Overzicht EU, verordeningen en -richtlijnen

Cyberbeveiliging - EU-verordeningen, -richtlijnen  en boetes:

Hier volgt een overzicht van de meest recente relevante EU wetgeving met een korte beschrijving en de boete bij overtreding die mogelijk voor jouw organisatie relevant zijn.

Het is belangrijk op te merken dat hoewel sommige EU-verordeningen rechtstreeks van toepassing zijn in alle lidstaten en dat voor EU-richtlijnen vaak nationale wetgeving nodig is om specifieke aspecten te regelen en af te stemmen op de nationale context.

EU-richtlijn: General Data Protection Regulation (GDPR)

Privacywetgeving waarmee de EU probeert de privacy van burgers te beschermen.

  • Inwerkingtreding EU-verordening: 25 mei 2018
  • Nederlandse wetgeving: Algemene verordening gegevensbescherming (AVG)
  • Boetes:Tot €20 miljoen of 4% van de wereldwijde jaaromzet voor ernstige overtredingen; tot €10 miljoen of 2% voor minder ernstige overtredingen.

EU-richtlijn NIS2

Richtlijn om een hoger gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS2) te creëren en de cyberweerbaarheid van vitale infrastructuren en digitale dienstverleners te verhogen.

  • Inwerkingtreding EU-richtlijn: 17 oktober 2024
  • Nederlandse implementatie: Cyberbeveiligingswet (Cbw), 3de kwartaal 2025
  • Boetes:Tot €10 miljoen of 2% van de wereldwijde jaaromzet.

EU CER-richtlijn:

Richtlijn om de fysieke weerbaarheid te verhogen van organisaties die essentiële diensten leveren te versterken tegen diverse bedreigingen, zoals natuurrampen, terroristische aanslagen en sabotage. 

  • Inwerkingtreding EU-richtlijn: 17 oktober 2024
  • Nederlandse implementatie: Wet weerbaarheid kritieke entiteiten (Wwke)
  • Status: Implementatie vertraagd; verwachte inwerkingtreding in Nederland in het derde kwartaal van 2025.
  • Boetes: De hoogte van de boete is afhankelijk van de specifieke overtreding
  • Overtreding van de artikelen 15 en 17: De boete bedraagt maximaal €10.000.000 of 2% van de totale wereldwijde jaaromzet van de onderneming waartoe de kritieke entiteit behoort, indien dit laatste bedrag hoger is.
  • Andere overtredingen: De boete bedraagt maximaal €1.000.000.

Digital Services Act (DSA):

EU-verordening: Verordening (EU) 2022/2065 betreffende een eengemaakte markt voor digitale diensten (DSA). Het gaat om online platforms en zoekmachines zoals Apple, Google, Meta (Facebook en Instagram), X (voorheen Twitter), maar ook om de platforms AliExpress, Booking.com en Snapchat zodat ze niet meewerken aan verspreiding van illegale goederen of content en het verspreiden van desinformatie via hun diensten. Ook krijgen zij controles op hun gebruikte algoritmes.

De DSA is ook van toepassing op onlinemarktplaatsen, sociale netwerken, zoekmachines, Cloud aanbieders, internetproviders en platforms om content te delen zoals videoplatforms en online reis- en accommodatieplatforms.

  • Inwerkingtreding EU-verordening: 17 februari 2024
  • Nederlandse implementatie: Nog in ontwikkeling; de specifieke Nederlandse wetgeving wordt momenteel voorbereid.
  • Boetes: Bij overtreding van de regels kan de Europese Commissie als enige toezichthouder een boete opleggen tot 6% van hun mondiale jaaromzet of dwangsommen tot 5% van hun gemiddelde dagelijkse inkomsten.

Digital Markets Act (DMA):

EU-verordening die zorgt voor eerlijke concurrentie tussen digitale platforms, vergroot de keuze voor consumenten en biedt nieuwe kansen voor ondernemingen. De DMA bevat duidelijke regels (verplichtingen en verboden) voor grote platforms, die als poortwachters door de Europese Commissie zijn aangewezen en die “kernplatformdiensten” (bijvoorbeeld: online zoekmachines, - advertentiediensten, en -socialenetwerkdiensten) aanbieden.

  • Inwerkingtreding EU-verordening: 1 november 2022
  • Nederlandse implementatie: De Nederlandse uitvoeringswet voor de DMA bevindt zich in het wetgevingstraject. 
  • Boetes: Bij overtreding van de regels kan de Europese Commissie als enige toezichthouder de poortwachter een boete opleggen tot 10% van zijn totale wereldwijde omzet. Voor herhaaldelijke overtredingen kan een boete tot wel 20% van zijn wereldwijde omzet worden opgelegd.

Data Governance Act (DGA):

EU verordening betreffende Europese gegevensgovernance (DGA).

Leveranciers moeten ervoor zorgen dat gebruikers hun data uit het product kunnen halen of delen met een ander. Daarnaast moeten aanbieders van clouddiensten zorgen dat gebruikers niet worden belemmerd bij het overstappen en diensten aan elkaar kunnen koppelen.

  • Inwerkingtreding EU-verordening: 24 september 2023
  • Nederlandse implementatie: De ACM is sinds november 2024 toezichthouder op de DGA. Bedrijven, organisaties en instellingen die actief zijn in de databemiddeling moeten zich registreren bij de ACM. De Data Act is vanaf 12 september 2025 van toepassing.
  • Boetes: Bij overtreding kunnen de ACM of AP een bestuurlijke boete of een last onder dwangsom opleggen.

Digital Operational Resilience Act (DORA):

EU verordening (EU) 2022/2554 betreffende digitale operationele veerkracht voor de financiële sector (DORA)

  • Inwerkingtreding EU-verordening: 17 januari 2025
  • Nederlandse implementatie: Nog in ontwikkeling; de specifieke Nederlandse wetgeving wordt momenteel voorbereid. 
  • Boetes voor financiële instellingen:
  • Geen vaste maximumboetes, maar de Europese toezichthouders (EBA, EIOPA en ESMA) kunnen aanzienlijke sancties opleggen. Nationale toezichthouders kunnen financiële sancties bepalen op basis van ernst en impact.
  • Boetes voor ICT-dienstverleners:
  • Mogelijke beperkingen of verbod op dienstverlening als zij onvoldoende voldoen aan de DORA-eisen.
  • Andere sancties:
  • Dwangmaatregelen, zoals verplichte herstelplannen en verhoogd toezicht.

eIDAS 2.0:

EU verordening (EU) 2022/2066 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (eIDAS 2.0) die het vertrouwen in online transacties bij bedrijven en consumenten vergroten. Bijvoorbeeld elektronische handtekeningen, echtheidszegels en tijdstempels zoals DigiD.

  • Inwerkingtreding EU-verordening: 20 mei 2024
  • Nederlandse implementatie: Nog in ontwikkeling; de specifieke Nederlandse wetgeving wordt momenteel voorbereid. 
  • Boetes: Bij overtredingen van de eIDAS-verordening kunnen toezichthouders, zoals de Rijksinspectie Digitale Infrastructuur (RDI) in Nederland, bestuurlijke boetes opleggen, waarbij het basisbedrag gelijk is aan 1% van de wereldwijde netto-jaaromzet van de overtreder. ​De hoogte van de boetes kan variëren en afhankelijk is van de specifieke omstandigheden van de overtreding en de ernst daarvan.

Cyber Resilience Act (CRA):

EU-verordening (EU) 2022/2554 De CRA zorgt ervoor dat digitale producten aan strenge cybersecurity-eisen moeten voldoen voordat ze in Europa op de markt komen. Zowel consumenten als zakelijke gebruikers moeten erop kunnen vertrouwen dat digitale producten veilig zijn, van de digitale deurbel tot boekhoudsoftware.

Hierbij ligt de verantwoordelijkheid bij de fabrikant. Bent u fabrikant van digitale producten? Dan moet u ervoor zorgen dat uw producten veilig zijn. Ook moet u als fabrikant gedurende de hele levensduur van de producten gratis beveiligingsupdates aanbieden en digitale kwetsbaarheden en incidenten melden.

Inwerkingtreding EU-verordening: 17 januari 2025

Nederlandse implementatie: Nog in ontwikkeling; de specifieke Nederlandse wetgeving wordt momenteel voorbereid.

Boetes: Tot €10 miljoen of 2% van de wereldwijde jaaromzet.

Artificial Intelligence Act (AI Act)

EU-verordening (EU) 2024/1684

De AI Act zorgt ervoor dat AI-systemen binnen de EU op een betrouwbare, transparante en veilige manier worden ontwikkeld en gebruikt. Zowel burgers als bedrijven moeten kunnen vertrouwen op AI die hun rechten respecteert en geen onnodige risico’s oplevert.

De wet legt verplichtingen op aan ontwikkelaars, distributeurs en gebruikers van AI-systemen. Bent u betrokken bij de ontwikkeling, verkoop of toepassing van AI? Dan moet u beoordelen of uw AI-systeem als hoog risico wordt beschouwd en voldoen aan strenge eisen op het gebied van transparantie, toezicht, gegevenskwaliteit en veiligheid.

Voor generatieve AI en foundation models gelden aanvullende verplichtingen, zoals verplichte documentatie, risicobeheer en transparantie over gegenereerde content.

Inwerkingtreding EU-verordening: Gefaseerd vanaf 2025

  • Verboden AI-systemen: medio 2025
  • Vanaf augustus 2025 bent u verplicht om personeel dat AI-systemen ontwikkelt of gebruikt, adequaat te trainen. Deze trainingen moeten medewerkers bewust maken van de risico’s, verantwoordelijkheden en correcte omgang met AI-toepassingen.
  • Verplichtingen voor hoog-risico AI: medio 2026
  • De meeste verplichtingen gelden vanaf 2026, sommige al eerder (zoals voor verboden AI-toepassingen en transparantieverplichtingen).
  • Overige verplichtingen: medio 2027

Boetes: Tot €35 miljoen of 7% van de wereldwijde jaaromzet — afhankelijk van de ernst van de overtreding.

Meer weten? Bekijk de officiële toelichting van het NCSC:
Wat betekent de NIS2-richtlijn voor uw organisatie?