Europa heeft de afgelopen jaren veel digitale wetten en richtlijnen aangenomen. Denk aan de AI Act, NIS2-richtlijn, DORA, EU Data Act en Cyber Resilience Act. Veel van deze wetgeving treedt stapsgewijs in werking. In 2025 krijgen we te maken met diverse strenge regels die deze Europese wetgeving oplegt. Welke regels dat zijn? We zetten ze op chronologische volgorde voor u.

Januari 2025 – DORA van toepassing

Vanaf 17 januari 2025 is de Digital Operational Resilience Act (DORA) van toepassing en start het toezicht door De Nederlandsche Bank (DNB).

De DORA heeft als doel om de digitale weerbaarheid van de financiële sector te vergroten. De DORA stelt uniforme eisen aan de beveiliging van netwerk- en informatiesystemen van bedrijven en organisaties die actief zijn in de financiële sector.

Let op!

DORA is ook van toepassing op derde partijen die aan financiële instellingen ICT-gerelateerde diensten verlenen, zoals cloudplatforms, managed services en data-analyse.

Wat zijn de belangrijkste regels uit de DORA?

Financiële entiteiten moeten:

  • beschikken over een solide, alomvattend en goed gedocumenteerd kader voor ICT-risicobeheer, als onderdeel van hun algemeen risicobeheersysteem;

  • zorgen voor een beheerproces rondom ICT-gerelateerde incidenten, om zo ICT-gerelateerde incidenten te detecteren, te beheren en te melden aan bevoegde autoriteiten;

  • digitale operationele veerkrachttesten periodiek (laten) uitvoeren; en

  • een toezichtkader inrichten voor kritische externe ICT-dienstverleners (waar de financiële organisatie van afhankelijk is) om digitale risico's te monitoren.

Meer weten over de DORA?

Lees dan onze blog ‘Cloud- of IT-diensten leveren aan financiële instellingen? Check de DORA…..’

Februari 2025 – eerste regels AI ACT gaan in

In 2024 werd de AI Act een feit. De AI Act legt strenge regels op aan de ontwikkeling en het gebruik van AI-systemen en -toepassingen. De Artificial Intelligence Act bevat een risicogebaseerde aanpak en deelt systemen in 4 categorieën in:

  • onaanvaardbaar risico;

  • hoog risico;

  • beperkt risico;

  • minimaal risico.

Het overgrote deel van de AI-systemen valt in de laatste 2 categorieën.

De AI Act treedt stapsgewijs in werking. De eerste regels gaan dit jaar in.

Regels AI Act per 2 februari 2025

Allereerst zijn vanaf 2 februari de AI-systemen uit de categorie ‘onaanvaardbaar risico’ verboden. Deze moeten dan van de Europese markt zijn gehaald.

Op diezelfde datum gaat ook de AI-kennisplicht in. Organisaties moeten zorgen voor een toereikend niveau van AI-geletterdheid bij werknemers en personen die namens hen AI-systemen gebruiken. Zeker als het gaat om systeem in de categorie ‘hoog risico’.

Regels AI Act per 2 augustus 2025

Vanaf 2 augustus 2025 gaan de regels voor AI-modellen voor algemene doeleinden in, hiertoe behoort onder meer ChatGPT. Deze modellen staan ook wel bekend als 'general purpose AI'.

Ook moet op 2 augustus bekend zijn welke instanties in Nederland optreden als toezichthouder op de naleving van de AI Act. De aangewezen toezichthouder(s) is onder meer bevoegd om boetes op te leggen.

Regels AI Act 2026 en verder

In augustus 2026 start het toezicht op AI-systemen met een hoog risico en wordt er toezicht gehouden op de transparantieverplichtingen, die onder meer gelden voor AI-systemen met een beperkt risico. Ook moet in Nederland dan begonnen worden met het geven van advies aan aanbieders van AI-systemen, die complexe vragen hebben over de wetgeving.

In augustus 2027 is de AI Act volledig van kracht, wanneer ook het toezicht op AI met een hoog risico op bestaande gereguleerde producten (zoals beschreven in bijlage I van de AI Act) van start gaat.

Meer weten over de AI Act?

Lees dan onze blogs:

Juni 2025 – voldoen aan de European Accessibility Act

De European Accessibility Act – in Nederland de Europese toegankelijkheidswet genoemd – moet het voor mensen met een beperking net zo goed mogelijk maken om digitale producten en diensten te gebruiken als voor mensen zonder beperking.

Het is essentieel dat mensen met een beperking gewoon kunnen blijven meedoen in de huidige, digitale maatschappij. Daarom moet onder meer online bankieren, reizen met trein, bus of metro en winkelen via webshops voor iedereen goed mogelijk zijn.

De nieuwe wetgeving wordt van toepassing op onder meer computers, besturingssystemen, e-commerce diensten (websites, -shops en apps), financiële diensten, ticket- en inchecksystemen.

Hele kleine organisaties (minder dan 10 werknemers) zijn uitgezonderd van deze wetgeving en hoeven niet te voldoen aan de bijkomende verplichtingen.

Meer lezen over de European Accessibility Act?

Lees dan onze blog: ‘de European Accessibility Act komt eraan: hoe digitaal toegankelijk is uw bedrijf?

Kanttekening bij deze blog uit 2023: in 2024 is de European Accessibility Act in de Nederlandse wetgeving geïmplementeerd door middel van de Implementatiewet toegankelijkheidsvoorschriften producten en diensten.

Medio 2025 - Cyberbeveiligingswet treedt in werking

In 2024 moesten de Europese lidstaten de NIS2-richtlijn voor cybersecurity geïmplementeerd hebben in hun nationale wetgeving. Nederland haalde deze deadline niet. Onze Cyberbeveiligingswet zal naar verwachting medio 2025 in werking treden.

Wat kunt u van deze Cyberbeveiligingswet verwachten?

In ieder geval dat de vereisten uit de NIS2-richtlijn om maatregelen te treffen die de cybersecurity naar een hoger niveau tillen, worden overgenomen. Zo brengt de NIS2-richtlijn onder andere 3 verschillende verplichtingen met zich mee.

De zorgplicht

Organisaties worden verplicht om een risicobeoordeling op het gebied van cybersecurity uit te voeren. Op basis hiervan moet een organisatie passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren, om incidenten te voorkomen en de gevolgen van incidenten te beperken.

De meldplicht

Organisaties moeten melding maken bij de bevoegde autoriteit als ze getroffen zijn door een incident dat aanzienlijke gevolgen heeft voor hun dienstverlening.

De registratieplicht

Organisaties die onder de NIS2-richtlijn vallen, moeten zich verplicht registreren. Hierdoor ontstaat er Europees breed duidelijkheid over het aantal organisaties dat onder de NIS2-richtlijn valt.

Bij deze 3 verplichtingen blijft het echter niet.

Nederland streeft namelijk een hoger niveau van cyberbeveiliging na, dan is vastgelegd in de NIS2-richtlijn.

De NIS2-richtlijn gaat uit van minimumharmonisatie, waardoor de verplichtingen uit de richtlijn minimumvereisten zijn. Iedere lidstaat mag op onderdelen een hoger niveau van cyberbeveiliging vaststellen.

Nederland heeft aangegeven een hoger niveau te willen nastreven. Tegelijkertijd is al bekend dat deze strengere eisen niet allemaal geregeld worden in de Cyberbeveiligingswet.

Voor veel onderwerpen (bijvoorbeeld voor de zorgplicht uit de NIS2-richtlijn) geeft de Cyberbeveiligingswet aan dat dit nader zal worden geregeld in Algemene Maatregelen van Bestuur (‘AMvB’) of ministeriële regelingen. Oftewel, ook na de inwerkintreding van de Cyberbeveiligingswet weten organisaties nog steeds niet helemaal precies aan welke wettelijke verplichtingen ze moeten voldoen.

Meer lezen over de NIS2-richtlijn en de Cyberbeveiligingswet?

Lees dan onze blogs:

September 2025 – regels EU Data Act van toepassing

In 2023 ging de EU Data Act van kracht en op 12 september 2025 zijn de regels dan ook echt van toepassing binnen de EU.

De EU Data Act geeft Europese bedrijven en consumenten meer controle over hun eigen data. Zo moet de toegang tot data vereenvoudigd worden en moet het makkelijker worden voor gebruikers binnen de EU om van cloudprovider te wisselen.

Een aantal van de belangrijkste regels op een rij.

  • Verbonden producten en gerelateerde diensten moeten zodanig worden ontworpen en vervaardigd dat product- en gerelateerde dienstgegevens standaard toegankelijk zijn voor gebruikers.

  • Data die door slimme apparaten wordt verzameld, moet toegankelijk worden gemaakt voor gebruikers ervan én op verzoek ook aan derde partijen voor onderhoud en reparatie.

  • Het moet voor consumenten mogelijk worden om snel en efficiënt over te stappen van de ene cloudprovider naar de andere.

  • Voor de aankoop, huur of lease van een slim product dat data verzamelt of voor de levering van daaraan gerelateerde diensten, moet de verkoper, verhuurder, fabrikant of andere gegevenshouder informatie hierover verstrekken aan de gebruiker.

Meer weten over de EU Data Act?

Lees dan ook onze blog ‘Akkoord Europese Data Act: data wordt stuk toegankelijker’.

Vooruitblik 2026: eerste regels Cyber Resilience Act gaan in

Eind 2024 is de Cyber Resilience Act in werking getreden.

De Cyber Resilience Act (CRA) heeft tot doel consumenten en bedrijven te beschermen, die producten of software met een digitale component kopen of gebruiken.

De verordening zal van toepassing zijn op alle producten die direct of indirect met een ander apparaat of netwerk zijn verbonden. Denk niet alleen aan tablets en smartphones, maar ook aan slimme apparaten als auto’s, wasmachines en robotstofzuigers.

Producten met digitale elementen moeten in de gehele toeleveringsketen en gedurende hun hele levenscyclus worden beschermd tegen cyberdreigingen. Alle fabrikanten die producten op de EU-markt brengen, moeten aan deze regels voldoen. Ook als ze zelf niet in Europa gevestigd zijn.

De CRA wordt 36 maanden na inwerkingtreding van toepassing. Sommige bepalingen gaan echter al eerder in. Zo geldt vanaf 11 september 2026 de meldplicht voor actief misbruikte kwetsbaarheden en incidenten. Vanaf 11 december 2027 is de verordening in zijn geheel van toepassing.

Meer weten over de Cyber Resilience Act?

Lees dan onze blog: Cyber Resilience Act treedt in werking: strenge beveiligingseisen gesteld aan digitale producten.

Zeker weten dat u niks mist over deze en andere wetgeving?

Meld u dan nu aan voor onze maandelijkse nieuwsbrief en krijg onze blogs automatisch in uw inbox.