Het Financieel Stabiliteitscomité, waarin De Nederlandsche Bank, de AFM en het ministerie van Financiën zitten, waarschuwt dat geavanceerde AI-modellen bestaande kwetsbaarheden sneller, goedkoper en op grotere schaal misbruikbaar maken. Het comité roept financiële instellingen op hun cyberweerbaarheid direct aan te scherpen.
Dat is geen abstracte technologiewaarschuwing. Een Nederlandse toezichthouder benoemt AI-cyberdreiging hier als een risico voor de stabiliteit van het hele financiële stelsel, met concrete verwachtingen aan het adres van banken, verzekeraars en pensioenfondsen. Lever je software of diensten aan zo'n instelling, dan schuiven die eisen via contracten en audits jouw kant op. En de tweede zorg van het comité, de leuning op een handvol niet-Europese cloudleveranciers, raakt vrijwel elk bedrijf dat op dezelfde providers draait.
AI verkort de tijd tussen lek en aanval
De kern van de waarschuwing gaat over snelheid. AI-modellen kunnen kwetsbaarheden in software sneller vinden en goedkoper uitbuiten, waardoor de tijd tussen het ontdekken van een lek en een werkende aanval in elkaar schuift. Het comité ziet dat als een blijvende verschuiving in het dreigingslandschap, niet als een tijdelijk fenomeen rond één tool.
Wat het van instellingen vraagt is concreet: pas het risicobeheer aan op AI-gedreven dreigingen, spoor kwetsbaarheden eerder op en herstel sneller. Het comité gaat een stap verder en zegt dat instellingen er rekening mee moeten houden dat ze systemen desnoods tijdelijk volledig moeten kunnen uitzetten om te herstellen, en dat ze zulke scenario's vooraf moeten uitwerken.
Die lijn staat niet op zichzelf. Diezelfde week verplichtte de ECB eurozone-banken om vóór 31 oktober een concreet actieplan tegen AI-gedreven cyberaanvallen in te dienen, een bindende toezichtsopdracht met een harde deadline. Het comité onderschrijft daarnaast een waarschuwing van het Europees systeemrisicocomité ESRB dat geavanceerde AI-modellen een systeemrisico voor het hele financiële stelsel vormen. De regelgevers bewegen dus dezelfde kant op.

De tweede zorg: afhankelijk van dezelfde buitenlandse cloud
Naast de dreiging zelf wijst het comité op een structureel probleem: veel financiële instellingen leunen op dezelfde, vaak niet-Europese techleveranciers. Die concentratie maakt het stelsel kwetsbaar, want een storing of aanval bij één grote leverancier raakt in één klap een groot deel van de sector. Het comité noemt ketenafhankelijkheden en de leuning op kritieke derde partijen expliciet als systeemrisico en dringt aan op sterkere Europese digitale autonomie.
Dat sluit aan op een beweging die al loopt. De Nederlandse staat zet inmiddels harde instrumenten in om zijn afhankelijkheid van Amerikaanse tech af te bouwen, van een geblokkeerde overname van de DigiD-leverancier tot een eigen soevereine overheidscloud. Waar soevereiniteit eerst vooral een politiek ideaal was, wordt het nu een inkoop- en toezichtseis.
Waar dit heen wijst
De verklaring bevat geen harde deadline en geen boetes, anders dan de bindende ECB-opdracht. De richting is wel onmiskenbaar: toezichthouders behandelen AI niet langer als een kans die je er los bij pakt, maar als een risico dat je moet kunnen beheersen. De volgende vergadering van het comité staat gepland voor 13 november.
Voor wie geen bank is, is de boodschap alsnog bruikbaar. De twee vragen die het comité aan de sector stelt, kun je vandaag op je eigen bedrijf loslaten: kun je snel genoeg patchen als een lek binnen uren een aanval wordt, en weet je op hoeveel van dezelfde leveranciers je hele bedrijfsvoering rust. Wie nu al in kaart brengt waar zijn data draait en welke leveranciers hij echt kan vervangen, loopt niet vooruit op een hype maar op een eis die deze kant op komt.
Veelgestelde vragen
Grip op je digitale afhankelijkheden
De waarschuwing van de toezichthouders komt neer op één vraag: weet je waar je data draait en kun je verhuizen als het moet? Ik help je dat van begin tot eind in kaart brengen en oplossen, van meedenken over je architectuur tot bouwen en automatiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
