De normen die niemand heeft afgemaakt
De EU AI-verordening vereist dat bedrijven voldoen aan geharmoniseerde normen. De geharmoniseerde normen bestaan niet.
Dat is geen versimpeling. Het is de situatie. De Europese Commissie heeft CEN-CENELEC gevraagd de normen te schrijven. CEN-CENELEC heeft de deadline gemist. Vervolgens de herziene deadline gemist. De normen worden nu verwacht voor het vierde kwartaal van 2026. De nalevingsdatum voor AI-systemen met een hoog risico is 2 augustus 2026. De normen staan gepland om na het examen te arriveren.
Een mkb-bedrijf kan geen nalevingsprogramma bouwen op basis van een norm die niet is geschreven. Maar de verordening wacht niet op de normalisatie-instelling. Artikel 9 vereist nog steeds een risicobeheersysteem. Artikel 11 vereist nog steeds technische documentatie. Artikel 13 vereist nog steeds transparantie. Deze artikelen zijn specifiek. Ze vertellen je wat je moet bouwen. De normen zouden vertellen hoe je het moet aantonen. Het “wat” bestaat. Het “hoe” ontbreekt.
Dit is de kloof. En die is breder dan de meeste bedrijven beseffen.
Het normalisatieverzoek
In mei 2023 heeft de Europese Commissie een normalisatieverzoek uitgebracht aan de Europese normalisatie-instellingen CEN en CENELEC. Het verzoek vroeg hen geharmoniseerde normen te ontwikkelen die de eisen voor aanbieders van AI-systemen met een hoog risico dekken — de technische specificaties die, eenmaal gepubliceerd in het Publicatieblad van de Europese Unie, bedrijven een vermoeden van conformiteit met de eisen van de AI-verordening zouden geven.
Het mechanisme is gevestigde EU-regelgevingspraktijk. De verordening definieert de eisen. De normalisatie-instellingen vertalen die eisen in technische specificaties. Bedrijven die aan de specificaties voldoen, worden geacht te voldoen aan de verordening. Het is dezelfde architectuur die ten grondslag ligt aan de Machineverordening, de Verordening medische hulpmiddelen en tientallen andere EU-productveiligheidskaders.
De oorspronkelijke deadline voor het opleveren van de normen was 30 april 2025. CEN-CENELEC haalde die niet. De voorzitter van JTC 21 — het gezamenlijk technisch comité dat verantwoordelijk is voor het werk — gaf begin 2025 aan dat de normen waarschijnlijk eind 2025 zouden worden afgerond. Op 23 juni 2025 heeft de Commissie de deadline formeel herzien naar 31 augustus 2025. CEN-CENELEC haalde ook die deadline niet.
Het normalisatieverzoek is in juni 2025 gewijzigd om aan te sluiten bij de definitieve tekst van de AI-verordening. Het werkprogramma van JTC 21 omvat ongeveer vijfendertig werkitems verdeeld over vijf werkgroepen: fundamentele aspecten, operationele aspecten, betrouwbaarheid, engineering en specifieke toepassingsdomeinen. Driehonderd experts uit meer dan twintig landen nemen deel. De reikwijdte is enorm. Het tijdschema was dat niet.
Wat er bestaat
Per maart 2026 is één norm in openbare enquête getreden. Eén.
prEN 18286 — Kunstmatige intelligentie: Kwaliteitsmanagementsysteem voor regelgevingsdoeleinden van de EU AI-verordening — werd op 30 oktober 2025 de eerste geharmoniseerde norm van de AI-verordening die in openbare enquête trad. De enquête liep tot 27 december 2025. Nationale normalisatie-instellingen dienden commentaren in. CEN compileert momenteel de reacties en lost commentaren op voordat de norm kan worden aangenomen.
prEN 18286 dekt artikel 17 van de AI-verordening: de eis voor het kwaliteitsmanagementsysteem. Het vertaalt de verplichtingen van artikel 17 in concrete governance-, documentatie-, levenscyclus- en bewijscontroles. Het vertelt een aanbieder hoe het kwaliteitsmanagementsysteem te structureren dat de verordening vereist. Het is specifiek, gedetailleerd en operationeel nuttig.
Het is ook nog geen Europese Norm. Het is een ontwerp. Het kan wijzigen. Het kan niet als geharmoniseerde norm worden aangehaald totdat het is afgerond en de referentie in het Publicatieblad is gepubliceerd. Het vermoeden van conformiteit — het juridische voordeel dat geharmoniseerde normen waardevol maakt — geldt pas na die publicatie. Per vandaag biedt prEN 18286 richtsnoeren. Het biedt geen rechtszekerheid.
De begeleidende norm, prEN 18228, dekt risicobeheer onder artikel 9. Die is medio 2025 in interne comitéstemming getreden. Die heeft de openbare enquête niet bereikt. De risicobeheersnorm — waarschijnlijk de operationeel meest kritische norm voor elk bedrijf dat een AI-systeem met een hoog risico inzet — loopt maanden achter op de kwaliteitsmanagementsysteemnorm, die zelf maanden van afronding verwijderd is.
Buiten deze twee omvatten de overige werkitems datagovernance, bias, cybersecurity, robuustheid, logging, transparantie, computer vision en natuurlijke taalverwerking. De meeste bevinden zich in werkontwerp of eerdere stadia. De pijplijn is vol. Het resultaat niet.
Waarom de normen laat zijn
Normalisatie-instellingen zijn niet snel. Dit is bewust, geen falen. De legitimiteit van geharmoniseerde normen hangt af van een consensusproces dat industrie, academie, maatschappelijk middenveld, toezichthouders en normalisatie-experts uit heel Europa omvat. Dat proces versnellen levert normen op die draagvlak missen, die randgevallen over het hoofd zien, die de bedrijven falen die ze zouden moeten dienen. Het consensusproces is langzaam omdat het grondig is.
Maar de AI-verordening heeft een structureel timingprobleem gecreëerd dat geen procesoptimalisatie kan oplossen. De verordening is gepubliceerd in het Publicatieblad op 12 juli 2024. De hoog-risicobepalingen treden in werking op 2 augustus 2026. Het normalisatieverzoek is uitgebracht in mei 2023 — voordat de verordening was afgerond. Toen de definitieve tekst werd gepubliceerd, moest het verzoek worden aangepast aan de daadwerkelijke wet. Werk dat was begonnen op basis van een ontwerpverordening moest worden herzien tegen de definitieve tekst. De klok bleef lopen. De reikwijdte groeide.
Het resultaat is een kloof tussen het regelgevingstijdschema en het normalisatietijdschema die van het begin af aan in de architectuur was ingebouwd. De verordening beweegt op een politiek tijdschema. De normen bewegen op een technisch consensustijdschema. De twee tijdschema’s zijn structureel onverenigbaar.
CEN-CENELEC erkende het probleem. In oktober 2025 namen de gezamenlijke Technische Bureaus van CEN en CENELEC een uitzonderlijk pakket maatregelen aan om de oplevering te versnellen. De belangrijkste: directe publicatie van normen na een positieve enquêtestemming toestaan, waarbij de afzonderlijke formele stemming die normaal volgt wordt overgeslagen. Dit is buitengewoon. De formele stemming is een fundamentele stap in het Europese normalisatieproces. Die overslaan is een erkenning dat het normale proces niet kan leveren binnen het regelgevingstijdschema.
Zelfs met deze versnelling is het doel voor de eerste golf van normen het vierde kwartaal van 2026 — na de nalevingsdatum van 2 augustus 2026. De versnellingsmaatregelen zijn ontworpen om normen gepubliceerd te krijgen voor eind 2026. Niet om normen gepubliceerd te krijgen voor augustus.
De kloof van het vermoeden van conformiteit
Begrijpen waarom dit ertoe doet vereist begrijpen wat geharmoniseerde normen doen in de Europese regelgevingsarchitectuur.
Artikel 40 van de AI-verordening vestigt het vermoeden van conformiteit: AI-systemen met een hoog risico die in overeenstemming zijn met geharmoniseerde normen — of delen daarvan — waarvan de referenties in het Publicatieblad zijn gepubliceerd, worden geacht te voldoen aan de eisen die door die normen worden gedekt. Dit is geen conformiteit by default. Het is een juridische snelweg. Als een geharmoniseerde norm de risicobeheereisen van artikel 9 dekt, en jouw systeem voldoet aan die norm, wordt vermoed dat je aan artikel 9 hebt voldaan. Een toezichthouder die jouw conformiteit betwist, moet dat vermoeden weerleggen.
Zonder de geharmoniseerde norm is er geen vermoeden. Je moet nog steeds voldoen aan artikel 9. Maar je moet conformiteit aantonen op je eigen voorwaarden, met je eigen methodologie, zonder de steun van een norm die een toezichthouder vooraf heeft goedgekeurd. De bewijslast is hoger. De rechtszekerheid is lager.
Dit is het praktische gevolg van de normalisatiekloof. De wet geldt. De eisen zijn duidelijk. Maar het instrument dat conformiteit aantoonbaar maakt — de geharmoniseerde norm — is niet beschikbaar. Bedrijven moeten voldoen zonder de routekaart die de regelgevingsarchitectuur zou bieden.
De analogie is architectonisch. De verordening zegt: bouw een huis dat aan deze structurele eisen voldoet. De geharmoniseerde norm is het bouwbesluit dat specificeert hoe aan die eisen te voldoen — de materialen, de methoden, de maten. Zonder het bouwbesluit moet je nog steeds een constructief deugdelijk huis bouwen. Maar je moet bewijzen dat het constructief deugdelijk is zonder verwijzing naar het besluit waartegen de inspecteur is opgeleid om te beoordelen. Je bouwt op basis van eisen, niet van specificaties. De eisen zijn dezelfde. Het bewijs is moeilijker.
De terugvaloptie van gemeenschappelijke specificaties
De AI-verordening voorzag dit probleem. Artikel 41 machtigt de Commissie om gemeenschappelijke specificaties vast te stellen — uitvoeringshandelingen die dienen als alternatief conformiteitspad wanneer geharmoniseerde normen niet beschikbaar zijn.
De voorwaarden zijn expliciet. De Commissie kan gemeenschappelijke specificaties vaststellen wanneer: zij om geharmoniseerde normen heeft verzocht en het verzoek niet is aanvaard, de normen niet binnen de deadline worden geleverd, of geen verwijzing naar geharmoniseerde normen in het Publicatieblad is gepubliceerd en geen dergelijke verwijzing binnen een redelijke termijn wordt verwacht.
Alle drie de voorwaarden zijn vervuld. Het verzoek is aanvaard maar de deadline is gemist — tweemaal. Geen verwijzing is gepubliceerd in het Publicatieblad. Geen wordt verwacht voor 2 augustus 2026.
De Commissie heeft de juridische bevoegdheid om vandaag gemeenschappelijke specificaties vast te stellen. Dat heeft ze niet gedaan. De reden is politiek, niet juridisch. Gemeenschappelijke specificaties zijn door de Commissie opgestelde uitvoeringshandelingen — ze omzeilen het consensusgebaseerde normalisatieproces. De normalisatiegemeenschap ziet ze als een inbreuk op haar domein. Industriegroepen geven de voorkeur aan normen die via consensus zijn ontwikkeld boven specificaties die door regelgeving zijn opgelegd. De Commissie is historisch terughoudend geweest met het gebruik van het mechanisme van gemeenschappelijke specificaties, en heeft liever gewacht op geharmoniseerde normen.
Het resultaat: het primaire conformiteitspad (geharmoniseerde normen) is niet beschikbaar. Het terugvalpad (gemeenschappelijke specificaties) is niet geactiveerd. Bedrijven blijven achter met de tekst van de verordening en wat ze daaruit kunnen bouwen.
De Digital Omnibus en de verschuivende deadline
De normalisatiekloof is een belangrijke drijfveer achter de Digital Omnibus — het wetgevingsvoorstel dat de Commissie op 19 november 2025 publiceerde om het toepassingstijdschema van de AI-verordening te wijzigen.
De politieke logica is eenvoudig. De verordening vereist conformiteit. Conformiteit wordt gefaciliteerd door geharmoniseerde normen. De geharmoniseerde normen zijn niet klaar. Dus de conformiteitsdeadline uitstellen tot de normen klaar zijn. De Digital Omnibus stelt voor de deadline van 2 augustus 2026 voor hoog-risicobepalingen te vervangen door een mechanisme gekoppeld aan de beschikbaarheid van geharmoniseerde normen — in de praktijk de effectieve datum verschuivend naar 2 december 2027 voor zelfstandige AI-systemen met een hoog risico (Bijlage III) en 2 augustus 2028 voor AI-systemen ingebed in producten (Bijlage I).
De Raad nam zijn positie aan op 13 maart 2026. De IMCO- en LIBE-commissies van het Europees Parlement namen hun gezamenlijk verslag aan op 18 maart 2026 — 101 stemmen voor, 9 tegen, 8 onthoudingen. Beide instellingen steunen het uitstel. De plenaire stemming van het Parlement was gepland voor 26 maart. Triloogonderhandelingen tussen het Parlement, de Raad en de Commissie zullen volgen.
Het politieke momentum is duidelijk. Beide medewetgevers steunen het uitstel. De triloog zal details onderhandelen, niet het principe.
Maar — en ik heb dit punt eerder gemaakt en zal het opnieuw maken — de Digital Omnibus is niet aangenomen. Hij is niet gepubliceerd in het Publicatieblad. Hij is niet in werking getreden. Per 7 april 2026 is 2 augustus 2026 de wet. Plannen voor december 2027 is rationeel. Rekenen op december 2027 is roekeloos. Het verschil tussen plannen en rekenen is of je bent begonnen met voorbereiden op augustus.
Een bedrijf dat niet met conformiteitswerk is begonnen omdat het verwacht dat de deadline verschuift, gokt. De kansen zijn gunstig voor uitstel. Het nadeel van ongelijk hebben is niet abstract — het is operationeel. Het is het gehaast opbouwen van een risicobeheersysteem, technische documentatie, logginginfrastructuur en mechanismen voor menselijk toezicht in de weken tussen een mislukte triloog en 2 augustus. De kans is klein. De impact is catastrofaal.
Wat een bedrijf vandaag kan doen
De afwezigheid van geharmoniseerde normen betekent niet de afwezigheid van eisen. De materiële bepalingen van de AI-verordening zijn op zichzelf staand. Ze vertellen je wat je moet bouwen. De normen zouden een consensusmethodologie hebben geboden om het te bouwen. Zonder de normen moet je de methodologie zelf bouwen — maar de bestemming is dezelfde.
Dit is wat er bestaat, en wat je ermee kunt doen.
Artikel 9 — Risicobeheer. De verordening specificeert de eisen voor een risicobeheersysteem in detail. Het moet een continu iteratief proces zijn. Het moet bekende en redelijkerwijs voorzienbare risico’s identificeren en analyseren. Het moet de risico’s evalueren die ontstaan wanneer het systeem wordt gebruikt in overeenstemming met het beoogde doel en onder omstandigheden van redelijkerwijs voorzienbaar misbruik. Het moet geschikte risicobeheermaatregelen nemen. Het artikel is prescriptief. Je hebt prEN 18228 niet nodig om een risicobeheersysteem op te bouwen. Je hebt artikel 9 nodig, de technische documentatie van je systeem en iemand met domeinexpertise in het toepassingsgebied van je AI-systeem. De norm zal, wanneer die komt, een gestructureerde methodologie bieden. Het artikel biedt de eisen waaraan die methodologie moet voldoen.
Artikel 10 — Datagovernance. Trainings-, validatie- en testdatasets moeten aan kwaliteitscriteria voldoen: relevant, voldoende representatief, voor zover mogelijk vrij van fouten en volledig gezien het beoogde doel. Het artikel specificeert datagovernancepraktijken — inclusief onderzoek van biases, identificatie van hiaten en passende maatregelen om die aan te pakken. Documenteer je data. Documenteer de bronnen. Documenteer je kwaliteitscontroles. Documenteer hoe je bias hebt behandeld. De norm zal een kader bieden om dit te doen. Het artikel vertelt je wat het kader moet dekken.
Artikel 11 — Technische documentatie. Bijlage IV somt de inhoud van de technische documentatie in detail op. Algemene beschrijving, ontwikkelingsproces, monitoring en controle, risicobeheersysteem, wijzigingen gedurende de levenscyclus, toegepaste geharmoniseerde normen en conformiteitsmaatregelen. Het laatste punt — toegepaste geharmoniseerde normen — zal voorlopig leeg zijn. Bijlage IV voorziet hier expliciet in: wanneer geen geharmoniseerde normen zijn toegepast, moet de documentatie “een lijst van andere relevante toegepaste normen en technische specificaties” bevatten. ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 38507 — dit zijn geen geharmoniseerde normen onder de AI-verordening, maar het zijn relevante technische specificaties die een conformiteitsmethodologie aantonen. Gebruik ze. Documenteer hun toepassing. De technische documentatie vereist geen geharmoniseerde normen. Het vereist documentatie van welke normen je ook hebt toegepast.
Artikel 12 — Logging. Het systeem moet automatisch gebeurtenissen loggen. Het artikel specificeert welke: gebruiksperiode, referentiedatabases, invoerdata die tot overeenkomsten leidden, identificatie van personen betrokken bij de verificatie. Dit is een engineeringeis. Die hangt niet af van een geharmoniseerde norm. Bouw de logginginfrastructuur. De norm zal niet veranderen wat je logt. Die kan veranderen hoe je het structureert en opslaat. Bouw nu, verfijn later.
Artikel 13 — Transparantie. Het systeem moet zo ontworpen zijn dat het voldoende transparant is om gebruikers in staat te stellen de output te interpreteren en passend te gebruiken. De gebruiksaanwijzing moet bevatten: identiteit van de aanbieder, kenmerken van het systeem, mogelijkheden en beperkingen, beoogd doel, nauwkeurigheidsniveau en relevante nauwkeurigheidsmetrieken. Schrijf de gebruiksaanwijzing. De inhoud is gespecificeerd in het artikel. Een geharmoniseerde norm zou het format kunnen specificeren. De inhoud is al gedefinieerd.
Artikel 14 — Menselijk toezicht. Ik heb hier uitgebreid over geschreven in “De fout van 500.000 euro.” De eis is duidelijk: natuurlijke personen moeten in staat zijn de mogelijkheden en beperkingen van het systeem volledig te begrijpen, de werking ervan te monitoren, te kunnen beslissen het systeem niet te gebruiken of de output ervan te negeren, en te kunnen ingrijpen of het systeem te onderbreken. Bouw de toezichtinterface. Train de toezichthouders. De norm zal de eis niet veranderen. Die zal een methodologie bieden om het aan te tonen.
prEN 18286 — Kwaliteitsmanagementsysteem. Het normontwerp is publiek beschikbaar via nationale normalisatie-instellingen. Het is niet afgerond. Het kan veranderen. Maar het is de meest gedetailleerde beschikbare richtsnoer voor conformiteit met artikel 17. Lees het. Gebruik het als referentie voor het structureren van je kwaliteitsmanagementsysteem. Wanneer de definitieve norm wordt gepubliceerd, lijn je daarop uit. De kosten van het uitlijnen van een systeem gebouwd tegen het ontwerp op de definitieve norm zijn aanpassing. De kosten van niets bouwen terwijl je wacht op de definitieve norm zijn beginnen bij nul.
De ISO-brug
De afwezigheid van AI-verordening-specifieke geharmoniseerde normen betekent niet de afwezigheid van normen. Het internationale normalisatielandschap biedt relevante kaders die, hoewel ze niet het vermoeden van conformiteit onder artikel 40 verlenen, gestructureerde methodologieën bieden voor het adresseren van de eisen van de AI-verordening.
ISO/IEC 42001 — Managementsysteem voor Kunstmatige Intelligentie — biedt een managementsysteemnorm voor organisaties die AI gebruiken of aanbieden. Het dekt risicobeoordeling, governance en levenscyclusbeheer. Het komt niet direct overeen met de eisen van de AI-verordening, maar adresseert dezelfde structurele zorgen. Een bedrijf met een ISO 42001-gecertificeerd managementsysteem heeft een kader dat zich laat vertalen naar conformiteit met de AI-verordening door aanpassing, niet door heruitvinding.
ISO/IEC 23894 — Kunstmatige Intelligentie: Richtlijnen voor Risicobeheer — biedt een risicobeheersingskader specifiek voor AI-systemen. Het sluit conceptueel aan bij artikel 9 maar is onafhankelijk van de AI-verordening ontwikkeld. Een bedrijf dat ISO 23894 implementeert heeft een risicobeheersysteem dat het meeste adresseert van wat artikel 9 vereist — met hiaten die kunnen worden gevuld door artikel 9 zelf te lezen.
Deze normen zijn geen vervangers voor geharmoniseerde normen. Ze verlenen niet het vermoeden van conformiteit. Maar ze bieden iets dat de ontbrekende geharmoniseerde normen niet kunnen bieden: structuur. Een risicobeheersysteem gebouwd op ISO 23894 en afgestemd op artikel 9 is aantoonbaar robuuster dan een risicobeheersysteem dat vanaf nul is opgebouwd zonder enig methodologisch kader. Wanneer een toezichthouder conformiteit beoordeelt bij afwezigheid van geharmoniseerde normen, staat het bedrijf dat een erkende internationale norm heeft toegepast — en de toepassing heeft gedocumenteerd — sterker dan het bedrijf dat niets heeft toegepast.
De handhavingsrealiteit
De praktische vraag is wat er gebeurt wanneer handhaving begint zonder geharmoniseerde normen. Het antwoord hangt af van de handhaver.
Nationale bevoegde autoriteiten die al maanden operationeel zijn — Traficom in Finland, AESIA in Spanje, de Bundesnetzagentur in Duitsland — hebben tijd gehad om handhavingsmethodologieën te ontwikkelen. Deze autoriteiten begrijpen de normalisatiekloof. Ze weten dat geen enkel bedrijf conformiteit kan aantonen met een norm die niet bestaat. Hun handhavingsaanpak zal noodzakelijkerwijs rekening houden met de afwezigheid van geharmoniseerde normen — conformiteit beoordelend tegen de eisen van de verordening in plaats van tegen technische specificaties.
Dit is geen vrijbrief voor zelfgenoegzaamheid. De afwezigheid van geharmoniseerde normen vermindert de eisen niet. Het verandert het bewijskader. Een bedrijf moet nog steeds voldoen aan de artikelen 9 tot en met 15. Het moet nog steeds een risicobeheersysteem, technische documentatie, logging, transparantie en menselijk toezicht hebben. Wat het niet kan hebben is een geharmoniseerde norm om naar te wijzen als bewijs. Het bewijs moet komen uit de substantie van wat het bedrijf heeft gebouwd, gedocumenteerd en geïmplementeerd.
De bedrijven die het best zullen varen in een handhavingsomgeving zonder geharmoniseerde normen zijn degenen die het werk hebben gedaan. Niet degenen die op de norm hebben gewacht. Niet degenen die een adviesbureau hebben ingehuurd om een kloofanalyse te produceren. Degenen die artikel 9 hebben gelezen, een risicobeheersysteem hebben opgebouwd, het hebben gedocumenteerd en onderhouden. Degenen die artikel 11 en Bijlage IV hebben gelezen, de technische documentatie hebben geproduceerd en actueel hebben gehouden. Degenen die de tekst van de verordening als de specificatie hebben behandeld — want bij afwezigheid van geharmoniseerde normen is hij dat.
De positie
De normalisatiekloof is reëel, structureel en zal niet dichten voor 2 augustus 2026. De Digital Omnibus kan de conformiteitsdatum naar december 2027 verschuiven. De geharmoniseerde normen kunnen in het vierde kwartaal van 2026 komen. Beide kunnen gebeuren. Geen van beide is gebeurd.
De kloof rechtvaardigt geen inactiviteit. Het rechtvaardigt een ander soort actie. Bouw op basis van de verordningstekst, niet op basis van een norm die niet bestaat. Gebruik de normontwerpen als richtsnoer, niet als conformiteitspad. Pas internationale normen toe waar die dezelfde zorgen adresseren. Documenteer alles — de methodologie, de toegepaste normen, de geïdentificeerde hiaten, de genomen beslissingen.
De bedrijven die de normalisatiekloof succesvol navigeren zullen degenen zijn die de afwezigheid van normen als een bouwbeperking hebben behandeld, niet als een bouwexcuus. Leonardo da Vinci werkte zonder CAD-software. De beperkingen stopten het werk niet. Ze vormden het.
De normen zullen komen. Dat doen ze altijd. De vraag is of je iets hebt gebouwd dat het waard is om erop af te stemmen — of dat je aan de tekentafel bleef zitten wachtend op blauwdrukken die nooit kwamen.
De blauwdrukken zijn laat. Het bouwen is niet optioneel.