Lifecycle stage — Govern
De EU AI Act is handhaafbaar, en de boetes zijn niet symbolisch. Het inzetten van een verboden AI-systeem kan boetes tot €35 miljoen of 7% van de wereldwijde jaaromzet opleveren. Voor industriële operators, automotive OEM's, autonome systeemontwikkelaars en energiebedrijven zijn de inzetten bijzonder acuut: Bijlage III noemt expliciet veiligheidscomponenten in machines, transport en kritieke infrastructuur — en het technische dossier dat vereist is voor een fysieke implementatie is aanzienlijk veeleisender dan de documentatie die vereist is voor een softwaretoepassing. Ik ben Frans overheids-AI-ambassadeur voor Financiën en Ondernemings-Digitale Transformatie — ik heb jaren doorgebracht op de politieke kant van deze verordening.
U weet niet welke van uw systemen hoogrisico zijn onder Bijlage III — en voor fysieke implementaties is de classificatie waarschijnlijker hoogrisico dan u verwacht. De relevante Bijlage III-categorieën voor fysieke AI omvatten: veiligheidscomponenten van machines (robots, autonoom geleide voertuigen), AI in transport (ADAS, autonome voertuigen, UAS), veiligheidscomponenten van kritieke infrastructuur (energie, water, gas) en werkgerelateerde AI.
De Bijlage IV-technische documentatie voor een fysieke implementatie is aanzienlijk moeilijker dan voor een softwaretoepassing. Voor een fysiek AI-systeem vereist het ook de integratiearchitectuur met het fysieke systeem, de veiligheidsomhullende-specificatie, de gevarenanalyse, de faalmodusdocumentatie, omhullende-schendingstestresultaten en de hardware- en firmware-versiebeheergegevens.
De conformiteitsbeoordeling voor een hoogrisico fysiek AI-systeem betreft een aangemelde instantie en duurt maanden. Teams plannen het als een papierwerk-oefening. In de praktijk triggert de eerste formele indiening bij een aangemelde instantie een verduidelijkingscyclus die maanden duurt.
Post-marktbewaking voor fysiek geïmplementeerde AI is operationeel complex. Voor fysiek geïmplementeerde AI vereist post-marktbewaking velddataverzameling van geïmplementeerde hardware, OTA-updatebeheer en versiebeheer, veldincidentrapportage met strikte regulatoire deadlines.
De engagementscope hangt af van de omvang van uw AI-voetafdruk en het aantal hoogrisicosystemen in scope. Twaalf weken dekt één hoogrisicosysteem; vierentwintig weken dekt een portfolio van drie tot vijf systemen met gedeelde governanceinfrastructuur.
We bouwen een schriftelijke inventaris van elk AI-systeem in uw organisatie met elke classificatie tegen de risicocategorieën van de AI Act. Voor fysieke implementaties omvat dit expliciete analyse tegen Bijlage III-categorieën: veiligheidscomponenten in machines (ISO 10218, Machinerichtlijn), transport-AI (UNECE R155/R156, voertuigtypegoedkeuring), kritieke infrastructuur-AI (IEC 62443, NIS2).
Voor elk hoogrisicosysteem bouwen we de compliance-artefacten parallel. Voor fysieke AI-systemen omvat dit de integratiearchitectuur met het fysieke systeem, de veiligheidsomhullende-specificatie, de gevarenanalyse, het faalmodusdekdocument, omhullende-schendingstestresultaten en de hardware- en firmware-versiebeheergegevens.
We zetten het post-marktbewakingsprogramma op aangepast voor fysieke implementaties: het schriftelijke plan, velddataverzamelingsarchitectuur van geïmplementeerde hardware, OTA-updatebeheer en versiebeheer, incidentclassificatiecriteria voor veldincidenten met fysieke systeeminteractie.
We bouwen de governanceinfrastructuur voor de lange termijn — het AI-governancecomité-charter, het inlaatproces voor nieuwe AI-systemen (met een fast-path voor de classificatie van fysieke implementaties), de terugkerende beoordelingscyclus.
Fabrikanten die AI-veiligheidscomponenten inzetten in machines of autonoom geleide voertuigen onder Bijlage III punt 2. Automotive OEM's en Tier-1-leveranciers met ADAS- of AD-stacks onder voertuigtypegoedkeuring en UNECE R155/R156. Autonome systeemontwikkelaars (UAS, robotica) wier producten veiligheidscomponenten zijn onder de Machinerichtlijn of relevante sectorale regulering. Energiebedrijven die AI inzetten in veiligheidscomponenten van kritieke infrastructuur onder IEC 62443 en NIS2.
Uw advocatenkantoor vertelt u wat de verordening vereist; ik bouw het programma dat het implementeert. Voor fysieke AI-implementaties is die kloof enorm: het advocatenkantoor kan uw Bijlage IV-technische documentatie voor een robotica-veiligheidscomponent niet schrijven, uw mens-in-de-loop-controles voor een AGV-vloot niet ontwerpen of uw post-marktbewakingsarchitectuur voor een voertuigprogramma niet opzetten.
Niet automatisch, maar vaker dan softwareteams verwachten. De classificatie hangt af van de use-case. Ik verwar geen cybernormen (UNECE R155/R156, die cyberbeveiliging voor voertuigtypegoedkeuring regelen) met functionele veiligheidsnormen (ISO 26262/IEC 61508, die veiligheidsintegriteitsniveaus voor veiligheidskritieke functies regelen).
De gefaseerde handhavingstijdlijn is vastgelegd in wetgeving. Verboden zijn handhaafbaar sinds februari 2025, regels voor algemeen gebruik-AI sinds augustus 2025, en de hoogrisicoverplichtingen komen in augustus 2026. Voor fysieke AI-systemen die een aangemelde instantie-review vereisen is het niet optioneel om nu te beginnen met de conformiteitsbeoordeling-documentatie.
Deze normen zijn complementair, niet concurrerend. De EU AI Act Bijlage IV-technische documentatie voor een fysiek AI-systeem bouwt voort op en verwijst naar de voor deze normen geproduceerde bewijsstukken — de gevarenanalyse, de FMEA, de veiligheidscasus — maar voegt AI-specifieke vereisten toe. Deze programma's parallel in plaats van sequentieel uitvoeren is de enige manier om de deadline van 2026 te halen zonder bewijsstukken te dupliceren.
Ontdek andere diensten die dit aanbod aanvullen
30 minuten. Ik diagnosticeer uw situatie en zeg u eerlijk of deze dienst past — en zo niet, welke wel.