Het omnibusvoorstel en de AI Act: uitstel of onvoorspelbare start van het hoogrisicoregime?

De Europese Commissie heeft in november 2025 een omvangrijk “digitaal omnibusvoorstel” gepresenteerd dat grote delen van het EU-digitale regelgevingskader herschrijft. Een van de meest in het oog springende onderdelen is het voorstel om de handhaving van de hoogrisico-verplichtingen uit de AI-verordening uit te stellen. Volgens de Commissie is dit uitstel bedoeld om bedrijven meer tijd te geven en te voorkomen dat ze moeten voldoen aan zware AI-eisen voordat de nodige ondersteuning (zoals standaarden en richtsnoeren) gereed is. Tegelijkertijd roept dit plan nieuwe juridische onzekerheid op over wanneer deze kerntaken van de AI-verordening daadwerkelijk van kracht worden. In deze blog bespreken we de voorgestelde vertraging, de implicaties voor de betrokken sectoren en de vragen die dit oproept bij juristen en bedrijven.

Achtergrond: AI-verordening en hoogrisico-AI

De EU AI-verordening (AI Act) trad op 1 augustus 2024 in werking en zou stapsgewijs van toepassing worden. Oorspronkelijk stond een duidelijk tijdschema vast: de verplichtingen voor zogenoemde hoogrisico-AI-systemen zouden 24 maanden na inwerkingtreding gaan gelden – dus in augustus 2026 – voor AI-toepassingen in gevoelige domeinen, en vanaf augustus 2027 voor hoogrisico-AI die deel uitmaakt van bestaande gereguleerde productgroepen. Met “hoog risico” doelt de verordening op AI-systemen die significante risico’s kunnen opleveren op gebieden als bijvoorbeeld werkgelegenheid (sollicitaties), onderwijs (examens), essentiële publieke diensten, rechtshandhaving, biometrische identificatie en kredietwaardigheid. Dergelijke toepassingen zijn opgenomen in bijlage III van de verordening. Daarnaast kwalificeren AI-systemen die zijn geïntegreerd in bepaalde gereguleerde producten (zoals medische hulpmiddelen, machines of speelgoed) automatisch als hoog risico – deze categorieën zijn opgesomd in bijlage I van de AI-verordening. Voor al deze hoogrisico-AI gold dat zij binnen de genoemde termijnen aan strenge eisen moesten voldoen op het gebied van o.a. risicomanagement, data governance, transparantie en toezicht.

Uitstel van hoogrisico-eisen tot eind 2027 en 2028

Het nieuwe omnibusvoorstel doorbreekt dit oorspronkelijke schema en introduceert een flexibelere startdatum voor de hoogrisico-verplichtingen. In het kort stelt de Commissie voor dat de verplichtingen voor hoogrisico-AI pas ingaan wanneer er voldoende “ondersteunende instrumenten” beschikbaar zijn, zoals geharmoniseerde technische normen, Europese standaarden, gedeelde specificaties en praktische richtsnoeren. Concreet betekent dit dat de regels voor hoogrisico-AI uit bijlage III en I gekoppeld worden aan een expliciet besluit van de Commissie: eerst moet Brussel formeel bevestigen dat de nodige standaarden en hulpmiddelen klaarstaan, daarna gaat een extra overgangstermijn lopen.

Volgens het voorstel zouden de eisen voor hoogrisico-AI in de bijlage III-categorie (de hoogrisico-toepassingen in gevoelige sectoren zoals werk, gezondheidszorg, rechtshandhaving, etc.) van kracht worden zes maanden nadat de Commissie zo’n besluit publiceert. Voor bijlage I-systemen (AI geïntegreerd in gereguleerde producten als medische apparatuur) zou een iets langere overgangstermijn van twaalf maanden gelden.

Belangrijk: er komen ook uiterste data (zogeheten longstop dates) om te voorkomen dat uitstel eindeloos duurt. Mocht de Commissie er niet in slagen of besluiten om vóór een bepaalde datum het sein op groen te zetten, dan treden de hoogrisico-regels automatisch in werking op de volgende harde deadlines: 2 december 2027 voor de categorieën in bijlage III, en 2 augustus 2028 voor de categorieën in bijlage I. Dit komt neer op een maximum uitstel van respectievelijk 16 maanden (voor de gevoeligste AI-toepassingen) en 12 maanden (voor AI in producten) ten opzichte van de oorspronkelijke planning. Met andere woorden: de hoogrisico-kern van de AI-verordening verschuift in het ergste geval van 2026/2027 naar eind 2027 en zomer 2028.

Deze verschuiving biedt op papier verlichting voor bedrijven die bezig zijn hun AI-systemen compliant te maken. Zij krijgen potentieel een jaar extra respijt voordat de strengste verplichtingen gaan “bijten”. Bovendien voorkomt het dat zij moeten ontwerpen op bewegende doelen: veel specifieke invullingen van de AI Act-eisen hangen af van nog te ontwikkelen technische normen en standaarden, die vertraging hebben opgelopen. De Commissie signaleert dat het ontbreken van die standaarden een obstakel is en wil met dit uitstel “ervoor zorgen dat de ondersteuningsinstrumenten klaar zijn voordat de hoogrisico-regels van kracht worden”. Een hoge EU-functionaris benadrukte dat dit geen afzwakking van de regels zou inhouden, maar een tijdelijke nodige maatregel om “te voorkomen dat er een buitensporige nalevingslast ontstaat voordat essentiële hulpmiddelen, zoals standaarden en richtsnoeren, zijn afgerond”.

Onzekerheid over de inwerkingtreding en juridische complicaties

Hoewel de intentie is om de markt ademruimte te geven, creëert de flexibele startdatum nieuwe onzekerheid over wanneer de regels nu daadwerkelijk van toepassing zullen zijn. Bedrijven en juristen zitten met de prangende vraag: Wanneer moeten we écht volledig voldoen? Wordt het augustus 2026, eind 2027, augustus 2028 – of iets daar tussenin? In feite krijgt Europa met deze opzet een “zwevende” startdatum voor een van zijn belangrijkste digitale wetten. Dat is een flinke breuk met de eerdere rechtszekerheid; oorspronkelijk wisten we dat hoogrisico-AI vanaf 2026/2027 onder bindende verplichtingen zou vallen. Nu hangt dat af van een politieke beslissing in Brussel over de gereedheid van ondersteunende maatregelen.

Deze onduidelijkheid heeft juridische consequenties. Allereerst is het tijdpad voor handhaving onvoorspelbaar, wat het voor toezichthouders en bedrijven lastig maakt om zich gedegen voor te bereiden. Bovendien ontstaat een mogelijk juridisch vacuüm rond augustus 2026. Dat is de datum waarop de hoogrisico-verplichtingen eigenlijk in werking zouden treden volgens de al aangenomen AI-verordening. Het omnibusvoorstel is echter nog niet aangenomen – het moet immers nog goedkeuring krijgen van de Raad van de EU (lidstaten) en het Europees Parlement. Het is allerminst gegarandeerd dat deze onderhandelingen voor augustus 2026 zijn afgerond. Integendeel, insiders verwachten een moeizaam wetgevingsproces, aangezien lidstaten nu al verdeeld zijn over de voorgestelde wijzigingen en sommige bepalingen (met name rond privacy) zeer controversieel zijn. Er bestaat dus een reëel scenario waarin het omnibusvoorstel nog geen kracht van wet heeft tegen de tijd dat de oorspronkelijke AI Act-deadline in 2026 verstrijkt.

Wat gebeurt er in zo’n tussentijdse periode? In principe zou vanaf augustus 2026 de AI-verordening zoals die nu luidt volledig gehandhaafd kunnen worden op hoogrisico-AI – omdat de formele ingangsdatum bereikt is. Toezichthouders (zoals nationale AI-autoriteiten) zouden dan in theorie bedrijven kunnen aanspreken op niet-naleving van hoogrisico-eisen. Tegelijkertijd zou iedereen weten dat er in Brussel een wijzigingswet in de maak is om die verplichtingen uit te stellen. Dit werpt ingewikkelde juridische vragen op. Kan de EU later met terugwerkende kracht bedrijven “gratie” verlenen over eventuele overtredingen begaan in die tussenperiode? Wat als een bedrijf in de herfst van 2026 beboet wordt voor niet-naleving, en vervolgens het nieuwe wetsvoorstel datzelfde gedrag tot eind 2027 vrijstelt? Het zou de EU-wetgever in onbekend juridisch territorium brengen. Een “retroactieve” wetswijziging – zeker op het gebied van sancties – is niet zonder meer acceptabel binnen de rechtstaat en zou mogelijk getoetst kunnen worden door het Hof van Justitie. Deze juridische spagaat benadrukt het belang voor de EU-wetgevers om tijdig duidelijkheid te scheppen: zolang er geen besluit is over het omnibusvoorstel, blijft augustus 2026 als zwaard van Damocles boven bedrijven hangen.

Versnelling mogelijk: rol van de Europese Commissie

Alsof dat nog niet complex genoeg is, bevat het voorstel een opmerkelijke clausule die de tijdsdruk ook weer kan verhogen. De Europese Commissie behoudt zich namelijk het recht voor om – indien zij meent dat de markt er klaar voor is – de toepassing van de hoogrisico-regels eerder te laten ingaan. Zodra de Commissie formeel constateert dat genoeg “compliance tools” beschikbaar zijn (denk aan voldoende geharmoniseerde normen, zogenaamde common specifications of gedetailleerde administratieve richtsnoeren), kan zij via een uitvoeringsbesluit het startschot geven. Vanaf dat moment zou dan de genoemde overgangsperiode van 6 maanden (voor bijlage III AI) respectievelijk 12 maanden (voor bijlage I AI) beginnen te lopen. Feitelijk kan de Commissie hiermee unilateraal bepalen dat de hoogrisico-verplichtingen toch sneller van kracht worden, bijvoorbeeld als standaarden eerder af zijn dan verwacht.

Deze constructie betekent dat bedrijven niet alleen moeten letten op de formele parlementaire goedkeuring van het omnibusvoorstel, maar ook op eventuele signalen uit Brussel ná zo’n goedkeuring. Zelfs als de wetgever besluit tot uitstel tot eind 2027/2028, kan de Commissie dat uitstel verkorten door tijdig een gereedheidsbesluit te nemen. In het voorstel is wel vastgelegd dat er minimaal zes maanden respijt blijft tussen zo’n besluit en de daadwerkelijke handhaving voor hoogrisico-toepassingen (en een jaar voor productgerelateerde AI). Toch geeft dit bedrijven minder zekerheid: de “klok” kan onverwacht eerder gaan tikken als Brussel van mening is dat alle randvoorwaarden aanwezig zijn. De Commissie benadrukt dat dit juist fair is – men wil niet onnodig wachten als de tools er eerder zijn dan de uiterste datum – maar het vereist van bedrijven een voortdurende alertheid op nieuwe ontwikkelingen rond standaarden en commissiebesluiten.

Reacties en gevolgen voor bedrijven

De voorgestelde vertraging is met gemengde reacties ontvangen. Vanuit het bedrijfsleven – met name grote techbedrijven – klonk instemming en opluchting. De druk vanuit de industrie om de AI-regels te versoepelen of althans uit te stellen was de afgelopen maanden aanzienlijk. Lobbygroepen van grote Europese en Amerikaanse technologiebedrijven waarschuwden dat de oorspronkelijke termijnen te krap waren en dat te snelle invoering van strenge eisen innovatie zou kunnen verstikken. Ook de Amerikaanse regering had haar zorgen geuit dat de EU-regels mogelijk grensoverschrijdende AI-innovatie bemoeilijken en het trainen van AI-modellen belemmeren. Het is dan ook weinig verrassend dat waarnemers de digitale omnibus zien als een tegemoetkoming aan deze bezwaren. In de woorden van een Reuters-bericht: de Commissie wil met deze vereenvoudigingen “administratieve rompslomp verminderen, kritiek van Big Tech pareren en de Europese concurrentiekracht versterken”. Het uitstel van de AI Act-verplichtingen past in dat beeld van “meer ruimte voor innovatie”.

Tegelijkertijd waarschuwen privacy- en burgerrechtenorganisaties dat dit omnibusvoorstel neerkomt op een verzwakking of vertraging van belangrijk beschermingsbeleid. Enkele critici spraken zelfs van een “terugtrekkende beweging” of “uitverkoop” van de ambitieuze digitale agenda, waarbij het bedrijfsbelang boven fundamentele rechten zou worden gesteld. Met name de aanpassing van de GDPR (Algemene Verordening Gegevensbescherming) in dit pakket – die het gebruik van persoonsgegevens voor AI-ontwikkeling ruimer toestaat onder het mom van gerechtvaardigd belang – stuit op verzet vanuit privacy-hoek. De Commissie verdedigt zich door te stellen dat “vereenvoudiging geen deregulering is” en dat de kernprincipes van de AI Act en GDPR onaangetast blijven. Niettemin belooft de politieke behandeling van het voorstel een pittige strijd te worden, waarbij het Europees Parlement mogelijk zal aandringen op garanties dat uitstel niet tot afstel leidt en dat toezichthouders voldoende slagkracht houden om AI-risico’s aan te pakken.

Voor bedrijven – van Big Tech tot startups – brengt de situatie voor- en nadelen met zich mee. Aan de ene kant is er tijdwinst: men krijgt extra maanden (mogelijk zelfs jaren) om hoogrisico-AI op orde te brengen, pilots uit te voeren en te wachten op duidelijkere technische standaarden. Aan de andere kant is er strategische onzekerheid: investeringsbeslissingen en productlanceringen worden lastiger te plannen als de timing van regelgeving onduidelijk is. Sommige ondernemingen die al ver gevorderd zijn met compliance voorbereidingen, zouden nu kunnen aarzelen of hun plannen “on hold” zetten. Andere die misschien achterliepen, krijgen lucht, maar riskeren weer verrast te worden als de Commissie sneller dan verwacht de knop omzet. Deze onzekerheid “vormt de strategische horizon”, zoals een juridische analyse het samenvatte: het regelboek wordt op papier efficiënter, maar minder voorspelbaar in de praktijk.

Aflsuiting

Het digitale omnibusvoorstel van de Europese Commissie belooft eenvoud en verlichting voor bedrijven, maar introduceert ook een unieke situatie waarbij een cruciaal deel van de AI-verordening op drift raakt in de tijd. De kernboodschap voor juristen en compliance-afdelingen is duidelijk: houd twee scenario’s in de gaten. In scenario één slaagt de EU erin het omnibusvoorstel vóór augustus 2026 te bekrachtigen, waarmee de hoogrisico-verplichtingen formeel worden opgeschort tot (uiterlijk) eind 2027/augustus 2028. In scenario twee loopt de wetgevingsprocedure vertraging op, en ontstaat een periode waarin de AI Act technisch gezien al van kracht is maar politiek gezien mogelijk op pauze wordt gezet – een periode van juridische grijze gebieden en potentiële risico’s. In beide scenario’s geldt bovendien dat zelfs na akkoord van de medewetgevers, de daadwerkelijke startdatum nog afhangt van een besluit van de Commissie en dus eerder kan vallen dan de uiterste deadline.

Voor nu is de “bottom line” dat bedrijven niet met zekerheid weten wanneer het hart van de AI-regulering zal toeslaan. Pas wanneer de EU-instellingen een akkoord bereiken over het gehele AI-omnibuspakket, zal er meer duidelijkheid komen over de timing. En zelfs dan kan de Commissie besluiten dat de klok eerder begint te lopen als zij van oordeel is dat alle randvoorwaarden aanwezig zijn. Het is deze combinatie van uitstel én onvoorspelbaarheid die maakt dat juristen goed moeten blijven opletten: de komende jaren vergt het navigeren van het EU AI-regelgevingskader niet alleen kennis van de regels, maar ook een scherp oog voor de politieke besluitvorming erachter. Zoals een commentator het treffend samenvatte, heeft Europa nu een vlaggenschip-wet “waarvan het belangrijkste hoofdstuk pas ingaat wanneer Brussel het sein geeft dat de ondersteunende infrastructuur gereed is”. Dat is een novum in het Europees recht – en een bron van zowel opluchting als hoofdbrekens voor de innovatieve advocatuur.