Energiebedrijven dragen een dubbele regeldruk. De sector wordt aangewezen als essentieel onder de NIS2-richtlijn, en de AI-systemen die u gebruikt in bedrijfsvoering en personeelsbeslissingen vallen tegelijk onder de AI-verordening. Veel bedrijven behandelen dit als twee aparte projecten. Dat is onnodig duur – de eisen overlappen, en het bewijs kan in één keer worden verzameld.
Twee regelkaders, één verantwoordelijkheid
NIS2 (richtlijn (EU) 2022/2555) stelt eisen aan risicobeheer, incidentmelding en governance van cyberbeveiliging voor essentiële en belangrijke entiteiten. Energie – elektriciteit, gas, stadsverwarming, olie en waterstof – behoort tot de sectoren die rechtstreeks onder de richtlijn vallen.
De AI-verordening (verordening (EU) 2024/1689) reguleert daarentegen hoe u AI-systemen ontwikkelt en gebruikt. Voor een energiebedrijf als gebruiksverantwoordelijke (deployer, artikel 3.4) van hoog-risico-AI gaat het om menselijk toezicht, logging, transparantie en documentatie volgens artikel 26.
De gemeenschappelijke noemer is governance en traceerbaarheid: beide kaders eisen dat u kunt aantonen wie verantwoordelijk is, hoe risico's worden beheerst en hoe incidenten worden opgevangen.
Waar de eisen overlappen
- Logging en traceerbaarheid – artikel 26 van de AI-verordening vereist dat u systeemlogs bewaart; NIS2 vereist logging om incidenten te detecteren en te onderzoeken. Dezelfde loginfrastructuur kan beide dienen.
- Incidentafhandeling – de AI-verordening vereist melding van ernstige incidenten van hoog-risico-AI; NIS2 vereist melding van significante cyberbeveiligingsincidenten. De procedures kunnen worden gecombineerd.
- Governance en verantwoordelijkheid – beide vereisen aangewezen verantwoordelijkheid in de leiding en gedocumenteerde processen.
- Competentie – artikel 4 van de AI-verordening vereist AI-geletterdheid; NIS2 vereist training in cyberbeveiliging. De personeelsplanning kan worden afgestemd.
Data om op te plannen
- 2 februari 2025 – de verboden (artikel 5) en de eis van AI-geletterdheid (artikel 4) van de AI-verordening gelden.
- 2 augustus 2026 – de transparantieregels (artikel 50) en de verplichtingen voor hoog-risico-AI (bijlage III) worden van toepassing.
- NIS2 – de richtlijn is van kracht en wordt omgezet in nationaal recht; controleer de tijdlijn van de Nederlandse uitvoeringswetgeving voor uw type entiteit.
Een voorstel in de Digital Omnibus om delen van de hoog-risico-regels uit te stellen tot 2 december 2027 is op 16 juni 2026 goedgekeurd door het Europees Parlement, maar is niet in werking. Plan op 2 augustus 2026.
Sancties in beide kaders
Artikel 99 van de AI-verordening kent tot 35 M€ of 7 % (verboden praktijken), 15 M€ of 3 % (hoog-risico- en transparantie-eisen) en 7,5 M€ of 1 % (onjuiste informatie). NIS2 voegt eigen sanctieniveaus toe voor essentiële entiteiten plus persoonlijke aansprakelijkheid van de leiding. De kaders samen aanpakken verlaagt zowel risico als kosten.
Eén bewijsverzameling, twee regelkaders
PowerQuant bouwt nalevingsbewijs (M1/M2/M3) dat uw verplichtingen onder de AI-verordening documenteert en tegelijk hetzelfde onderliggende materiaal hergebruikt voor NIS2-governance waar mogelijk. Voor energiebedrijven betekent dat één traject in plaats van twee.
Deze pagina bevat algemene informatie en vormt geen juridisch advies.