De EU AI Act legt niet al haar verplichtingen gelijktijdig op. De nalevingsvereisten gelden in een reeks deadlines die zijn gekoppeld aan de inwerkingtreding op 1 augustus 2024. Het begrijpen van deze tijdlijn is essentieel voor elke organisatie die haar AI Act-nalevingsprogramma plant: handelen op basis van de verkeerde deadline — of het missen van een reeds verstreken deadline — creërt onmiddellijke regulerende blootstelling.
De structuur van de AI Act kan worden begrepen in vier hoofdfasen. Fase 1 betrof verboden AI-praktijken, die vanaf 2 februari 2025 onwettig zijn. Fase 2 betrof verplichtingen voor AI-modellen voor algemeen gebruik (GPAI), die golden vanaf 2 augustus 2025. Fase 3 betreft hoog-risico AI-systemen vermeld in Bijlage III, waarvoor het volledige nalevingskader van toepassing is vanaf 2 augustus 2026. Fase 4 betreft hoog-risico AI-systemen die zijn ingebed in producten die worden gereguleerd door bestaande EU-productveiligheidswetgeving (Bijlage I), die profiteren van verlengde overgangsperioden die lopen tot 2027 en 2028, afhankelijk van het toepasselijke productregime. Twee aanvullende categorieën — AI-systemen in juridische en gerechtelijke contexten, en sommige AI bij overheidsinstanties — hebben overgangsperioden die doorlopen tot 2030.
Het verbod van artikel 5 op niet-aanvaardbare AI-praktijken werd zes maanden na de inwerkingtreding van toepassing, op 2 februari 2025. Deze fase viel ook samen met de inwerkingtreding van de governancestructuur van het AI-bureau en de Europese AI-raad. Organisaties hadden hun beoordeling van verboden praktijken vóór deze datum moeten afronden en alle activiteiten die binnen de verboden categorieën vallen moeten stopzetten.
Naast verboden praktijken zag fase 1 ook het begin van de periode voor de Commissie om gedelegeerde handelingen, richtsnoeren en geharmoniseerde normen te ontwikkelen — de secundaire wetgevende architectuur die de vereisten van de AI Act concretiseert. Organisaties die hun nalevingsprogramma's plannen, dienen deze ontwikkelende normen te volgen, omdat zij de technische vereisten voor conformiteitsbeoordelingen zullen definiëren op manieren die de verordening zelf niet specificeert.
De verplichtingen die van toepassing zijn op providers van AI-modellen voor algemeen gebruik (GPAI) golden vanaf 2 augustus 2025. Deze omvatten: het bijhouden van technische documentatie over het ontwerp en de training van het model; naleving van het EU-auteursrecht en transparantievereisten inzake trainingsdata; het publiceren van een voldoende gedetailleerde samenvatting van de trainingsdata-inhoud voor openbare openbaarmaking; en het implementeren van beleid om het auteursrecht na te leven, inclusief opt-outmechanismen voor rechthebbenden.
GPAI-modellen die een systemisch risico vormen — gedefinieerd door een trainings-compute-drempel van 10^25 FLOP, of door aanwijzing door de Commissie — worden geconfronteerd met aanvullende verplichtingen vanaf dezelfde datum: adversarial testing (red-teaming) vóór plaatsing op de markt, kennisgeving en rapportage van ernstige incidenten aan het AI-bureau, cyberveiligheidsmaatregelen en rapportage over energie-efficiëntie. Het AI-bureau is de primaire toezichthoudende autoriteit voor GPAI-modellen en opereert binnen de structuur van de Europese Commissie.
De voornaamste deadline voor de meeste bedrijven is 2 augustus 2026, wanneer het volledige nalevingskader voor hoog-risico AI-systemen vermeld in Bijlage III van toepassing wordt. Vanaf deze datum moeten providers van hoog-risico AI-systemen hun conformiteitsbeoordeling hebben afgerond, hun systeem hebben geregistreerd in de EU AI-database, en alle vereiste technische documentatie en postmarktmonitoringprocedures hebben bijgehouden. Deployers van hoog-risico AI-systemen moeten hun grondrechteneffectbeoordelingen hebben uitgevoerd, passend menselijk toezicht hebben geïmplementeerd en werknemersvertegenwoordigers naar behoren hebben geïnformeerd.
De periode tussen nu en augustus 2026 is een actief nalevingsvenster, geen wachtperiode. Conformiteitsbeoordelingen voor complexe systemen nemen maanden in beslag. Technische documentatie moet gelijktijdig met het ontwerp en de ontwikkeling van het systeem worden opgesteld, niet achteraf worden samengesteld. Organisaties die dit proces in 2025 beginnen, zullen goed gepositioneerd zijn; degenen die augustus 2026 behandelen als startdatum voor hun nalevingswerk zullen dat niet zijn.
AI-systemen die veiligheidscomponenten zijn van producten die onderworpen zijn aan bestaande EU-productveiligheidswetgeving (medische hulpmiddelen, in-vitro diagnostica, machines, radioapparatuur) profiteren van verlengde overgangsperioden. Deze overgangen zijn gekoppeld aan de herziening van de toepasselijke productenwetgeving en verlopen over het algemeen in 2027 of 2028. Organisaties in de gezondheidszorg, de productie en het transport met AI-geïntegreerde producten dienen de toepasselijke productenwetgeving samen met de AI Act te beoordelen om de precieze deadline te bepalen.
Per maart 2026 gelden de verboden van artikel 5 (verboden AI-praktijken) sinds 2 februari 2025. GPAI-modelverplichtingen gelden sinds 2 augustus 2025. Verplichtingen voor hoog-risico AI-systemen onder Bijlage III gelden vanaf 2 augustus 2026 — nalevingsprogramma's voor Bijlage III-systemen dienen op dit punt substantieel gevorderd te zijn, niet pas te beginnen. Organisaties dienen actief risicoklassificaties te voltooien, documentatiekaders op te bouwen en conformiteitsbeoordelingen voor te bereiden voor Bijlage III-systemen.
Hoog-risico AI-systemen vermeld in Bijlage III die al vóór 2 augustus 2026 op de markt zijn, profiteren van een overgangsperiode die zich uitstrekt tot 2 augustus 2027, mits zij niet zijn onderworpen aan significante wijzigingen in ontwerp of beoogd doel. Deze eenjarige verlengde periode voor bestaande systemen betekent niet dat nalevingswerk kan worden uitgesteld — de documentatie-, monitoring- en menselijk-toezichtvereisten moeten nog steeds aanwezig zijn voor voortgezette exploitatie.
Het AI-bureau is het EU-niveau orgaan binnen de Europese Commissie dat verantwoordelijk is voor het toezicht op GPAI-modellen, het coördineren van de consistente toepassing van de AI Act in de lidstaten en het verstrekken van richtsnoeren en technische normen. Voor hoog-risico AI-systemen in de meeste Bijlage III-sectoren hebben nationale markttoezichthouders in elke lidstaat primaire toezichthoudende bevoegdheid. Het AI-bureau heeft exclusieve bevoegdheid over GPAI-modelnaleving en incidentrapportage. Handhaving tegen AI-systemen op het gebied van rechtshandhaving en grensbeheer valt onder de specifieke institutionele regelingen van de AI Act voor die gevoelige gebieden.
Bedrijven met hoog-risico AI-systemen van Bijlage III dienen de periode tot 2026 te gebruiken om: hun AI-systeeminventaris en risicoklassificatie te voltooien; de provider/deployer-rollen voor elk systeem te bepalen; grondrechteneffectbeoordelingen uit te voeren; technische documentatie te ontwikkelen of te laten ontwikkelen; zich voor te bereiden op de conformiteitsbeoordeling (zelfbeoordeling of audit door een derde partij); menselijk-toezichtprocedures op te zetten; en workflows voor postmarktmonitoring en incidentrapportage in te richten. Bedrijven met GPAI-modellen in hun infrastructuur dienen de naleving te verifiëren van de verplichtingen die golden vanaf augustus 2025.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
