verbod gaat in op dezelfde datum. Het uitstel raakt vooral de high-risk verplichtingen, niet je bredere governance-opgave.

Wij helpen jouw organisatie om AI-beleid op te zetten dat past bij de actuele tekst van de AI Act, inclusief de Omnibus-wijzigingen. Geen documenten voor de la, maar kaders die in de praktijk werken. Start met je AI-beleid en gebruik de tijd tot 2 december 2027 om je organisatie volledig compliance-klaar te krijgen voor de high-risk verplichtingen.