EU presenteert actieplan voor cybersecurity en AI: wat dit betekent voor AI-risk- en complianceteams
By Jean-Hugues Migeon
Op 7 juli 2026 presenteerde de Europese Commissie haar Actieplan voor Cybersecurity en Artificiƫle Intelligentie, een gestructureerd antwoord op de risico's (en kansen) die geavanceerde AI-modellen met zich meebrengen voor cybersecurity. Bij de presentatie van het initiatief aan het Europees Parlement waarschuwde EU-digitaalcommissaris Henna Virkkunen dat "deze geavanceerde AI-modellen nu binnen minuten of uren cyberexploits kunnen bouwen, tegen een fractie van de kosten van het opsporen van kwetsbaarheden door getrainde mensen", en dat, eenmaal ingezet als wapen, deze kwetsbaarheden "de veiligheid van onze infrastructuur en samenleving in gevaar brengen".
Voor AI-risk- en complianceprofessionals is dit meer dan zomaar een nieuwe mededeling van de EU. Het is een concrete stap in de opbouw van de handhavingsinfrastructuur achter de AI Act, en een duidelijk signaal dat Brussel wil dat AI-modellen onder Europees toezicht worden geƫvalueerd, in plaats van uitsluitend te vertrouwen op zelfbeoordeling door leveranciers.
Wat het actieplan inhoudt
Voortbouwend op het bestaande Europese juridische kader voor AI en cybersecurity, brengt het plan lidstaten, de industrie en EU-instanties samen rond een aantal concrete actielijnen:
- Een Europees kader voor gestructureerde toegang. De Commissie en ENISA (het Europees Agentschap voor cyberbeveiliging) zullen een kader opstellen dat verduidelijkt hoe publieke instanties en private bedrijven gestructureerde, transparante toegang kunnen krijgen tot geavanceerde AI-modellen voor cybersecuritydoeleinden – toegang die vandaag vaak beperkt is tot een klein aantal organisaties, met weinig inzicht in het proces.
- Evaluatie van modellen vóór marktintroductie. Het AI-bureau van de EU zal samenwerken met gespecialiseerde modelbeoordelaars om de risico's van de meest geavanceerde AI-modellen te beoordelen en te beperken voordat deze de EU-markt bereiken, in het kader van de AI Act.
- Defensieve richtlijnen voor organisaties. Het plan biedt richtlijnen om bedrijven te helpen zich te verweren tegen AI-gedreven cyberdreigingen en het patchen van uitbuitbare kwetsbaarheden te versnellen.
- Een paraatheidsbeoordeling van kritieke infrastructuur. De Commissie zal beoordelen hoe goed voorbereid operatoren van kritieke infrastructuur zijn op AI-versnelde cyberaanvallen.
- Een EU Grand Challenge voor AI in cybersecurity. Een specifiek initiatief dat bedrijven, onderzoekers en publieke instanties samenbrengt om AI-gebaseerde defensieve tools te ontwikkelen.
Waarom dit ertoe doet voor AI-governance
Het plan komt er tegen een veelzeggende achtergrond. Volgens berichtgeving over de aankondiging was een van Anthropics meest geavanceerde modellen in staat om binnen enkele uren uitbuitbare kwetsbaarheden te identificeren in zeer gevoelige Amerikaanse overheidssystemen – wat leidde tot (en later weer opgeheven) Amerikaanse exportcontroles – terwijl Europese autoriteiten en ENISA slechts beperkte testtoegang tot dat model konden verkrijgen via een onderhandeld toegangsprogramma. Precies die afhankelijkheid is wat het nieuwe kader voor gestructureerde toegang wil aanpakken, ook al wezen EuroparlementariĆ«rs erop dat het diepere probleem van Europa ligt in het gebrek aan eigen AI-infrastructuur en bedrijven aan de frontlinie, niet enkel in de toegang tot modellen.
Het meest ingrijpende punt voor complianceteams betreft het onderdeel evaluatie vóór marktintroductie. Of de AI Act een onafhankelijke evaluatie moet vereisen vóórdat een model in de EU wordt gelanceerd – in plaats van te vertrouwen op de eigen tests van de ontwikkelaar, of op niet-regulerende instanties zoals het UK AI Security Institute, waar toonaangevende AI-labs tot nu toe de voorkeur aan gaven – blijft omstreden binnen de sector. De richting is echter duidelijk: van de risicogebaseerde verplichtingen van de AI Act (zie ons gerelateerde artikel over de AI Act en de AVG) tot deze nieuwe, cybersecurity-specifieke evaluatiecapaciteit – de EU bouwt gestaag de middelen op om AI-systemen zelf te testen en te verifiĆ«ren, in plaats van louter op toezeggingen te vertrouwen.
De praktische uitdaging: aantonen dat uw AI-systemen deze toetsing doorstaan
Een evaluatieregime heeft alleen effect als organisaties tijdig geloofwaardig bewijs kunnen leveren wanneer daarom wordt gevraagd – niet alleen ontwikkelaars van geavanceerde modellen, maar elke organisatie die AI-systemen inzet met enige blootstelling aan cybersecurityrisico's, van klantgerichte chatbots tot interne copilots. Zoals we eerder aangaven bij de opkomst van LLM's als nieuw aanvalsoppervlak, missen de meeste organisaties nog altijd een continu, bewijsgebaseerd overzicht van welke AI-systemen ze gebruiken, welke risico's elk daarvan met zich meebrengt, en hoe die risico's zich verhouden tot de van toepassing zijnde kaders. Tools zoals ExplAIn bieden een snelle eerste inschatting of de AI-tools die u al gebruikt, deze toetsing zouden doorstaan.
Dit is het operationele model achter Anove's insAIght-platform: het helpt risk-, compliance- en auditteams een continu geactualiseerd, audit-klaar overzicht te behouden van hun AI-landschap ten opzichte van kaders zoals de Europese AI Act, ISO/IEC 42001 en het NIST AI RMF – zodat, terwijl de EU haar verwachtingen rond modelevaluatie en cybersecurityparaatheid verder uitbouwt, het benodigde bewijs al voorhanden is.
De conclusie
Brussel is verschoven van het erkennen dat geavanceerde AI het cyberdreigingslandschap verandert, naar het opbouwen van de institutionele capaciteit om daar direct op te evalueren en te reageren. Voor AI-risk- en complianceteams is de boodschap consistent met wat we overal zien, van Illinois tot Brussel: zelfgerapporteerde zekerheid verliest terrein ten opzichte van onafhankelijk geverifieerd en continu bijgehouden bewijs. Organisaties die deze verschuiving nu al voor zijn, staan er veel beter voor wanneer de Europese evaluatie- en paraatheidsverwachtingen concrete vereisten worden.
Meer weten
- insAIght – Anove's platform voor AI-governance en risicobeheer, voor continue, audit-klare compliance.
- ExplAIn – controleer of de AI-tools die u gebruikt compliant zijn.
- Illinois Enacts First-in-Nation AI Safety Audit Law: What It Means for GRC Teams – gerelateerde leesstof over de verschuiving van zelfbeoordeling naar onafhankelijke audit.
- LLMs as a New Attack Surface: what does it mean for AI governance? – gerelateerde leesstof over AI-gedreven cybersecurityrisico's.
Boek een demo om te zien hoe insAIght uw AI-governance audit-klaar houdt, voor de Europese AI Act, het bijbehorende cybersecurity-actieplan, en elk ander kader dat voor u relevant is.