Beslissers rond een vergadertafel met documenten en pennen tijdens een overleg
Nieuws2 juli · 16:245 min leestijd

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden

Vers Veeam-onderzoek onder 300 Nederlandse beslissers laat zien dat AI het naleven van NIS2 en DORA juist ingewikkelder maakt. 62 procent verwacht meer complexiteit, terwijl de Cyberbeveiligingswet dit kwartaal bestuurders persoonlijk aansprakelijk gaat maken.

Kunstmatige intelligentie belooft werk uit handen te nemen. Voor het naleven van wetgeving pakt het vaak omgekeerd uit. Uit vers onderzoek van dataveerkrachtbedrijf Veeam onder 300 Nederlandse beslissers blijkt dat 62 procent van de organisaties verwacht dat AI het voldoen aan weerbaarheidswetgeving zoals NIS2 en DORA juist ingewikkelder maakt. Dat is geen abstracte zorg: de Nederlandse invulling van NIS2, de Cyberbeveiligingswet, treedt naar verwachting dit kwartaal in werking en maakt bestuurders persoonlijk aansprakelijk als de digitale weerbaarheid niet op orde is.

Tegelijk laat het onderzoek een lastig startpunt zien. Eén op de vijf Nederlandse organisaties (20 procent) werkt nog niet actief aan compliance, of komt pas in beweging zodra wetgeving dat afdwingt. Dat terwijl de Tweede Kamer het wetsvoorstel al heeft aangenomen en er na inwerkingtreding weinig tijd rest om maatregelen te treffen.

Waarom AI de nalevingslast opdrijft

De kern van het probleem is gebrek aan overzicht. Veel bedrijven weten niet precies welke AI-tools er binnen de organisatie draaien, tot welke data die toegang hebben, en welke risico's ze introduceren. NIS2 en DORA vragen juist om aantoonbare controle: wie is waarvoor verantwoordelijk, welke data stroomt waarheen, en hoe toon je aan dat je in control bent. Elke ongeziene AI-integratie vergroot precies die bewijslast.

Die druk neemt toe nu autonomere, agentgestuurde systemen zelfstandig binnen bedrijfsomgevingen opereren, soms met minimale menselijke tussenkomst. Gartner verwacht dat tegen eind 2026 zo'n 40 procent van de bedrijfsapplicaties AI-agents bevat. Voor het MKB is de reikwijdte breder dan veel ondernemers denken: tussen de 8.000 en 10.000 Nederlandse organisaties vallen rechtstreeks onder de Cyberbeveiligingswet, en tienduizenden toeleveranciers krijgen er indirect mee te maken via de eisen die hun klanten doorgeven.

En verlichting hoeft niet uit Brussel te komen. Het kabinet waarschuwde eerder dat de voorgestelde vereenvoudiging van NIS2 juist tot meer complexiteit en certificeringslast kan leiden, het tegenovergestelde van wat de Europese Commissie beoogt. De aanname dat AI of een simplificatieronde het werk lichter maakt, klopt hier dus van twee kanten niet.

De kloof tussen IT en directie

De opvallendste bevinding: IT en business kijken totaal verschillend naar AI. Waar 83 procent van de IT-leiders zegt dat hun organisatie AI-tools gebruikt, bevestigt slechts 56 procent van de zakelijke leiders hetzelfde. Meer dan een derde van de directie denkt dus dat er geen AI wordt ingezet, terwijl dat wel gebeurt.

Die blinde vlek werkt door in de risico-inschatting. IT-leiders noemen beïnvloeding door cybercriminelen (55 procent), datalekken of verlies van intellectueel eigendom (52 procent) en insider threats (32 procent) als grootste gevaren. Zakelijke leiders schatten die risico's structureel lager in, en 13 procent van hen ziet zelfs helemaal geen AI-gerelateerde compliancerisico's.

Grootste AI-compliancerisico's volgens Nederlandse IT-leiders, Veeam-onderzoek onder 300 beslissers, juli 2026 (bron: ICT/Magazine).

Dat verschil in perceptie is precies het probleem, benadrukt Edwin Weijdema, Field CTO EMEA bij Veeam. "Als risico's niet als risico worden gezien, krijgen ze doorgaans ook geen prioriteit in beleid, budget en besluitvorming", zegt hij over de kloof tussen IT en directie. "Daarmee groeit de kans dat AI-gebruik buiten de formele kaders plaatsvindt en dat organisaties minder aantoonbaar in control zijn richting wetgeving zoals NIS2 en DORA."

Het logo van Veeam, het dataveerkrachtbedrijf dat het onderzoek onder 300 Nederlandse beslissers uitvoerde (bron: Veeam Software / Wikimedia Commons, publiek domein)
Het logo van Veeam, het dataveerkrachtbedrijf dat het onderzoek onder 300 Nederlandse beslissers uitvoerde (bron: Veeam Software / Wikimedia Commons, publiek domein)

Beleid alleen is niet genoeg

Aan papieren voornemens ligt het niet. 82 procent van de Nederlandse organisaties heeft specifiek AI-beleid of ontwikkelt dat, en 76 procent controleert actief of tools volgens de interne richtlijnen worden gebruikt. Maar beleid zonder zicht op datastromen, eigenaarschap en risico's blijft een lege huls, zeker nu agentgestuurde systemen zelf beslissingen nemen.

Dat sluit aan bij een hardnekkig misverstand over AI en privacy: het risico zit zelden in het model, maar in de rommelige manier waarop organisaties al jaren met persoonsgegevens omgaan, die een AI-systeem alleen zichtbaar en schaalbaar maakt. "Zonder duidelijk eigenaarschap over data en transparantie in AI-processen worden verantwoordelijkheid en compliance erg lastig", aldus Weijdema. Zijn advies: terug naar de basis, met heldere afspraken over wie verantwoordelijk is voor data en met verklaarbare, controleerbare AI-processen.

IT-leiders zoeken de oplossing vooral in mensen en kennis: het delen van AI-use cases (48 procent), training voor verantwoord gebruik (42 procent) en opleidingen rond veerkracht en wetgeving (37 procent). Dat het loont, laat het onderzoek ook zien: organisaties die investeren in veerkracht herstellen zeven keer sneller van storingen, ervaren drie keer minder downtime en lijden vier keer minder dataverlies dan organisaties die dat nalaten.

Wat betekent dit voor jouw organisatie

De boodschap voor Nederlandse ondernemers is nuchter: AI invoeren zonder je datahuishouding en governance op orde te brengen, verplaatst het probleem niet, het vergroot het. De eerste stap is geen nieuwe tool, maar een eerlijke inventarisatie: welke AI draait er al, wie is ervoor verantwoordelijk, en welke data raakt het. Wie dat overzicht mist, ontdekt straks pas bij een incident of een audit hoe groot de kloof tussen beleid en praktijk is geworden. En met een Cyberbeveiligingswet die bestuurders persoonlijk aansprakelijk maakt, is dat een dure plek om je huiswerk te doen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op AI en compliance

Ik help je AI invoeren met je datahuishouding en governance meteen op orde, van meedenken en inventarisatie tot bouwen en automatiseren, self-hosted waar dat kan, zodat je aantoonbaar in control blijft richting NIS2 en DORA.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Eerste Kamer neemt Cyberbeveiligingswet aan: op 15 augustus van kracht
Nieuws
4 min

7 jul 16:11

Eerste Kamer neemt Cyberbeveiligingswet aan: op 15 augustus van kracht

De Eerste Kamer nam de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aan. Beide gaan op 15 augustus in, waarmee ruim 8.000 Nederlandse organisaties nog maar weken hebben om aan de nieuwe cyberplichten te voldoen.

Cyberbeveiligingswet naar de Eerste Kamer: stemming 7 juli, invoering mogelijk al op 15 augustus
Nieuws
5 min

1 jul 15:23

Cyberbeveiligingswet naar de Eerste Kamer: stemming 7 juli, invoering mogelijk al op 15 augustus

De Eerste Kamer stemt 7 juli over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Bij een ja kan de wet al op 15 augustus ingaan voor ruim 8.000 organisaties.

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting
Nieuws
3 min

8 jul 14:48

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting

De Europese Commissie daagt Nederland, Ierland, Spanje en Frankrijk voor het EU-Hof wegens te late omzetting van de NIS2-cyberrichtlijn en vraagt om boetes. Voor Nederlandse organisaties bevestigt de zaak dat de Cyberbeveiligingswet op 15 augustus onverbiddelijk ingaat.

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen
Nieuws
4

7 jul 22:24

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen

De Europese Commissie kwam op 7 juli met een Actieplan Cybersecurity en AI. Het bevat vooral aanbevelingen en Europese testcapaciteit, geen nieuwe verplichtingen. Voor Nederlandse bedrijven blijven NIS2 en de AI Act de harde compliancelat.

Botverkeer overtreft mensen: CISO's investeren massaal in monitoring
Nieuws
5 min

26 jun 10:20

Botverkeer overtreft mensen: CISO's investeren massaal in monitoring

Voor het eerst zijn bots in de meerderheid op het web. De IG&H CISO Pulse toont dat tachtig procent van de securityleiders extra in monitoring investeert. Wat die verschuiving betekent voor de kosten en risico's van jouw bedrijf.

ABN Amro verlaagt groei TMT-sector naar 3 procent en waarschuwt voor AI-tweedeling
Nieuws
5 min

24 jun 23:05

ABN Amro verlaagt groei TMT-sector naar 3 procent en waarschuwt voor AI-tweedeling

ABN Amro verlaagt de groeiprognose voor de Nederlandse tech-, media- en telecomsector naar 3 procent. Oplopende rente drukt, en AI zorgt voor een tweedeling die ABN Amro zelfs de SaaSpocalypse noemt.