De Europese Commissie presenteerde op 7 juli een Actieplan Cybersecurity en AI dat vooral uit aanbevelingen bestaat: geen nieuwe wetgeving, maar Europese testcapaciteit en richtlijnen om kunstmatige intelligentie in te zetten tegen cyberdreigingen. Het plan werd in Straatsburg gepresenteerd door techcommissaris Henna Virkkunen.
Voor Nederlandse organisaties verandert er juridisch weinig, en dat is het eerste om te weten. Het actieplan legt geen nieuwe verplichtingen op. De harde plichten blijven staan waar ze al stonden: bij de Cyberbeveiligingswet, die sinds deze zomer duizenden Nederlandse bedrijven een zorg- en meldplicht oplegt, en bij de AI Act. Wat Brussel hier neerzet, is richting en infrastructuur: hoe je AI gebruikt om je te verdedigen, en waar de EU zelf capaciteit gaat bouwen.
Aanbevelingen, geen nieuwe wet
De kern van het plan is dat het op bestaande regels voortbouwt in plaats van er nieuwe aan toe te voegen. Het steunt op de AI Act, de Cyber Resilience Act, de NIS2-richtlijn en de Cyber Solidarity Act, en vult die aan met niet-bindende aanbevelingen over verdedigen tegen AI-aangedreven aanvallen. Nieuwe boetes of plichten zitten er niet in.
De urgentie die eronder ligt, is wel scherp. "Deze geavanceerde AI-modellen kunnen nu in minuten of uren cyberexploits bouwen, tegen een fractie van de kosten", aldus Virkkunen. Aanvallers gebruiken dezelfde technologie die verdedigers moeten inzetten, en het plan probeert die balans richting de verdediging te kantelen.

Wat de Commissie wel concreet gaat doen
Achter de aanbevelingen zit een reeks concrete Europese bouwstenen. De Commissie zet een eigen evaluatiecapaciteit op om geavanceerde AI-modellen te beoordelen voordat ze op de Europese markt komen, ter ondersteuning van het AI Office onder de AI Act. Samen met cyberagentschap ENISA en het Joint Research Centre komt er een beveiligd testplatform, met gesimuleerde omgevingen, waar operators in kritieke sectoren leren hoe ze AI veilig inzetten.
Daarnaast werkt de Commissie met ENISA aan een Europese blauwdruk voor gestructureerde toegang tot geavanceerde AI voor cybersecurity, en komt er een campagne om kritieke opensourcesoftware te beveiligen. Dat laatste is voor bedrijven concreet: veel bedrijfssoftware leunt op opensourcecomponenten, en juist daar liggen de kwetsbaarheden die bij een datalek een hele AI-gestuurde aanvalsketen in gang kunnen zetten.
De afhankelijkheid die eronder ligt
Tegelijk legt het plan een ongemakkelijk punt bloot: Europa leunt voor de zwaarste AI-modellen op Amerikaanse aanbieders als Anthropic, waartoe de EU alleen beperkte toegang kreeg. "Europa heeft sterk AI-onderzoek, maar te weinig bedrijven die op deze grens opereren", merkte europarlementariër Aura Salla op. Met een EU Grand Challenge en investeringen via AI Factories en het Tech Sovereignty Package wil de Commissie die achterstand inlopen.
Daarmee sluit dit actieplan aan op een lijn die Brussel al maanden trekt: minder afhankelijkheid, meer eigen grip. De verplichtingen komen niet uit dit plan, maar uit de AI Act, die vanaf augustus stapsgewijs van kracht wordt, en uit de al geldende cyberwetgeving. Het plan levert het gereedschap en de richting. Wie nu al AI inzet om sneller te patchen en zijn opensource-afhankelijkheden op orde brengt, loopt vooruit op wat straks toch de norm wordt.
Veelgestelde vragen
Grip op je eigen AI
Brussel bouwt Europese capaciteit omdat afhankelijkheid van andermans modellen een risico is. Ik help je datzelfde principe klein maken: ik denk mee, ontwerp en bouw AI en automatisering die je zelf draait, self-hosted waar dat kan, van eerste idee tot werkend systeem.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
