Op 7 juli 2026 heeft de Europese Commissie een EU-actieplan inzake cyberbeveiliging en kunstmatige intelligentie gepresenteerd. Dit actieplan, vastgelegd in de niet-bindende mededeling (IP/26/1544), brengt de vereisten uit de AI Act, de Cyber Resilience Act, NIS2 en de RED-cyberbeveiligingsregels samen in één operationele routekaart voor complianceteams van verbonden producten. Het plan verschijnt 26 dagen voordat de verplichtingen van de AI Act inzake AI voor algemene doeleinden (GPAI) en de meeste bepalingen voor hoogrisicosystemen op 2 augustus 2026 afdwingbaar worden. Bovendien geeft het richting aan de manier waarop ENISA, het AI Office en het Joint Research Centre hun toezichts- en testcapaciteit tot en met 2027 zullen inzetten.
Voor fabrikanten van radio-, telecommunicatie- en elektrische apparatuur die zich al aanpassen aan de cyberbeveiligingseisen van RED-artikel 3.3(d)-(f) onder Gedelegeerde Verordening (EU) 2022/30 en de geharmoniseerde norm EN 18031, fungeert het actieplan als een richtinggevend signaal, niet als een nieuwe wettelijke verplichting. Het verduidelijkt voor conformiteitsbeoordelingsteams welke AI-gerelateerde controles, evaluatiekanalen en beveiligde testinfrastructuur vanaf 2026 tot in 2027 als referentiekader voor handhaving zullen dienen, en waar de Commissie van de industrie verwacht dat zij nu investeren.
Wat het actieplan concreet verandert voor de naleving bij verbonden producten
De mededeling introduceert geen nieuwe bindende regels. De relevantie is vooral operationeel: de Commissie, ENISA en het JRC verbinden zich ertoe vier concrete instrumenten te leveren. Complianceteams voor verbonden producten dienen deze nauwlettend te volgen en, waar relevant, te integreren in hun programma's voor AI Act- en CRA-voorbereiding.
- Een EU-evaluatiecapaciteit voor AI-cyberbeveiliging, tot stand gekomen via een specifieke oproep en naar verwachting operationeel in 2027. Deze capaciteit voedt de externe beoordelingen van het AI Office over de functionaliteiten en risico's van geavanceerde modellen, als aanvulling op de GPAI Code of Practice die vanaf 2 augustus 2026 bindend wordt.
- Een Europese blauwdruk (Blueprint) van ENISA voor gestructureerde toegang tot geavanceerde AI-capaciteiten. Deze blauwdruk biedt transparante voorwaarden voor zowel publieke als private Europese organisaties om toegang te krijgen tot de meest capabele modellen voor cyberbeveiligingstoepassingen.
- Een veilig JRC-ENISA-testplatform voor AI-cyberbeveiliging, inclusief gesimuleerde omgevingen, gericht op operators in kritieke sectoren (financiën, energie, gezondheidszorg, transport, openbaar bestuur).
- Een EU Grand Challenge inzake AI voor cyberbeveiliging, aangevuld met door ENISA gefaciliteerde partnerschappen tussen autoriteiten, bedrijven en opensourcegemeenschappen, inclusief een campagne om kritieke opensourcesoftware te beveiligen.
Geen van deze initiatieven vervangt de CE-markering of conformiteitsbeoordeling onder RED of de CRA. Ze vormen de publieke capaciteit waarop toezichthoudende autoriteiten zullen leunen bij het beoordelen van AI-functies in verbonden producten. Bovendien kunnen leveranciers op vrijwillige basis van deze middelen gebruikmaken voordat verplichtingen daadwerkelijk van kracht worden.
Voor wie en tegen wanneer
Complianceverantwoordelijken en cybersecuritymanagers voor producten bij EU-fabrikanten van radio-, telecommunicatie- en verbonden elektrische apparatuur vormen de voornaamste doelgroep binnen de industrie, naast essentiële en belangrijke entiteiten onder NIS2. De bindende deadlines waarrond het actieplan draait, blijven ongewijzigd, maar volgen elkaar in hoog tempo op:
| Datum | Verplichting van kracht | Instrument |
|---|---|---|
| 2 augustus 2026 | GPAI-verplichtingen en de meeste AI Act-bepalingen voor hoogrisicosystemen zijn afdwingbaar; naleving van de GPAI Code of Practice wordt verwacht | Verordening (EU) 2024/1689 (AI Act) |
| 2 augustus 2026 | Cyberbeveiliging onder RED-artikel 3.3(d)-(f) is reeds van toepassing sinds 1 augustus 2025; conformiteitsvermoedens via EN 18031 | RED Gedelegeerde Verordening (EU) 2022/30 |
| Eind 2027 | Cyber Resilience Act volledig van toepassing: beveiliging door ontwerp, rapportage van kwetsbaarheden en incidenten, CE-markering conformiteit voor producten met digitale elementen | Verordening (EU) 2024/2847 (CRA) |
| 2027 | EU-evaluatiecapaciteit voor AI-cyberbeveiliging operationeel | Toezegging in het actieplan (niet-bindend) |
Voor een leverancier van radio- of verbonden apparatuur die een AI-functionaliteit op de EU-markt brengt, ziet de praktische volgorde er als volgt uit: AI Act-conformiteit voor de hoogrisicocomponent vanaf 2 augustus 2026, RED-cyberbeveiligingsconformiteit voor de radio-interface is reeds van kracht, en CRA-conformiteit voor de digitale elementen van het product tegen eind 2027. Het actieplan wijzigt deze data niet; het geeft enkel aan welke EU-instanties beschikbaar zullen zijn om ondersteuning te bieden voor elk niveau.
Wat complianceteams nu moeten doen
Breng eerst elke AI-functionaliteit in uw portfolio voor radio-, telecommunicatie- of elektrische producten in kaart en toets deze aan de risicocategorieën van de AI Act en de essentiële cyberbeveiligingseisen van RED 3.3(d)-(f). Indien een functie als hoog risico kwalificeert, dient de conformiteitsbeoordeling en de risicobeheersdocumentatie uiterlijk op 2 augustus 2026 gereed te zijn, niet daarna. Bereid ten tweede vroegtijdig uw CRA-dossier voor: processen voor het melden van kwetsbaarheden en incidenten, discipline rondom een software bill of materials en bewijsvoering voor beveiliging door ontwerp zullen allemaal worden geëvalueerd wanneer de CRA eind 2027 volledig van toepassing wordt. Zowel het AI Office als het ENISA-testplatform zullen naar deze bewijslast vragen bij componenten met AI. Volg ten derde de ENISA Blueprint en de oproep voor de EU-evaluatiecapaciteit naarmate deze zich ontwikkelen van een toezegging naar een concreet instrument. Overweeg tevens om in een vroeg stadium contact op te nemen met uw testlaboratorium of aangemelde instantie, aangezien de capaciteit in de aanloop naar 2027 schaars zal zijn.
De continue monitoring van Obsidian per jurisdictie signaleert mededelingen van de Commissie, richtsnoeren van ENISA en updates van geharmoniseerde normen zodra deze worden gepubliceerd. Hierdoor kan een complianceteam voor verbonden producten elk nieuw document in zijn voorbereidingsdossier integreren zonder zelf dagelijks dezelfde controles te moeten herhalen.
Profiteer van deze realtime bewaking
Volgende stappen voor complianceverantwoordelijken: bevestig uw AI Act-conformiteitspositie per 2 augustus 2026 voor elke hoogrisicofunctie, informeer uw aangemelde instantie en testpartner voor cyberbeveiliging over de vier instrumenten uit het actieplan, en veranker de CRA-mijlpaal van december 2027 nu al in de evaluaties van uw productroutekaart in plaats van na de zomervakantie.


