Netwerkkabels in een datacenter.
Nieuws9 juli · 16:224 min leestijd

Toezichthouders: AI maakt cyberaanvallen sneller en goedkoper

Het Financieel Stabiliteitscomité waarschuwt dat AI cyberaanvallen op de financiële sector sneller en goedkoper maakt, en wijst op de risicovolle afhankelijkheid van niet-Europese cloudleveranciers. De toezichthouders vragen instellingen hun weerbaarheid nu aan te scherpen.

Het Financieel Stabiliteitscomité, waarin De Nederlandsche Bank, de AFM en het ministerie van Financiën zitten, waarschuwt dat geavanceerde AI-modellen bestaande kwetsbaarheden sneller, goedkoper en op grotere schaal misbruikbaar maken. Het comité roept financiële instellingen op hun cyberweerbaarheid direct aan te scherpen.

Dat is geen abstracte technologiewaarschuwing. Een Nederlandse toezichthouder benoemt AI-cyberdreiging hier als een risico voor de stabiliteit van het hele financiële stelsel, met concrete verwachtingen aan het adres van banken, verzekeraars en pensioenfondsen. Lever je software of diensten aan zo'n instelling, dan schuiven die eisen via contracten en audits jouw kant op. En de tweede zorg van het comité, de leuning op een handvol niet-Europese cloudleveranciers, raakt vrijwel elk bedrijf dat op dezelfde providers draait.

AI verkort de tijd tussen lek en aanval

De kern van de waarschuwing gaat over snelheid. AI-modellen kunnen kwetsbaarheden in software sneller vinden en goedkoper uitbuiten, waardoor de tijd tussen het ontdekken van een lek en een werkende aanval in elkaar schuift. Het comité ziet dat als een blijvende verschuiving in het dreigingslandschap, niet als een tijdelijk fenomeen rond één tool.

Wat het van instellingen vraagt is concreet: pas het risicobeheer aan op AI-gedreven dreigingen, spoor kwetsbaarheden eerder op en herstel sneller. Het comité gaat een stap verder en zegt dat instellingen er rekening mee moeten houden dat ze systemen desnoods tijdelijk volledig moeten kunnen uitzetten om te herstellen, en dat ze zulke scenario's vooraf moeten uitwerken.

Die lijn staat niet op zichzelf. Diezelfde week verplichtte de ECB eurozone-banken om vóór 31 oktober een concreet actieplan tegen AI-gedreven cyberaanvallen in te dienen, een bindende toezichtsopdracht met een harde deadline. Het comité onderschrijft daarnaast een waarschuwing van het Europees systeemrisicocomité ESRB dat geavanceerde AI-modellen een systeemrisico voor het hele financiële stelsel vormen. De regelgevers bewegen dus dezelfde kant op.

Het hoofdkantoor van De Nederlandsche Bank in Amsterdam, de toezichthouder die het Financieel Stabiliteitscomité voorzit. (Bron: Pbech / Wikimedia Commons, CC0)
Het hoofdkantoor van De Nederlandsche Bank in Amsterdam, de toezichthouder die het Financieel Stabiliteitscomité voorzit. (Bron: Pbech / Wikimedia Commons, CC0)

De tweede zorg: afhankelijk van dezelfde buitenlandse cloud

Naast de dreiging zelf wijst het comité op een structureel probleem: veel financiële instellingen leunen op dezelfde, vaak niet-Europese techleveranciers. Die concentratie maakt het stelsel kwetsbaar, want een storing of aanval bij één grote leverancier raakt in één klap een groot deel van de sector. Het comité noemt ketenafhankelijkheden en de leuning op kritieke derde partijen expliciet als systeemrisico en dringt aan op sterkere Europese digitale autonomie.

Dat sluit aan op een beweging die al loopt. De Nederlandse staat zet inmiddels harde instrumenten in om zijn afhankelijkheid van Amerikaanse tech af te bouwen, van een geblokkeerde overname van de DigiD-leverancier tot een eigen soevereine overheidscloud. Waar soevereiniteit eerst vooral een politiek ideaal was, wordt het nu een inkoop- en toezichtseis.

Waar dit heen wijst

De verklaring bevat geen harde deadline en geen boetes, anders dan de bindende ECB-opdracht. De richting is wel onmiskenbaar: toezichthouders behandelen AI niet langer als een kans die je er los bij pakt, maar als een risico dat je moet kunnen beheersen. De volgende vergadering van het comité staat gepland voor 13 november.

Voor wie geen bank is, is de boodschap alsnog bruikbaar. De twee vragen die het comité aan de sector stelt, kun je vandaag op je eigen bedrijf loslaten: kun je snel genoeg patchen als een lek binnen uren een aanval wordt, en weet je op hoeveel van dezelfde leveranciers je hele bedrijfsvoering rust. Wie nu al in kaart brengt waar zijn data draait en welke leveranciers hij echt kan vervangen, loopt niet vooruit op een hype maar op een eis die deze kant op komt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je digitale afhankelijkheden

De waarschuwing van de toezichthouders komt neer op één vraag: weet je waar je data draait en kun je verhuizen als het moet? Ik help je dat van begin tot eind in kaart brengen en oplossen, van meedenken over je architectuur tot bouwen en automatiseren, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Verken verder

Concepten

Vendor lock-inDigitale soevereiniteitRisicobeheerCyberdefensieCyberaanvallenSysteemrisicoAI-versnelde dreigingAfhankelijkheid van grote klanten

Gerelateerde artikelen

Vijf toezichthouders dringen samen aan op digitale autonomie
Nieuws
3 min

10 jul 12:25

Vijf toezichthouders dringen samen aan op digitale autonomie

Voor het eerst roepen alle vijf toezichthouders, ACM, AFM, AP, DNB en RDI, bedrijven en overheid samen op om digitale autonomie te versnellen en bij IT-inkoop overstapbaarheid af te dwingen. Wat verandert er voor jou?

DigiD-beheerder Solvinity vecht overnameverbod van de staat aan
Nieuws
4 min

6 jul 20:11

DigiD-beheerder Solvinity vecht overnameverbod van de staat aan

Solvinity, het bedrijf achter DigiD, vecht in een kort geding het verbod aan waarmee de staat zijn overname door het Amerikaanse Kyndryl blokkeerde. De zaak toont hoe eigenaarschap van digitale infrastructuur een veiligheidskwestie is geworden.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

EU-Parlement opent onderhandelingen over digitale euro met acceptatieplicht
Nieuws
4 min

11 jul 06:25

EU-Parlement opent onderhandelingen over digitale euro met acceptatieplicht

Het Europees Parlement zette met 416 stemmen het licht op groen voor onderhandelingen over de digitale euro. Vrijwel alle bedrijven moeten de munt straks accepteren, en dat raakt je kassa, checkout en boekhouding.

Politie vermoedt Nederlandse daders achter Odido-hack
Nieuws
3 min

9 jul 10:14

Politie vermoedt Nederlandse daders achter Odido-hack

De politie ziet sterke aanwijzingen dat Nederlandse criminelen achter de Odido-hack zitten, op basis van een opgenomen telefoongesprek. De inbraak begon niet met een technisch lek, maar met een oplichter aan de telefoon.

Koude acquisitie na de opt-in wet van 2026: zo leg je toestemming aantoonbaar vast in je CRM
Gids
Uitgebreide gids10 min

8 jul 13:03

Koude acquisitie na de opt-in wet van 2026: zo leg je toestemming aantoonbaar vast in je CRM

Sinds 1 juli 2026 vervalt de klantrelatie als reden om te bellen: je hebt vooraf aantoonbare toestemming nodig. Een stappenplan om opt-in vast te leggen in je CRM, je koude lijst te filteren en je acquisitie om te bouwen.