Overzicht aankomende wet- en regelgeving

De AI Act

De AI Act is een reguleringskader voor Artificiële Intelligentie (AI) binnen de Europese Unie (EU). Het doel van de verordening is om een veilig en ethisch kader te bieden voor de ontwikkeling, implementatie en het gebruik van AI-systemen binnen de EU.

Voor wie van toepassing?
De AI Act is van toepassing op aanbieders, gebruikers, importeurs en distributeurs van AI-systemen.

Welke eisen worden gesteld?
Op basis van het risiconiveau dat een AI-systeem met zich meebrengt stelt de AI Act verplichtingen aan aanbieders, gebruikers, importeurs en distributeurs van AI-systemen. Er zijn vier risiconiveaus gedefinieerd:

• Onaanvaardbaar risico (verboden)
• Hoog risico (gereguleerd)
• Beperkt risico (voorwaarden)
• Minimaal of geen risico (vrijwillig)

De meeste eisen worden gesteld aan AI-systemen met een hoog risico. Zij moeten onder andere een adequaat systeem voor risicomanagement inrichten, technische documentatie opstellen en transparant zijn naar de gebruikers over hoe het AI-systeem werkt.

Inwerkingtreding
De Europese raad heeft op 21 mei 2024 de AI Act goedgekeurd. Op 12 juli 2024 is de AI Act gepubliceerd in het publicatieblad van de Europese Unie (EU). De wet treedt 20 dagen na publicatie in werking. Dit zal zijn op 1 augustus 2024. Vanaf februari 2025 zal al een verbod gelden op AI-systemen met een onaanvaardbaar risico. In augustus 2025 moeten aanbieders van General-Purpose AI voldoen aan de opgestelde gedragscode. Daarnaast moeten de nationale toezichthouders zijn opgericht en het handhavingsbeleid zijn gepubliceerd. Per augustus 2026 is de AI Act volledig van toepassing, met uitzondering van de hoog risico AI-systemen uit bijlage I. De AI Act is een jaar later (augustus 2027) van kracht voor deze toepassingen.

De NIS2 richtlijn

De NIS2 richtlijn is gericht op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Het doel van de richtlijn is om een hoger cyber security niveau en meer Europese harmonisatie te bereiken.

Voor wie van toepassing?
Een organisatie valt onder de NIS2 wanneer zij actief is in een bepaalde sector en volgens bepaalde criteria gekenmerkt worden als essentiële of belangrijke entiteit. De sectoren die onder de NIS2-richtlijn vallen zijn als volgt verdeeld:

• Sectoren bijlage 1 (hoog kritieke sectoren): energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart.
• Sectoren bijlage 2 (andere kritieke sectoren): digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.

Een sector is essentieel of belangrijk als:

• Essentiële entiteit: een organisatie is een essentiële entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 van de NIS2-richtlijn en wordt aangemerkt als groot (minimaal 250 werknemers OF een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro).
• Belangrijke entiteit: een organisatie is een belangrijke entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 en wordt aangemerkt als middelgroot (minimaal 50 werknemers OF een jaaromzet en balanstotaal van meer dan 10 miljoen euro). Of wanneer de organisatie actief is in een sector uit bijlage 2 en wordt aangemerkt als groot of middelgroot.

Welke eisen worden gesteld?
Organisaties die onder de NIS2 vallen moeten voldoen aan vier verplichtingen, namelijk:

• Zorgplicht: Het uitvoeren van een risicobeoordeling en op basis van de resultaten technische, operationele en organisatorische maatregelen treffen.
• Meldplicht: Incidenten die aanzienlijke gevolgen (kunnen) hebben voor de verlening van de dienst moeten binnen 24 uur worden gemeld bij de toezichthouder.
• Registratieplicht: Organisaties die onder de NIS2 richtlijn vallen, zijn verplicht zich te registreren.
• Toezicht: Organisaties komen onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn zoals de zorg- en meldplicht.

Inwerkingtreding
Op 27 december 2022 is de definitieve versie van de NIS2 richtlijn in het publicatieblad van de EU gepubliceerd. Op 16 januari 2023 is deze richtlijn in werking getreden. Alle lidstaten hadden daarna 21 maanden (17 oktober 2024) de tijd om de richtlijn om te zetten in nationale wetgeving. Inmiddels is bekend dat Nederland deze deadline niet gaat halen. Naar verwachting treed de Nederlandse wetgeving van de NIS2 richtlijn in de zomer van 2025 in werking.

De Cyber Resilience Act (CRA)

De Cyber Resilience Act (CRA) is gericht op het verbeteren van de beveiliging van producten met digitale elementen die in de EU op de markt worden gebracht. Het doel van de CRA is om het algemene niveau van Cyber Security van digitale producten en diensten in de EU te verhogen.

Voor wie van toepassing?
De CRA is van toepassing op de fabrikanten, importeurs en distributeurs van producten die in verbinding staan met andere apparaten of een netwerk (digitale producten). Dit geldt zowel voor software, hardware als componenten, die direct of indirect op een apparaat of netwerk zijn aangesloten. Met uitzondering van specifieke uitsluitingen, zoals opensourcesoftware of diensten die reeds onder de bestaande regels vallen (bijvoorbeeld medische hulpmiddelen en auto’s).

Welke eisen worden gesteld?
De CRA stelt eisen aan de digitale producten voordat deze op markt gebracht worden. Daarbij worden de meeste eisen gesteld aan de fabrikanten. Zij moeten aan diverse cyberbeveiligingseisen voldoen, zoals:

• Het verstrekken van gratis veiligheidsupdates zodra er kwetsbaarheden worden ontdekt, gedurende de hele te verwachten gebruiksperiode.
• Het ervoor zorgen dat producten voldoen aan de cybersecurityeisen, voordat een product op de markt wordt gebracht.
• In veel gevallen moeten veiligheidsupdates automatisch worden geïnstalleerd, opgeslagen persoonlijke- en financiële gegevens worden beschermd en krijgt de gebruiker de mogelijk geboden om deze data permanent te verwijderen.
• Incidenten en kwetsbaarheden, die worden misbruikt door kwaadwillende, binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid.

Importeurs Importeurs moeten er onder andere op toezien dat fabrikanten hun verplichtingen zijn nagekomen, bijvoorbeeld dat zij de conformiteitsbeoordeling hebben uitgevoerd. Distributeurs zijn verplicht ervoor te zorgen dat het product is voorzien van een CE-markering. Ook controleren zij of de fabrikant aan bepaalde verplichtingen heeft voldaan, zoals het product voorzien van een element om het te kunnen identificeren.

Inwerkingtreding
Op 12 maart 2024 heeft het Europees Parlement gestemd. Naar verwachting gaat de CRA nu de laatste wetgevende fase in. Inwerkingtreding gebeurt 20 dagen na de publicatie in het publicatieblad van de EU. Vervolgens hebben fabrikanten, importeurs en distributeurs 36 maanden de tijd om aan de wetgeving te voldoen.

De Data Governance Act (DGA)

De Data Governance Act (DGA) is een verordening gericht op het bevorderen en reguleren van vrijwillige gegevensuitwisseling binnen de Europese Unie. Het doel is om het vertrouwen in het uitwisselen van data te vergroten, mechanismen om beschikbaarheid van data te versterken en technische belemmeringen voor het hergebruik van gegevens uit de weg te ruimen. Kortom, het creëren van een veilige en betrouwbare omgeving waarin data tussen bedrijven, overheden en burgers gedeeld kan worden.

Voor wie van toepassing?
De DGA is van toepassing op aanbieders van databemiddelingsdiensten, ook wel gegevensbemiddelaars genoemd, en organisaties die zich bezighouden met data-altruïsme (het verwerken van gegevens voor algemeen belang). Daarnaast gelden er eisen voor de publieke sector om het hergebruik van openbare en beschermde gegevens veilig en volgens wetgeving te laten verlopen. Overigens vallen zowel persoonsgegevens als niet-persoonsgegevens onder de reikwijdte van de DGA.

Welke eisen worden gesteld?
De DGA stelt diverse eisen aan de betrokken partijen bij het hergebruik van publieke data.

Gegevensbemiddelaars moeten onder meer aan beveiligings- en interoperabiliteitseisen gaan voldoen. Zij mogen gegevens niet voor andere doeleinden gebruiken of op eigen initiatief verhandelen en moeten voldoen aan strenge eisen om neutraliteit te garanderen.

Organisaties die zich bezighouden met data-altruïsme moeten onder ander voldoen aan eisen om de privacy en overige belangen van personen en bedrijven die gegevens beschikbaar stellen te beschermen. Daarnaast moeten deze organisaties een non-profitkarakter hebben en voldoen aan transparantievereisten.

Daarnaast worden er technische vereisten gesteld voor de publieke sector zodat de privacy en vertrouwelijkheid van gegevens bij hergebruik volledig nageleefd wordt. Denk aan technische oplossingen als anonimisering pseudonimisering of toegang tot gegevens in beveiligde verwerkingsomgevingen.

Inwerkingtreding
De DGA is op 3 juni 2022 gepubliceerd in het publicatieblad van de Europese Unie. Met ingang van 24 september 2023 is het van toepassing in alle lidstaten. Aanbieders van databemiddelingsdiensten hebben tot 24 september 2025 om aan hun verplichtingen uit de DGA te voldoen.

De Digital Operational Resilience Act (DORA)

De Digital Operational Resilience Act (DORA) stelt eisen aan de operationele veerkracht van financiële instellingen met betrekking tot informatiebeveiliging. Het doel is om de IT-risico’s beter beheersbaar te maken en de digitale weerbaarheid van financiële instellingen en andere entiteiten binnen de financiële sector te versterken.

Voor wie van toepassing?
DORA is van toepassing op financiële instellingen, zoals banken, verzekeringsmaatschappijen, handelsplatformen en beleggingsinstellingen. Daarnaast geldt de DORA ook voor ICT-leveranciers die diensten leveren aan deze financiële instellingen, evenals (ICT) bedrijven die zelf financiële diensten verlenen.

Welke eisen worden gesteld?
Het is verplicht om een uitgebreid raamwerk voor risicobeheer op het gebied van informatie- en communicatietechnologie (ICT) te implementeren. Daarbij worden onder andere eisen gesteld aan ICT-risicomanagement, ICT-risicobeheer van derden, testen van digitale operationele veerkracht, ICT-gerelateerde incidenten, delen van informatie en toezicht op kritieke externe leveranciers. Denk bijvoorbeeld aan:

• Het implementeren van maatregelen om operationele risico’s te voorkomen en te beperken.
• Het inrichten van een kader voor gecoördineerde incidentrespons en informatie-uitwisseling tussen financiële instellingen en toezichthoudende autoriteiten.
• Het melden van ernstige ICT-gerelateerde incidenten aan de bevoegde autoriteiten.

Inwerkingtreding 
De wetgeving is op 16 januari 2023 in werking getreden. Vanaf 17 januari 2025 moeten financiële instellingen en hun ICT-leveranciers ook daadwerkelijk compliant zijn aan de verordening.

De Energy Efficiency Directive (EED)

De Energy Efficiency Directive (EED) is een richtlijn waarmee de Europese Commissie bedrijven en instellingen wil motiveren om meer energiebesparende maatregelen te treffen. Het doel is de energie-efficiëntie in de EU te verbeteren.

Voor wie van toepassing?
Een onderneming heeft een EED-auditplicht indien zij:

• 250 of meer FTE in dienst hebben.

OF

• Een jaaromzet van meer dan €50 miljoen én een jaarlijks balanstotaal van meer dan €43 miljoen hebben.

Daarnaast kunnen organisaties of instellingen die een economische activiteit uitvoeren (bijvoorbeeld gemeenten of onderwijsinstellingen) ook een EED-auditplicht hebben. Een economische activiteit is het aanbieden van goederen of diensten aan derden op de markt. Als het totaal (aantal werknemers of genereerde omzet en bijbehorend balanstotaal) van de economische activiteiten boven de grenswaarde van een grote onderneming liggen, dan is de instelling EED-auditplichtig voor de inrichtingen waar deze economische activiteiten plaatsvinden. De grenswaarde van grote ondernemingen zijn 250 of meer FTE of meer €50 miljoen jaaromzet én meer dan €43 miljoen jaarlijks balanstotaal.

Welke eisen worden gesteld?
Organisaties die aan de EED moeten voldoen dienen een EED energie-audit uit te voeren, waarbij het actuele energieverbruik en de mogelijke energiebesparende maatregelen in kaart worden gebracht. Daarnaast moeten zij de rapportage van de EED energie-audit indienen bij de Rijksdienst voor Ondernemend Nederland (RVO).

Inwerkingtreding
De EED, in deze vorm, trad inwerking op 1 juli 2019. Elke vier jaar dienen EED-auditplichtige organisaties een EED energie-audit rapportage in bij de RVO. De derde ronde is gestart op 1 juli 2023. De deadline voor het indienen van de rapportage is 31 december 2024.

Let op! In de vorige ronde de rapportage eerder ingediend, dan dient dit ook deze ronde te gebeuren. Tel 4 jaar op bij de datum van inleveren vorige ronde, dat is jouw deadline.

De Corporate Sustainability Reporting Directive (CSRD)

De Corporate Sustainability Reporting Directive (CSRD) is een richtlijn van de EU met strenge eisen voor duurzaamheid en niet-financiële rapportage voor bedrijven. Het doel is om de duurzaamheidsrapportage te verbeteren en harmoniseren.

Voor wie van toepassing?
De aankomende jaren zullen steeds meer ondernemingen moeten voldoen aan de CSRD. In eerste instantie is de CSRD is van toepassing op grote beursgenoteerde bedrijven en bedrijven met openbaar belang (o.a. banken en verzekeringsmaatschappijen). Dit zijn grote instellingen van openbaar belang met meer dan 500 werknemers. Het betreft ondernemingen die op dit moment reeds aan de NFRD onderworpen zijn.

Een onderneming is groot als het voldoet aan minimaal twee van de drie onderstaande criteria:

• Meer dan 250 medewerkers;
• Meer dan 40 miljoen euro omzet per jaar;
• Meer dan 20 miljoen euro op de balans.

Welke eisen worden gesteld?
De CSRD verplicht bedrijven te rapporteren over zowel zakelijke en financiële risico’s als de risico’s voor en hun impact op mens en milieu (dubbele materialiteitsprincipe). Bij deze duurzaamheidsverslaglegging worden de volgende principes aangehouden:

• Het rapporteren over materiële duurzaamheidsontwikkelingen die leiden tot mogelijke financiële risico’s voor het bedrijf en ecologische en sociale materiële impact van het bedrijf op mens en milieu. Deze rapportage is op basis van het dubbele materialiteitsprincipe.
• Het meten van lange termijn doelstellingen.
• Het meenemen van niet-financiële indicatoren zoals sociaal kapitaal.
• Het laten uitvoeren van een verplichten ‘limited assurance’ door een externe accountant.

Inwerkingtreding
De inwerkingtreding van de CSRD is gefaseerd over de aankomende jaren, afhankelijk van grootte en type onderneming.

Grote beursgenoteerde bedrijven en bedrijven met openbaar belang (o.a. banken en verzekeringsmaatschappijen)

• Rapportagejaar: 2024
• Eerste rapportage: in 2025

Andere grote ondernemingen die momenteel niet onder de NFRD vallen:

• Rapportagejaar: 2025
• Eerste rapportage: in 2026

Beursgenoteerde MKB-ondernemingen (kleine en middelgrote ondernemingen), kleine en niet-complexe kredietinstellingen en bepaalde verzekeringsentiteiten:

• Rapportagejaar: 2026
• Eerste rapportage: in 2027

Non-EU ondernemingen met significante activiteiten in de EU:

• Rapportagejaar: 2028
• Eerste rapportage: in 2029

Hulp nodig?

Heeft jouw organisatie hulp nodig bij bovenstaande wet- en regelgeving? Onze consultants staan klaar om jou te ondersteunen. Neem vrijblijvend contact met ons op voor de mogelijkheden.

Reduce Risk, Create Value!

Contact