← Back to Blog
Cyberregelgeving briefing 5 min read 2026-04-10

Cyberregelgeving briefing, 10 april 2026: NIS2, DORA, AVG en de EU AI Act gaan van beleid naar operatie

De toon in Europa’s cyberregelgeving is niet langer afwachten. De signalen van deze week zijn operationeel: NIS2-uitvoering wordt concreter, DORA-toezicht wordt procedureel, AVG-toezichthouders publiceren bruikbaardere compliance-hulp en de EU AI Act krijgt eindelijk de richtsnoeren waar bedrijven om vroegen.


Kernpunt: Europa’s beveiligingsregels komen uit op dezelfde boodschap: bewijs je beheersmaatregelen, documenteer afhankelijkheden en bereid je voor op toezicht over meerdere regels heen in plaats van elke wet als een los papieren spoor te behandelen.


1. NIS2 blijft vooral een uitvoeringsverhaal, geen headline-cyclus

Het belangrijkste NIS2-signaal op 10 april is geen spectaculaire handhavingsactie. Het is dat de uitvoeringsmachine verder aantrekt. ENISA’s technische implementatierichtlijn voor NIS2 blijft een van de duidelijkste operationele referenties voor digitale infrastructuur, ICT-servicemanagement en digitale aanbieders. Tegelijk laat het gezamenlijke advies van EDPB en EDPS uit maart 2026 over wijzigingen rond NIS2 en Cybersecurity Act 2 zien dat cyberweerbaarheid en gegevensbescherming nu samen worden besproken.

Dat is belangrijk omdat veel teams NIS2 nog steeds behandelen als een scope-oefening. Dat stadium is voorbij. Het echte drukpunt is of organisaties bewijs kunnen tonen voor risicobeheer, incidentmelding, supply-chain-controles, kwetsbaarheidsafhandeling en bestuurlijke verantwoordelijkheid.

Waarom dit telt


2. DORA wordt procedureel, dus de uitvluchten raken op

De EBA en de andere ESA’s zitten nu diep in de echte DORA-mechaniek. Het toezichtskader voor kritieke ICT-derdepartijaanbieders is niet langer theoretisch, maar wordt operationeel via jaarlijkse aanwijzingen, Joint Examination Teams en formele toezichtswerkstromen. Aan de rapportagekant maakt EBA framework 4.2 de boodschap hard duidelijk: DORA-gerelateerde reporting hoort in de nieuwe operationele pijplijn en sommige indieningen moeten al in CSV worden afgehandeld.

Voor banken, verzekeraars, beleggingsondernemingen en hun leveranciers is dit het punt waarop DORA geen beleidsmemo meer is maar een programmamanagementprobleem. Als je informatieregister onvolledig is of je derdepartijeninventaris vaag blijft, is die zwakte niet meer abstract.

Waarom dit telt


3. AVG-toezichthouders proberen compliance bruikbaarder te maken en beter te verbinden met andere digitale wetten

Het jaarverslag van de EDPB, gepubliceerd op 9 april, is de moeite waard omdat het het harde punt uitspreekt: Europa’s digitale regelstack wordt complexer en toezichthouders weten dat organisaties moeite hebben overlappende verplichtingen in kaart te brengen. Het Board zegt meer rechtszekerheid, meer praktische ondersteuning en meer samenwerking tussen regelgevers te willen bieden. Dat omvat doorlopend werk aan de wisselwerking tussen AVG en nieuwere wetten, plus een one-stop-shop case digest uit maart 2026 over gerechtvaardigd belang dat abstracte discussies over artikel 6(1)(f) omzet in echte handhavingsvoorbeelden.

Voor securityteams is dit relevant. De AVG is niet langer alleen het probleem van het privacyteam in een aparte map. Het wordt onderdeel van hoe organisaties logging, monitoring, fraudedetectie, identiteitsystemen, AI-gebruik en keuzes rond datadeling onder meerdere EU-wetten uitleggen.

Waarom dit telt


4. De EU AI Act komt in de richtsnoerfase die bedrijven echt nodig hebben

Het AI Office van de Commissie heeft de richting voor 2026 behoorlijk expliciet gemaakt. Er komen richtsnoeren over hoog-risicoclassificatie, transparantieverplichtingen, melding van ernstige incidenten, verantwoordelijkheden in de AI-waardeketen, substantiële wijziging, post-market monitoring, vereenvoudigd kwaliteitsmanagement voor mkb en de wisselwerking tussen de AI Act en EU-gegevensbeschermingsrecht. Daarnaast zegt de hoofdbeleidspagina van de AI Act dat meer transparantie-ondersteunende instrumenten in het tweede kwartaal van 2026 worden verwacht.

Dat is het echte verhaal van dit moment. De AI Act is niet langer alleen een toekomstige deadline. De ondersteuningsarchitectuur eromheen komt eraan, waardoor bedrijven minder ruimte krijgen om zich op onduidelijkheid te beroepen wanneer de verplichtingen van 2026 en 2027 ingaan.

Waarom dit telt


Wat security- en complianceteams nu moeten doen

  1. Bewijs verenigen: houd NIS2, DORA, AVG en AI Act niet in aparte silo’s als dezelfde systemen eronder liggen.
  2. Leverancierszicht opschonen: je ICT-afhankelijkhedenkaart moet diensten, eigenaren, contracten en criticaliteit benoemen.
  3. Rechtsgronden herzien: monitoring, fraudepreventie, identiteitsanalytics en AI-verwerkingsstromen verdienen een nieuwe AVG-review.
  4. AI-governance nu voorbereiden: inventariseer modellen, classificeer use cases, map menselijke controle en definieer escalatie.
  5. Leiderschap in zakelijke taal briefen: de rode draad is weerbaarheid, verantwoordelijkheid en aantoonbare controle.

Bronnen voor deze briefing: ENISA NIS2-pagina’s en technische implementatiegids, EBA DORA oversight en reporting framework 4.2, EDPB jaarverslag en publicatiefeed, en de implementatiepagina’s van de Europese Commissie voor de AI Act, geraadpleegd op 10 april 2026.

Zet regelgevingsdruk om in een voordeel op het aanvalsoppervlak

KENSAI helpt teams blootgestelde assets, zwakke controles en risicopaden van derde partijen in kaart te brengen voordat toezichthouders of aanvallers ze als eerste vinden.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team