PowerQuantNLStuur uw vragenlijst

EU AI-verordening en NIS2 voor HR-tech-gebruiksverantwoordelijken in de gehele Europese Unie. Zesentwintig concrete vragen over rollen, tijdlijnen, hoog-risico classificatie, art. 26 verplichtingen voor gebruiksverantwoordelijken, boetes en de NIS2-overlap — met artikelverwijzingen naar Verordening (EU) 2024/1689 en Richtlijn (EU) 2022/2555.

Laatste update: juni 2026. PowerQuant ApS (CVR 46274067) is een technische documentatie- en bewijsleverancier — geen advocatenkantoor. De onderstaande informatie is geen juridisch advies. Controleer altijd aan de hand van de actuele verordeningstekst en de bevoegde nationale autoriteit voordat u een compliance-beslissing neemt.

1. Op wie is de wet van toepassing? (Rollen)

Rollen bepalen welke verplichtingen van toepassing zijn. Het verwisselen van de rol van gebruiksverantwoordelijke met de rol van aanbieder is de meest voorkomende fout die we zien in EU HR-tech.

Wat is het verschil tussen een gebruiksverantwoordelijke en een aanbieder onder de EU AI-verordening?

Een aanbieder ontwikkelt een AI-systeem (of laat het ontwikkelen) en brengt het op de EU-markt of stelt het in dienst onder zijn eigen naam of handelsmerk (art. 3(3) van Verordening (EU) 2024/1689). Een gebruiksverantwoordelijke is een natuurlijke of rechtspersoon die een AI-systeem in het kader van een beroepsactiviteit onder zijn eigen verantwoordelijkheid gebruikt (art. 3(4)). De meeste EU HR-tech-bedrijven zijn gebruiksverantwoordelijken van AI van derden (Workday Recruiting, Greenhouse, HiBob, Microsoft Copilot, ChatGPT Enterprise, Bullhorn AI) en kunnen tegelijkertijd aanbieders zijn van hun eigen AI-functies.

Zijn we een gebruiksverantwoordelijke als we simpelweg Workday of Greenhouse gebruiken?

Ja. Wanneer u een AI-systeem actief gebruikt in uw wervings- of HR-proces, bent u een gebruiksverantwoordelijke van dat systeem, ongeacht wie het heeft gebouwd. U heeft daarom zelfstandige verplichtingen uit hoofde van art. 26 (hoog-risico verplichtingen voor gebruiksverantwoordelijken) en art. 50 (transparantie) die niet contractueel kunnen worden overgedragen aan de aanbieder.

We verkopen HR-tech met een AI-functie — zijn we een aanbieder of een gebruiksverantwoordelijke?

Beide tegelijk, als u de AI-functie zowel ontwikkelt en op de markt brengt als intern gebruikt. Als aanbieder bent u onderworpen aan art. 16-22 (conformiteitsbeoordeling, CE-markering, post-marktmonitoring, technische documentatie). Als gebruiksverantwoordelijke tegenover uw eigen klanten moet u toch gebruiksaanwijzingen en loguitvoer leveren zodat klanten hun eigen art. 26-verplichtingen kunnen aantonen.

Als we een model verfijnen of wezenlijk wijzigen, worden we dan een aanbieder?

Ja, op grond van art. 25(1). Als u uw eigen naam plaatst op een hoog-risico AI-systeem dat al op de markt is, een hoog-risico AI-systeem wezenlijk wijzigt, of het beoogde doel van een niet-hoog-risico systeem zodanig wijzigt dat het hoog-risico wordt, wordt u beschouwd als een nieuwe aanbieder met volledige aanbiederverplichtingen. Gewone configuratie of prompt-tuning activeert art. 25 doorgaans niet; het verfijnen van een model op uw eigen gegevens kan dat wel.

Is de EU AI-verordening van toepassing op mkb en start-ups?

Ja, de AI-verordening is van toepassing ongeacht de bedrijfsomvang. Er bestaan enkele specifieke verlichtingen: mkb en start-ups krijgen prioritaire toegang tot AI-regulatoire sandboxen (art. 62), en het plafond op bestuurlijke boetes uit hoofde van art. 99(6) wordt berekend als het LAGERE van het vaste EUR-bedrag en het percentage van de omzet (het tegenovergestelde van de regel voor grotere ondernemingen, waarbij het HOGERE van toepassing is).

2. Tijdlijnen — wat is wanneer van toepassing?

De AI-verordening is op 1 augustus 2024 in werking getreden (Verordening (EU) 2024/1689) met gefaseerde toepassing. De belangrijkste data voor EU HR-tech-gebruiksverantwoordelijken:

Wanneer zijn de verboden op onaanvaardbare AI-praktijken (art. 5) van toepassing?

2 februari 2025. Art. 5 verbiedt onder meer sociale scoring door publieke of private actoren, manipulatieve AI die het gedrag van een persoon wezenlijk verstoort tot diens nadeel, real-time biometrische identificatie op afstand in publiek toegankelijke ruimten voor rechtshandhaving (met beperkte uitzonderingen), en — bijzonder relevant voor HR-tech — emotieherkenning op de werkplek en in onderwijsomgevingen, met uitzondering van medische of veiligheidsredenen.

Wanneer moeten we voldoen aan art. 4 AI-geletterdheid?

Art. 4 is van toepassing vanaf 2 februari 2025 voor zowel aanbieders als gebruiksverantwoordelijken. Het AI-Bureau van de Commissie heeft bevestigd dat er geen overgangsperiode is voor art. 4 zelf. Actieve toezichthandhaving door nationale markttoezichtautoriteiten begint op 2 augustus 2026, maar de materiële verplichting is vandaag van kracht.

Wanneer gaan art. 50 transparantieverplichtingen voor gebruiksverantwoordelijken van start?

2 augustus 2026. Gebruiksverantwoordelijken die afbeeldingen, audio of video genereren of manipuleren die een deepfake vormen, moeten bekendmaken dat de inhoud kunstmatig is gegenereerd of gemanipuleerd (art. 50(4)). Gebruiksverantwoordelijken die emotieherkennings- of biometrische-categorisatiesystemen inzetten, moeten de eraan blootgestelde natuurlijke personen informeren (art. 50(3)). Door AI gegenereerde tekst gepubliceerd om het publiek te informeren over aangelegenheden van publiek belang moet worden gelabeld als kunstmatig gegenereerd, tenzij het menselijke redactionele beoordeling met redactionele verantwoordelijkheid heeft ondergaan.

Wanneer gaan de hoog-risico verplichtingen van Bijlage III van kracht?

De oorspronkelijke deadline is 2 augustus 2026 (art. 113(c)). Het politiek akkoord Digitale/AI Omnibus van 7 mei 2026 heeft VOORGESTELD de zelfstandige hoog-risico verplichtingen van Bijlage III uit te stellen tot 2 december 2027 (en AI ingebed in Bijlage I gereglementeerde producten tot 2 augustus 2028). Het Europees Parlement heeft het voorlopig akkoord op 16 juni 2026 goedgekeurd, maar de Raad heeft de formele aanname nog niet voltooid en de tekst is nog niet gepubliceerd in het Publicatieblad per 25 juni 2026. Totdat die publicatie van kracht wordt, blijft 2 augustus 2026 de juridisch bindende datum.

Wat is de huidige status van het Digitale Omnibus-voorstel?

Een voorlopig politiek (triloog) akkoord werd bereikt op 7 mei 2026 tussen de Commissie, het Parlement en de Raad. Het Parlement heeft het voorlopig akkoord formeel goedgekeurd op 16 juni 2026. Formele aanname door de Raad en publicatie in het Publicatieblad zijn nog uitstaande per 25 juni 2026. De Omnibus raakt art. 4 (AI-geletterdheid), art. 5 (verboden), art. 50 (transparantie) of de verplichtingen voor AI voor algemeen gebruik in Hoofdstuk V niet — die gaan door op hun oorspronkelijke tijdlijnen. Totdat de Omnibus formeel is aangenomen en gepubliceerd, is de oorspronkelijke deadline van 2 augustus 2026 voor hoog-risico de datum die u juridisch bindt; wij raden aan te plannen voor 2 augustus 2026 en elk definitief uitstel als buffer te beschouwen.

3. Wanneer zijn we hoog-risico? (Bijlage III)

Bijlage III vermeldt acht categorieën van hoog-risico gebruiksgevallen. HR-tech valt doorgaans onder punt 4 (werkgelegenheid, personeelsbeheer en toegang tot zelfstandige arbeid) en kan ook vallen onder punt 1 (biometrie) afhankelijk van het gebruik.

Is werving-AI hoog-risico?

Ja. Bijlage III punt 4(a) classificeert AI-systemen bedoeld voor de werving of selectie van natuurlijke personen als hoog-risico, inclusief systemen gebruikt voor het plaatsen van gerichte vacatureadvertenties, het analyseren en filteren van sollicitaties, en het beoordelen van kandidaten. Sollicitantvolgsystemen met AI-scoring, CV-screening, video-interview-analyse en resume-parsing vallen doorgaans in deze categorie.

Is werknemersmonitoring en prestatiebeoordeling hoog-risico?

Ja, wanneer het verder gaat dan neutrale tijdregistratie. Bijlage III punt 4(b) betreft AI bedoeld voor het nemen van of het wezenlijk beïnvloeden van beslissingen die gevolgen hebben voor arbeidsrechtelijke relaties, de promotie of beëindiging van arbeidsrechtelijke contractuele relaties, de taakverdeling op basis van individueel gedrag of persoonlijke kenmerken, en de monitoring en evaluatie van de prestaties en het gedrag van personen in dergelijke relaties. Personeelsanalyse-scoring, productiviteitsscoring en op gedrag gebaseerde dashboards vallen doorgaans hieronder.

Zijn voor werknemers bestemde chatbots (HR-helpdesks, beleidsrobots) hoog-risico?

Doorgaans niet op zichzelf. Een puur informatieve chatbot activeert primair de art. 50(1) transparantieverplichting (de gebruiker moet weten dat hij met een AI in interactie is). Als de chatbot echter beslissingen over arbeidsvoorwaarden, prestaties of toegang neemt of wezenlijk ondersteunt — bijvoorbeeld door het automatisch goedkeuren van verlofaanvragen, het escaleren van klachten of het scoren van werknemersfeedback — kan het verschuiven naar het Bijlage III punt 4 hoog-risico territorium.

Onze AI-functie is een klein deel van een groter product — is het nog steeds hoog-risico?

Functieomvang bepaalt de vraag niet. Wat telt is of het AI-systeem bedoeld is voor een hoog-risico gebruiksgeval onder Bijlage III en of het een significante invloed heeft op de uitkomst van het besluitvormingsproces (art. 6(3)). De art. 6(3) uitzondering voor smalle procedurele taken (patroondetectie, voorbereidende taken, verbetering van voltooide menselijke activiteit zonder wezenlijke invloed) moet schriftelijk worden gedocumenteerd en geregistreerd in de EU-database vóór plaatsing op de markt — het is geen automatische vrijstelling.

4. Wat moeten wij doen? (Verplichtingen van gebruiksverantwoordelijken)

Art. 26 stelt de verplichtingen van gebruiksverantwoordelijken vast voor hoog-risico AI-systemen. Het zijn zelfstandige verplichtingen van de gebruiksverantwoordelijke aan de toezichthouder die niet contractueel kunnen worden overgedragen aan de aanbieder.

Wat zijn de belangrijkste art. 26 verplichtingen voor gebruiksverantwoordelijken van hoog-risico AI?

De voornaamste verplichtingen: (a) technische en organisatorische maatregelen treffen om te zorgen dat het systeem wordt gebruikt overeenkomstig de gebruiksaanwijzing, (b) menselijk toezicht toewijzen aan natuurlijke personen met de nodige competentie, opleiding en bevoegdheid om in te grijpen, (c) zorgen dat invoergegevens relevant en voldoende representatief zijn voor het beoogde doel waar de gebruiksverantwoordelijke controle heeft over de invoer, (d) de werking van het systeem monitoren en ernstige incidenten melden aan de aanbieder en de relevante nationale markttoezichtautoriteit, (e) automatisch gegenereerde logs gedurende minimaal 6 maanden bewaren, (f) betrokken werknemers en hun vertegenwoordigers informeren voordat het systeem op de werkplek in dienst wordt gesteld, (g) coördineren met AVG-gegevensbeschermingseffectbeoordelingen waar van toepassing, en — voor overheidsinstanties en bepaalde particuliere gebruiksverantwoordelijken — een grondrechtenbeoordeling uitvoeren op grond van art. 27.

Welke transparantieverplichtingen hebben wij tegenover onze eigen werknemers?

Art. 26(7) vereist dat gebruiksverantwoordelijken van hoog-risico AI op de werkplek werknemersvertegenwoordigers en de betrokken werknemers informeren — vóór het in dienst stellen van het systeem — dat zij onderworpen zullen zijn aan het gebruik van een hoog-risico AI-systeem. Deze verplichting staat los van de AVG art. 13/14 informatieverplichtingen en eventuele nationale medezeggenschaps-/ondernemingsraadregels. De informatie moet begrijpelijk zijn (niet slechts een juridisch-technische kennisgeving) en worden gedocumenteerd.

Wat is een Grondrechtenbeoordeling (FRIA)?

Art. 27 verplicht gebruiksverantwoordelijken die publiekrechtelijke instanties zijn, particuliere exploitanten die openbare diensten verlenen, en gebruiksverantwoordelijken van specifieke hoog-risico AI vermeld in Bijlage III punten 5(b) en 5(c) (beoordeling kredietwaardigheid en levens- of ziektekostenverzekering risico) om vóór ingebruikstelling van het systeem een FRIA uit te voeren. De FRIA beschrijft de processen van de gebruiksverantwoordelijke waarvoor het systeem zal worden gebruikt, de periode en frequentie van gebruik, de categorieën betrokken natuurlijke personen, de specifieke risico's op schade en de menselijke-toezichtmaatregelen. Het resultaat moet worden gemeld aan de nationale markttoezichtautoriteit. Een FRIA is niet hetzelfde als een AVG-DPIA, maar de twee kunnen worden gecoördineerd.

Hoe ziet art. 50 transparantie er in de praktijk uit voor HR-tech-gebruiksverantwoordelijken?

Drie praktische zaken: (1) chatbots en conversationele AI: eindgebruikers moeten worden geïnformeerd dat ze in interactie zijn met een AI-systeem, tenzij dat duidelijk is voor een redelijk goed geïnformeerde persoon (art. 50(1) geldt voor aanbieders, maar bekendmaking aan de zijde van de gebruiksverantwoordelijke is beste praktijk). (2) Door AI gegenereerde of gemanipuleerde afbeeldingen, audio of video die een deepfake vormen: de GEBRUIKSVERANTWOORDELIJKE moet bekendmaken dat de inhoud kunstmatig is gegenereerd of gemanipuleerd (art. 50(4)). (3) Door AI gegenereerde tekst gepubliceerd om het publiek te informeren over aangelegenheden van publiek belang: moet worden gelabeld als kunstmatig gegenereerd, tenzij de inhoud menselijke redactionele beoordeling heeft ondergaan en een natuurlijke of rechtspersoon redactionele verantwoordelijkheid draagt (art. 50(4)). Bekendmaking moet duidelijk, onderscheidbaar zijn en uiterlijk op het moment van de eerste interactie of blootstelling worden verstrekt.

Wat betekent art. 4 AI-geletterdheid in de praktijk, en wat moet een register bevatten?

Art. 4 verplicht aanbieders en gebruiksverantwoordelijken maatregelen te nemen om een 'voldoende niveau' van AI-geletterdheid te waarborgen voor personeel en andere personen die AI-systemen namens hen bedienen of gebruiken, rekening houdend met hun technische kennis, ervaring, opleiding, training en de gebruikscontext. Een nuttig register bevat doorgaans: een lijst van functies met AI-blootstelling, competentievereisten per functie, voltooide trainingsactiviteiten (datum, inhoud, deelnemerslijst), evaluatiemethode en documentatie van doorlopende follow-up. Het vereiste niveau is contextueel — een HR-beheerder die Copilot gebruikt voor kandidaatcommunicatie heeft een ander niveau nodig dan een datawetenschapper die uw eigen modellen traint.

5. Boetes en handhaving

Art. 99 stelt drie niveaus van bestuurlijke boetes vast. Voor grotere ondernemingen is de boete het HOGERE van het vaste EUR-bedrag of het percentage van de wereldwijde jaaromzet; voor mkb en start-ups is het het LAGERE van de twee (art. 99(6)).

Hoe hoog kunnen boetes onder de EU AI-verordening zijn?

Drie niveaus op grond van art. 99: (1) Art. 99(3) — overtreding van art. 5 (verboden praktijken): tot 35 miljoen EUR of 7% van de totale wereldwijde jaaromzet, naar gelang welk bedrag hoger is. (2) Art. 99(4) — overtreding van andere verplichtingen inclusief art. 16-29 (verplichtingen van aanbieders en gebruiksverantwoordelijken), art. 50 transparantie en verplichtingen voor aangemelde instanties: tot 15 miljoen EUR of 3%. (3) Art. 99(5) — onjuiste, onvolledige of misleidende informatie verstrekken aan aangemelde instanties of nationale bevoegde autoriteiten als antwoord op een verzoek: tot 7,5 miljoen EUR of 1%. Voor mkb en start-ups geldt het LAGERE van de twee bedragen (art. 99(6)).

Wie handhaaft de EU AI-verordening in elke lidstaat?

Elke lidstaat moet één of meer nationale bevoegde autoriteiten aanwijzen, waaronder ten minste één aanmeldende autoriteit en één markttoezichtautoriteit, en deze uiterlijk op 2 augustus 2025 aan de Commissie melden (art. 70). Handhaving is nationaal; grensoverschrijdende coördinatie verloopt via het AI-Bureau bij de Commissie en het AI-Board. De Europese Toezichthouder voor gegevensbescherming (EDPS) fungeert als markttoezichtautoriteit voor EU-instellingen, -organen, -bureaus en -agentschappen. Controleer altijd de huidige aanwijzing in de lidstaat waar u gevestigd bent of waar het AI-systeem wordt gebruikt.

Gelden de boetes gelijkelijk voor mkb en start-ups?

Ja, maar de berekening is anders. Voor mkb (inclusief start-ups) is de boete het LAGERE van het vaste EUR-bedrag en het percentage van de omzet, op grond van art. 99(6). Dit betekent dat een start-up met EUR 500.000 omzet die art. 5 overtreedt, een boete van maximaal EUR 35.000 (7% van de omzet) kan krijgen, niet EUR 35 miljoen. De toezichthoudende autoriteit moet ook rekening houden met de belangen en economische levensvatbaarheid van het mkb bij het vaststellen van de boete.

Wie kan een klacht indienen of een onderzoek aanvragen?

Art. 85 geeft iedere natuurlijke of rechtspersoon het recht een klacht in te dienen bij de relevante nationale markttoezichtautoriteit wanneer zij redenen hebben om te menen dat er een overtreding van de AI-verordening heeft plaatsgevonden. Betrokken werknemers, kandidaten, maatschappelijke organisaties en concurrenten kunnen allemaal klachten indienen die de autoriteit moet behandelen overeenkomstig haar eigen procedures en de klager informeren over voortgang en uitkomst.

6. NIS2 + EU AI-verordening overlap

NIS2 (cyberbeveiliging) en de AI-verordening (AI-governance) zijn afzonderlijke regimes maar kunnen overlappen voor HR-tech die persoonsgegevens van werknemers en kandidaten verwerkt.

Wat is het verschil tussen NIS2 en de EU AI-verordening?

NIS2 (Richtlijn (EU) 2022/2555) is een cyberbeveiligingsregime dat risicobeheer, incidentafhandeling, supply-chain beveiliging en rapportage vereist van essentiële entiteiten en belangrijke entiteiten in 18 vermelde sectoren. De AI-verordening reguleert AI-systemen specifiek — risicoclassificatie, transparantie, menselijk toezicht, vooringenomenheid en kwaliteit van trainingsgegevens. Een HR-tech-bedrijf kan aan beide zijn onderworpen: NIS2 als het valt binnen een vermelde sector en voldoet aan de omvangsdrempels, de AI-verordening onafhankelijk wanneer het AI-systemen aanbiedt of inzet in de Unie.

Valt HR-tech onder NIS2?

Het hangt af van drie factoren: (1) sector — Bijlage I en II bij NIS2 noemen digitale infrastructuur, cloud-computingdienstverleners, datacenterdienstverleners, beheerde dienstverleners en beheerde beveiligingsdienstverleners, wat de onderliggende infrastructuur waarop HR-tech draait kan omvatten, (2) omvang — ten minste middelgroot (50+ medewerkers OF meer dan EUR 10 miljoen jaaromzet) voor de meeste sectoren, met uitzonderingen voor kleinere entiteiten op grond van kritikaliteit, (3) de concrete aangeboden dienst. Pure HR-SaaS bovenop cloud valt doorgaans niet rechtstreeks onder NIS2, tenzij het kwalificeert als digitale dienstverlener of kritieke dienst in zijn lidstaat; de onderliggende cloud-, hosting- en SOC-aanbieders doorgaans wel. Controleer altijd het registratieregime in de lidstaat van vestiging.

Wat is de NIS2-omzettingsstatus in de EU?

De omzettingsdeadline was 17 oktober 2024 (art. 41). In mei 2026 hadden 22 van de 27 lidstaten omzettingswetgeving van kracht; Frankrijk, Ierland, Luxemburg, Nederland en Spanje zaten nog in de wetgevingsprocedure volgens de ECSO-omzettingstracker. Dit betekent dat een EU-brede HR-tech-leverancier per lidstaat moet nagaan welk nationaal NIS2-recht van toepassing is, de lokale toezichthoudende autoriteit, de registratie-cutoff en de werkwijze voor incidentrapportage.

Welke incidentrapportagetijdlijnen gelden onder NIS2?

Art. 23 NIS2 legt een gelaagd meldingregime op aan het CSIRT of de bevoegde autoriteit: een VROEGTIJDIGE WAARSCHUWING binnen 24 uur nadat men op de hoogte is van een significant incident (met een indicatie of het incident vermoedelijk van kwaadaardige oorsprong is), een INCIDENTMELDING binnen 72 uur met een initiële beoordeling van ernst en impact, en een EINDRAPPORT uiterlijk één maand na de incidentmelding (of een voortgangsrapport als het incident voortduurt). Nationale wetgeving kan sectorspecifieke verplichtingen toevoegen.

7. Over PowerQuant

Is PowerQuant een advocatenkantoor?

Nee. PowerQuant ApS (Deens CVR 46274067) is een technische documentatie- en bewijsleverancier. Wij citeren EU-verordeningstekst letterlijk en leveren gecompileerd compliancebewijs (AI-inventarisatie, art. 4 register, art. 50 bekendmakingspakket, Bijlage III scopebeoordeling, FRIA-sjablonen, art. 26 analyse van controlegaten voor gebruiksverantwoordelijken). Voor bindende juridische interpretatie van specifieke gevallen, aansprakelijkheidsvragen of rechtszaken, schakel dan een gespecialiseerd AI/IT-advocatenkantoor in uw jurisdictie in.

Hoelang duurt Module 1 en wat ontvang ik?

Vijf werkdagen na boeking. U ontvangt een AI-inventarisatie van uw in gebruik zijnde AI-systemen, een art. 4 AI-geletterdheids-register, een op functies gebaseerde controlesmemo, een art. 50 bekendmakingspakket (kopieerklare tekst voor chatbots, generatieve AI, deepfakes waar van toepassing) en een analyse van hiaten ten opzichte van de art. 26 verplichtingen voor gebruiksverantwoordelijken. Deliverables zijn PDF (PDF/A-4), JSON en Markdown — alle Ed25519-ondertekend en bronverwezen naar de verordening. Vaste prijs per de .eu prijspagina; de onderliggende Module 1 referentieprijs op de Deense site is 10.999 DKK excl. BTW per AI-systeem.

Waar worden gegevens verwerkt?

Binnen de EU. PowerQuant gebruikt EU-gehoste infrastructuur en verwerkt door klanten geüploade compliancebewijs binnen de EU. Sub-verwerkers en de tabel voor gegevensverblijf staan vermeld op /nl/trust/sub-processors. Wij treden op als uw verwerker onder AVG art. 28 en ondertekenen een gegevensverwerkingsovereenkomst voordat persoonsgegevens worden gedeeld.

Primaire bronnen

  • Verordening (EU) 2024/1689 — Wet kunstmatige intelligentie (Publicatieblad 12 juli 2024; in werking getreden 1 augustus 2024)
  • Europese Commissie — AI Act Service Desk + Shaping Europe's Digital Future (Art. 4 AI-geletterdheid Q&A; van toepassing vanaf 2 februari 2025)
  • Bijlage III — Hoog-risico AI-systemen (punt 1 biometrie, punt 4 werkgelegenheid, punten 5(b)/(c) FRIA-triggers)
  • Artikel 99 — Sancties (35 M EUR / 7%; 15 M EUR / 3%; 7,5 M EUR / 1%)
  • Digitale/AI Omnibus politiek akkoord 7 mei 2026; goedkeuring Parlement 16 juni 2026; formele aanname Raad en publicatie Publicatieblad nog uitstaande per 25 juni 2026
  • Richtlijn (EU) 2022/2555 (NIS2) — omzettingsdeadline 17 oktober 2024; 22/27 lidstaten omgezet per ECSO-tracker (mei 2026)
  • Europese Toezichthouder voor gegevensbescherming (EDPS) — markttoezichtautoriteit voor EU-instellingen