GACS onder EPBD IV: welke kantoren raken de 70 kW-drempel en wat moet u nu doen?

Wat EPBD IV verandert voor GACS, in vier zinnen

EPBD IV is de herziene Europese richtlijn voor energieprestatie van gebouwen (Richtlijn (EU) 2024/1275), van toepassing in Nederland vanaf 1 mei 2026. Voor BACS- en GACS-systemen (Gebouwautomatiserings- en Controlesystemen) brengt EPBD IV drie wezenlijke wijzigingen: een verlaagde vermogensdrempel, uitgebreidere functionele eisen en nieuwe verplichtingen rond cybersecurity en open standaarden. De uiterste implementatie-deadline voor bestaande niet-residentiële gebouwen is 31 december 2029. Voor nieuwbouw geldt EPBD IV direct.

Wanneer geldt de plicht voor uw pand?

Drie criteria bepalen het:

Criterium 1: installatie-vermogen

De drempel onder EPBD IV is 70 kW nominaal vermogen voor verwarmings- of airconditionings-installaties in niet-residentieel vastgoed. Dat is een forse verlaging van de oude 290 kW-drempel die tot 1 mei 2026 gold. De toets is per pand, niet per portefeuille.

In de praktijk: vrijwel alle standalone kantoren boven 1500 m² zitten boven 70 kW. Kantoren tussen 800 en 1500 m² zitten in de grijze zone waar de werkelijke specificaties bepalen of u onder of boven de drempel zit. Onder 800 m² zit u meestal eronder.

Voor portefeuille-eigenaren betekent dit: panden die onder het oude 290 kW-kader nog buiten schot vielen, vallen nu vaak wel onder de plicht. Asset managers die in 2025 inschatten dat 8 van hun 30 kantoren onder de fase-1-plicht vielen, komen onder EPBD IV vaak uit op 18 tot 25 panden.

Criterium 2: deadlines

• Nieuwbouw: EPBD IV-niveau is direct vereist vanaf transpositie (1 mei 2026)
• Bestaande niet-residentiële gebouwen: 31 december 2029

Tussen nu en eind 2029 zit drie en een half jaar. Voor portefeuilles van 10 of meer EPBD IV-plichtige panden is dat tijd om parallel te werken, niet om af te wachten.

Criterium 3: oude versus nieuwe regeling

De 290 kW-drempel uit de oude Nederlandse regeling vervalt niet automatisch. Panden die daar al onder vielen, hadden eind 2025 al een traject moeten starten. Onder EPBD IV worden zij integraal aangepakt binnen het nieuwe kader.

Wat doet EPBD IV technisch anders dan het oude kader?

Onder de oude regeling moest een GACS drie kernfuncties hebben: continu meten, afwijking-detectie en bijsturing. Onder EPBD IV worden dat vijf kernfuncties plus drie aanvullende eisen.

Vijf kernfuncties onder EPBD IV:

1. Continu meten van energieverbruik per installatie
2. Afwijkingen signaleren (rendement-daling, lekkages, oneigenlijk gebruik)
3. Benchmarking tegen ontwerpwaarden of vergelijkbare situaties
4. Communiceren met andere technische installaties via open standaarden
5. Gericht bijsturen of aanbevelingen genereren voor optimalisatie

Plus drie aanvullende eisen:

1. Cybersecurity: versleuteling, toegangsbeheer, logging
2. Communicatie naar gebruikers (huurders, beheerders) over actuele energieprestatie
3. Interoperabiliteit via open standaarden, geen vendor lock-in

Voor systemen geleverd vóór 2022 is de kans groot dat één of meer van deze eisen niet zijn geadresseerd. Cybersecurity en interoperabiliteit zijn vaak het grootste gat omdat zij in eerdere generaties GBS-systemen geen prominent ontwerp-uitgangspunt waren.

Voldoet uw huidige systeem al?

Veel eigenaren denken: "wij hebben een gebouwbeheersysteem (GBS), dus we voldoen." Onder het oude kader was dat soms al niet waar. Onder EPBD IV met acht eisen (vijf kern plus drie aanvullend) wordt de kans dat een bestaand GBS volledig voldoet kleiner.

In mijn praktijk komt het regelmatig voor dat een bestaand GBS de basis-meet-functie wel doet, maar de benchmarking, de communicatie met andere installaties of de cybersecurity-architectuur niet op EPBD IV-niveau heeft. Soms is een software-uitbreiding genoeg en kost het alleen een licentie-aanpassing. Andere keren is het GBS te oud en moet er een aanvullende GACS-laag bovenop.

De enige manier om dit zeker te weten is een toets door iemand met EPBD IV-kennis. Niet door de oorspronkelijke GBS-installateur (die heeft een verkoper-belang), maar door een onafhankelijke partij.

Wat ik in de praktijk zie

Drie observaties uit klantgesprekken van de afgelopen maanden onder het nieuwe kader:

Onderschatting van het aantal getroffen panden. Asset managers die in 2025 hun portefeuille hadden ingedeeld op basis van de 290 kW-drempel komen nu vaak op het dubbele aantal EPBD IV-plichtige panden. De grijze zone tussen 50 en 90 kW bevat verrassend veel kantoorpanden van 800 tot 1500 m².

Cybersecurity is het grootste gat. Van de acht EPBD IV-eisen is cybersecurity de eis waar bestaande systemen het vaakst niet aan voldoen. Veel oudere GBS-installaties hebben geen versleuteling, geen logging en gedeelde inlog-credentials. Dichten van dit gat vraagt soms een aparte beveiligings-laag of een systeem-vervanging.

Wachten op nadere Nederlandse uitwerking is niet zinvol. Een groep eigenaren zegt: "Eerst kijken hoe de Nederlandse delegated acts cybersecurity precies invullen, dan beslis ik." Maar de techniek die nu nodig is voor de vijf kernfuncties, is dezelfde techniek die straks ook de cybersecurity-eisen kan dragen. Wie nu investeert in een EPBD IV-conforme oplossing, heeft straks geen tweede ronde nodig. Wachten betekent in de praktijk: dubbel werk en hogere kosten.

Welke voorbereidings-tijd resteert

Voor portefeuille-eigenaren met meerdere panden boven 70 kW, mijn aanbevolen meerjaren-tijdpad bij start nu (mei 2026):

Mei tot oktober 2026: drempel-toets per pand afronden. Identificeren welke panden onder de plicht vallen. Eerst administratief uit installatie-specificaties, daarna bij twijfel een fysieke meting. Plus systeem-inventarisatie en EPBD IV-toets per pand. Resultaat: scherpe lijst van EPBD IV-plichtige panden plus per pand een gap-analyse.

Najaar 2026 tot zomer 2027: oplossing-bepaling per pand. Bestaande GBS-installatie reviewen op uitbreidbaarheid. Resultaat: per pand een keuze tussen software-uitbreiding of aanvullende GACS-laag. Implementatie van Type 1-bevestiging en eerste tranche Type 2-uitbreidingen.

2027 tot 2028: tweede tranche Type 2 plus alle Type 3-trajecten (aanvullende GACS-lagen). Software-uitbreidingen kunnen binnen weken geregeld worden. Aanvullende GACS-lagen vragen 8 tot 16 weken inclusief installatie, inregelen en cybersecurity-audit. Plan dit synchroon met andere onderhouds-momenten waar mogelijk.

2029: afronding implementatie, cybersecurity-audits en compliance-bewijs opbouwen. Documentatie verzamelen die aantoont dat het systeem voldoet aan de EPBD IV-eisen. Dit is wat u in handen heeft bij een controle of bij een vrijstelling-aanvraag.

Met deze planning bent u eind 2028 of begin 2029 klaar. Wie nu start, heeft drie tot vier jaar marge. Wie wacht tot 2028, komt in de capaciteits-piek waarin installateurs en GACS-leveranciers volgeboekt zijn.

Vrijstellings-bonus is groter onder EPBD IV

Gebouwen die aantoonbaar voldoen aan de EPBD IV-eisen kunnen worden vrijgesteld van bepaalde verplichte keuringen (inspectie airco-installatie, inspectie verwarmings-installatie). Onder EPBD IV is dat voordeel groter dan onder de oude regeling omdat het totaal-pakket eisen breder is. Voor een grotere kantoor-portefeuille kan dat oplopen tot vele duizenden euros per jaar over de levensduur van het pand.

Dit is een reden om de bewijsvoering vanaf het begin goed in te richten en niet pas bij een controle. Cybersecurity-audit-rapport, interoperabiliteits-documentatie en voorbeeld-rapportages zijn onderdeel van het bewijspakket.

Hoe Panda hierin begeleidt

Wij doen EPBD IV-quickscans voor kantoor-portefeuilles. Per pand een drempel-toets, een beoordeling van het bestaande systeem tegen de acht EPBD IV-eisen en een implementatie-advies. Voor 10 tot 30 panden duurt een quickscan drie tot zes weken. Daarna stelt u zelf vast welke trajecten u parallel laat lopen tot 2029.

Na implementatie helpen wij bij het opbouwen van het compliance-bewijs (inclusief cybersecurity-audit en interoperabiliteits-documentatie) zodat u bij vrijstellings-aanvragen of controles de juiste documentatie heeft.