De ECB verplicht alle eurozone-banken onder haar toezicht om vóór 31 oktober 2026 een concreet actieplan tegen AI-gedreven cyberaanvallen in te dienen. Dat staat in een brief die hoofdtoezichthouder Claudia Buch op 7 juli naar de CEO's van alle significante instellingen stuurde. Geen vrijblijvend advies, maar een toezichtsopdracht met een harde deadline.
Dat raakt Nederland direct. ING, ABN AMRO, Rabobank en de Volksbank vallen als significante instellingen onder het directe ECB-toezicht en moeten dus leveren, net als de Europese onderdelen van Amerikaanse grootbanken zoals JPMorgan, Goldman Sachs, Citi en Morgan Stanley. De eisen stoppen bovendien niet bij de bank zelf: de ECB noemt expliciet software van derden, open-source-componenten en het risicobeheer rond ICT-leveranciers. Elke softwarepartij of fintech die aan zo'n bank levert, krijgt die lat via contracten en leveranciers-audits doorgeschoven.
Van vrijblijvend advies naar harde deadline
De timing is veelzeggend. Diezelfde 7 juli presenteerde de Europese Commissie in Straatsburg een AI-cyberplan dat vooral uit niet-bindende aanbevelingen bestaat en geen nieuwe verplichtingen oplegt. De ECB zet daar de bindende tegenhanger naast: waar de Commissie richting geeft, geeft de toezichthouder een opdracht met een datum eraan. In de brief verwijst de ECB naar een waarschuwing van het Europees Comité voor Systeemrisico's (ESRB) over systeemrisico's door geavanceerde AI-modellen, die dezelfde dag verscheen.
De onderbouwing is scherp. Buch schrijft dat opkomende AI-modellen kwetsbaarheden in software kunnen vinden en werkende exploits kunnen genereren tegen een ongekende snelheid, waardoor de tijd tussen het ontdekken en misbruiken van een lek in elkaar schuift. Het is volgens haar een langdurige verschuiving in het dreigingslandschap, geen tijdelijk fenomeen dat aan één tool hangt. Ruim 85 procent van de banken onder ECB-toezicht gebruikt naar eigen zeggen al AI, aan beide kanten van de linie.
Wat de banken moeten indienen
Het actieplan moet naar het eigen Joint Supervisory Team (JST) en bouwt voort op de bestaande cyberstrategie van de bank, met concrete maatregelen, budgetten, rollen en tijdlijnen. Op de korte termijn legt de ECB de nadruk op een paar dingen:
- Sneller patchen. Kwetsbaarheden- en patchbeheer moet op schaal versnellen.
- Slimmer detecteren. Monitoring, detectie en AI-gedreven verdediging moeten omhoog.
- Leveranciers doorlichten. Het risicobeheer rond ICT-dienstverleners moet passen bij de nieuwe situatie.
- De buitenrand dichttimmeren. Bescherming van internetgerichte en extern blootgestelde systemen, inclusief software van derden en open-source-componenten, krijgt voorrang.
Daarnaast wil de ECB structurele stappen: verouderde en end-of-life-techniek vervangen, defence-in-depth en cyberhygiëne versterken, en herstel- en crisismanagement op orde brengen, inclusief afspraken over informatiedeling. De toezichthouder legt alle ingediende plannen naast elkaar in een horizontale analyse en koppelt de rode draad terug. Om ruimte te maken schuift de deadline voor de jaarlijkse IT-risicovragenlijst op van september 2026 naar februari 2027. De hele exercitie valt binnen de bestaande DORA-verordening voor digitale weerbaarheid in de financiële sector.

Verdediging op AI-snelheid
De kern van de opdracht is snelheid. Als aanvallers met AI in uren van een lek naar een werkende exploit gaan, dan moet de verdediging mee kunnen. Precies daar zetten leveranciers hun eigen AI in: OpenAI breidde zijn beveiligingstools uit met agents die lekken niet alleen opsporen maar ook valideren en automatisch patchen. De ECB wil dat banken die snelheid institutioneel verankeren, niet incidenteel inhuren.
Voor wie niet onder ECB-toezicht valt, is de brief alsnog een blauwdruk. De maatregelen die de ECB oplegt, patch sneller, ken je open-source-afhankelijkheden en zorg dat je kunt herstellen, gelden voor elke organisatie waarvan de software aan het internet hangt. De ECB voegt er nog een horizon aan toe: ook post-quantumcryptografie moet volgens de toezichthouder nu al op de investeringsagenda, want die overstap kost jaren. AI-cyberdreiging is met deze brief van een abstract risico veranderd in een gedateerde, controleerbare verplichting.
Veelgestelde vragen
Klaar voor de nieuwe cybereisen
Van je internetgerichte systemen tot je open-source-componenten en je herstelplan: ik breng in kaart waar je kwetsbaar bent en bouw de monitoring, koppelingen en automatisering die je weerbaarheid echt op orde brengen, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
