Op 19 november 2025 presenteerde de Europese Commissie het digitale omnibuspakket, een omvangrijk wetsvoorstel dat diverse digitaliseringswetten wijzigt. Het pakket bestaat uit twee voorstellen: een digitale omnibusverordening gericht op privacy- en datawetgeving en cyberveiligheid en een digitale omnibusverordening voor wetgeving over artificiële intelligentie (AI).
In het eerste deel keken wij naar de wijzigingen die de digitale omnibus met zich meebrengt voor verschillende privacy en datawetgeving, waaronder de AVG en de Data Governance Verordening. In het tweede deel keken wij naar de mogelijke wijzigen aan de AI-verordening.
In dit derde en laatste deel lichten we toe welke wijzigingen de digitale omnibusverordening aanbrengt in verschillende cyberveiligheidswetgevingen, waaronder NIS2, en beantwoorden we de vraag welke gevolgen het digitale omnibuspakket waarschijnlijk heeft voor decentrale overheden. Ook blikken we vooruit om uit te leggen hoe het wetgevingsproces zich voortzet.
Achtergrond: meldplichten onder de huidige cyberveiligheidswetgevingen
Momenteel hebben organisaties en decentrale overheden te maken met meerdere, overlappende meldingsplichten op grond van de verschillende cyberveiligheidswetgevingen, waaronder de NIS2, de CER en de AVG. Zo kan, bijvoorbeeld, een decentrale overheid die een melding moet doen van een significant incident op grond van de CER, waarbij tevens sprake is van een (mogelijk) datalek met persoonsgegevens, verplicht zijn om hetzelfde incident meerdere malen te melden. Daarbij verschillen de meldplichten niet alleen in geadresseerde, maar ook de meldtermijnen en de vereiste inhoud en gebruikte formats kunnen verschillen. Dit leidt tot dubbelingen in melding en tot extra administratieve lasten voor decentrale overheden.
Op grond van artikel 33 van de AVG zijn decentrale overheden verplicht een datalek te melden. U kunt hier meer lezen over de verplichtingen bij een datalek. Daarnaast zijn essentiële entiteiten, waaronder decentrale overheden, op basis van artikel 23, lid 1 van de NIS2 verplicht een significante incidenten te melden. De CER-richtlijn bevat in artikel 15 een vergelijkbare meldplicht: decentrale overheden dienen, in sommige gevallen, incidenten te melden die de levering van een essentiële dienst kunnen verstoren
Voorstel: EU-brede rapportagesjablonen en SEP
Tegen deze achtergrond wil de Commissie de meldingsverplichtingen te stroomlijnen. Daarom doet ze een voorstel voor twee samenhangende maatregelen. Ten eerste wil de Commissie de inhoud van incidentmeldingen uniformeren door het vaststellen van EU-brede rapportagesjablonen voor de CER en de AVG. De digitale omnibus beoogt ook de tenuitvoerlegging van de NIS2-richtlijn te stroomlijnen door de Commissie te verplichten uitvoeringshandelingen vast te stellen. Deze specificeren het soort informatie, het formaat en de procedure voor het melden van incidenten.
Ten tweede heeft de omnibus als doel een Single Entry Point (SEP) in te voeren. Via het SEP kunnen incidentmeldingen via één centraal portaal worden ingediend, waarna deze automatisch worden doorgeleid naar de relevante bevoegde autoriteiten, zoals de Autoriteit Persoonsgegevens bij datalekken onder de AVG. Hierdoor hoeven decentrale overheden en organisaties niet langer afzonderlijke meldingen te doen bij verschillende instanties. Dit kan bijdragen aan een efficiëntere naleving van de uiteenlopende rapportageverplichtingen binnen de cyberveiligheidswetgeving.
Verdere stappen
De digitale omnibus is de eerste stap om de verschillende digitaliseringswetten te simplificeren en te herzien. Nadat het Europees Parlement en de Raad met de voorstellen hebben ingestemd, worden deze aangenomen. Dit wordt naar verwachting eind 2026 afgerond. Daaropvolgend kunnen de maatregelen van kracht zijn rond midden 2027. De Commissie heeft parallel ook de raadpleging over de digitale geschiktheidscontrole, en een Simplification – digital package and omnibus gelanceerd. Beide raadplegingen kunnen ook nog invloed hebben op de onderhandelingen en verdere stappen. Decentrale overheden kunnen nog tot 11 maart en 13 maart respectievelijk reageren op de raadplegingen. KED blijft de ontwikkelingen rond de digitale omnibussen volgen.
Bronnen
- Voorstel voor een digitale omnibusverordening | Shaping Europe’s digital future, Europese Commissie
- Staff working document bij het voorstel, Europese Commissie
Meer informatie
- Raadpleging: Commissie vraagt input voor digitale geschiktheidscontrole, Europa Decentraal
- Raadpleging: Commissie vraagt om feedback op het voorstel, Europa Decentraal
- Digitale omnibus deel I: privacy en datawetgeving, Europa Decentraal
- Digitale omnibus deel II: AI-verordening, Europa Decentraal