Een computertoetsenbord met een hangslot erop als beeld van cyberbeveiliging
Nieuws8 juli · 04:114 min leestijd

ECB verplicht banken tot AI-cyberplan voor 31 oktober

De ECB verplicht alle eurozone-banken onder haar toezicht om vóór 31 oktober een concreet plan tegen AI-gedreven cyberaanvallen in te dienen. Een bindende deadline, waar de Europese Commissie dezelfde dag alleen met vrijblijvende aanbevelingen kwam.

De ECB verplicht alle eurozone-banken onder haar toezicht om vóór 31 oktober 2026 een concreet actieplan tegen AI-gedreven cyberaanvallen in te dienen. Dat staat in een brief die hoofdtoezichthouder Claudia Buch op 7 juli naar de CEO's van alle significante instellingen stuurde. Geen vrijblijvend advies, maar een toezichtsopdracht met een harde deadline.

Dat raakt Nederland direct. ING, ABN AMRO, Rabobank en de Volksbank vallen als significante instellingen onder het directe ECB-toezicht en moeten dus leveren, net als de Europese onderdelen van Amerikaanse grootbanken zoals JPMorgan, Goldman Sachs, Citi en Morgan Stanley. De eisen stoppen bovendien niet bij de bank zelf: de ECB noemt expliciet software van derden, open-source-componenten en het risicobeheer rond ICT-leveranciers. Elke softwarepartij of fintech die aan zo'n bank levert, krijgt die lat via contracten en leveranciers-audits doorgeschoven.

Van vrijblijvend advies naar harde deadline

De timing is veelzeggend. Diezelfde 7 juli presenteerde de Europese Commissie in Straatsburg een AI-cyberplan dat vooral uit niet-bindende aanbevelingen bestaat en geen nieuwe verplichtingen oplegt. De ECB zet daar de bindende tegenhanger naast: waar de Commissie richting geeft, geeft de toezichthouder een opdracht met een datum eraan. In de brief verwijst de ECB naar een waarschuwing van het Europees Comité voor Systeemrisico's (ESRB) over systeemrisico's door geavanceerde AI-modellen, die dezelfde dag verscheen.

De onderbouwing is scherp. Buch schrijft dat opkomende AI-modellen kwetsbaarheden in software kunnen vinden en werkende exploits kunnen genereren tegen een ongekende snelheid, waardoor de tijd tussen het ontdekken en misbruiken van een lek in elkaar schuift. Het is volgens haar een langdurige verschuiving in het dreigingslandschap, geen tijdelijk fenomeen dat aan één tool hangt. Ruim 85 procent van de banken onder ECB-toezicht gebruikt naar eigen zeggen al AI, aan beide kanten van de linie.

Wat de banken moeten indienen

Het actieplan moet naar het eigen Joint Supervisory Team (JST) en bouwt voort op de bestaande cyberstrategie van de bank, met concrete maatregelen, budgetten, rollen en tijdlijnen. Op de korte termijn legt de ECB de nadruk op een paar dingen:

  • Sneller patchen. Kwetsbaarheden- en patchbeheer moet op schaal versnellen.
  • Slimmer detecteren. Monitoring, detectie en AI-gedreven verdediging moeten omhoog.
  • Leveranciers doorlichten. Het risicobeheer rond ICT-dienstverleners moet passen bij de nieuwe situatie.
  • De buitenrand dichttimmeren. Bescherming van internetgerichte en extern blootgestelde systemen, inclusief software van derden en open-source-componenten, krijgt voorrang.

Daarnaast wil de ECB structurele stappen: verouderde en end-of-life-techniek vervangen, defence-in-depth en cyberhygiëne versterken, en herstel- en crisismanagement op orde brengen, inclusief afspraken over informatiedeling. De toezichthouder legt alle ingediende plannen naast elkaar in een horizontale analyse en koppelt de rode draad terug. Om ruimte te maken schuift de deadline voor de jaarlijkse IT-risicovragenlijst op van september 2026 naar februari 2027. De hele exercitie valt binnen de bestaande DORA-verordening voor digitale weerbaarheid in de financiële sector.

De hoofdvestiging van de Europese Centrale Bank aan de Main in Frankfurt bij zonsopkomst (Bron: DXR / Wikimedia Commons, CC BY-SA 4.0)
De hoofdvestiging van de Europese Centrale Bank aan de Main in Frankfurt bij zonsopkomst (Bron: DXR / Wikimedia Commons, CC BY-SA 4.0)

Verdediging op AI-snelheid

De kern van de opdracht is snelheid. Als aanvallers met AI in uren van een lek naar een werkende exploit gaan, dan moet de verdediging mee kunnen. Precies daar zetten leveranciers hun eigen AI in: OpenAI breidde zijn beveiligingstools uit met agents die lekken niet alleen opsporen maar ook valideren en automatisch patchen. De ECB wil dat banken die snelheid institutioneel verankeren, niet incidenteel inhuren.

Voor wie niet onder ECB-toezicht valt, is de brief alsnog een blauwdruk. De maatregelen die de ECB oplegt, patch sneller, ken je open-source-afhankelijkheden en zorg dat je kunt herstellen, gelden voor elke organisatie waarvan de software aan het internet hangt. De ECB voegt er nog een horizon aan toe: ook post-quantumcryptografie moet volgens de toezichthouder nu al op de investeringsagenda, want die overstap kost jaren. AI-cyberdreiging is met deze brief van een abstract risico veranderd in een gedateerde, controleerbare verplichting.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Klaar voor de nieuwe cybereisen

Van je internetgerichte systemen tot je open-source-componenten en je herstelplan: ik breng in kaart waar je kwetsbaar bent en bouw de monitoring, koppelingen en automatisering die je weerbaarheid echt op orde brengen, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Rabobank bundelt AI-agents in eigen Agentic Hub voor 1.100 engineeringteams
Nieuws
5 min

24 jun 12:35

Rabobank bundelt AI-agents in eigen Agentic Hub voor 1.100 engineeringteams

Leg eerst vast waar je AI-agent mag schrijven, wie de uitvoer controleert en welk budget geldt, en versnel pas daarna. Met logging, budgetten en kill-switches blijft het beheersbaar, ook met een of twee developers. Rabobank doet precies dat over 1.100 teams.

Amsterdam krijgt The Stack: een AI-hub die Europa moet laten bijbenen
Nieuws
5 min

21 jun 02:13

Amsterdam krijgt The Stack: een AI-hub die Europa moet laten bijbenen

In september opent The Stack in Amsterdam-Oostenburg, een AI-hub van 4.500 vierkante meter die Europese AI-makers samenbrengt. Met partners als ABN AMRO en Google wil het de Europese achterstand op de VS verkleinen.

Italiaanse toezichthouder beboet Character.AI om falende leeftijdscontrole
Nieuws
4 min

10 jul 06:38

Italiaanse toezichthouder beboet Character.AI om falende leeftijdscontrole

De Italiaanse privacytoezichthouder Garante legt Character.AI een boete op wegens falende leeftijdscontrole en een te laat uitgevoerde privacytoets. Een klein bedrag, maar een duidelijk precedent voor elk bedrijf met een AI-chatbot die minderjarigen kan bereiken.

Cerebras bouwt 200 megawatt Europese AI-rekenkracht tegen eind 2027
Nieuws
3 min

10 jul 06:24

Cerebras bouwt 200 megawatt Europese AI-rekenkracht tegen eind 2027

Cerebras bouwt tegen eind 2027 200 megawatt aan AI-rekenkracht in Europa, met datacenters in Frankrijk, Noorwegen en Finland. Een lokaal alternatief voor de Nvidia-infrastructuur waar bijna alle Europese AI-fabrieken op draaien, maar hoe soeverein is het?

Meta start in september productie van eigen AI-chip Iris
Nieuws
4 min

10 jul 02:24

Meta start in september productie van eigen AI-chip Iris

Meta begint in september met de productie van zijn eigen AI-chip Iris en wil zijn rekencapaciteit in 2027 verdubbelen naar 14 gigawatt. Een intern memo dat Reuters inzag legt de compute-strategie onder je cloudrekening bloot.

Tencent brengt open model Hy3 uit dat modellen tot vijf keer zijn omvang evenaart
Nieuws
5 min

7 jul 00:19

Tencent brengt open model Hy3 uit dat modellen tot vijf keer zijn omvang evenaart

Tencent zet zijn Hy3-model open source onder de Apache 2.0-licentie, waardoor het ook voor Europese bedrijven bruikbaar wordt. Het compacte model evenaart volgens Tencent veel grotere modellen, al houdt GLM-5.2 de codeerkroon.