De Europese Commissie roept organisaties op om AI in te zetten voor het vinden en verhelpen van kwetsbaarheden. Cyberagentschap ENISA en het Joint Research Centre zijn bezig met de ontwikkeling van een veilig testplatform met gesimuleerde omgevingen. Ook komt er een EU Grand Challenge en een blauwdruk voor toegang tot geavanceerde AI-modellen.
De Commissie heeft het Action Plan on Cybersecurity and Artificial Intelligence gepresenteerd. Het doel is een gestructureerde aanpak te bieden voor de cyberbeveiligingsrisico’s en -kansen van geavanceerde AI-modellen. Die modellen veranderen het speelveld namelijk in rap tempo en daar moet wel tijdig op worden geanticipeerd.
“AI kan worden misbruikt om kwetsbaarheden te vinden, aanvallen te automatiseren en de omvang en snelheid van cyberincidenten in een ongekend tempo te vergroten”, stelt Brussel. Juist daarom moet AI-kennis zich volgens de Commissie ook binnen de EU ontwikkelen.
Testen in gesimuleerde omgevingen
ENISA en het Joint Research Centre van de Commissie ontwikkelen dus een veilig platform om AI voor cybersecurity te testen. De kennis die daaruit voortvloeit moet terechtkomen bij operators in kritieke sectoren zoals financiën, energie, zorg, transport en de overheid.
Daarnaast werkt de Commissie samen met ENISA aan een Europese blauwdruk voor gestructureerde toegang tot geavanceerde AI-capaciteiten. Ook wordt er een aparte evaluatiecapaciteit opgezet, die naar verwachting in 2027 operationeel is en de toezichtsrol van het AI Office versterkt.
Grand Challenge en open source
Om de Europese markt op te schalen, heeft de Commissie ook een EU Grand Challenge on AI for cybersecurity-wedstrijd in het leven geroepen. Die moet bedrijven, onderzoekers en organisaties bijeenbrengen om AI-oplossingen te ontwikkelen. Verder roept Brussel op tot betere cyberhygiëne, risicomanagement en ‘security by design’.
Organisaties zouden daarbij ook reeds beschikbare AI-capaciteit moeten inzetten, inclusief open-source modellen. Dit om kwetsbaarheden sneller te vinden en op cyberaanvallen te reageren. ENISA komt met richtlijnen en een campagne om kritieke open-source software te beveiligen.
Onderdeel van breder EU-beleid
Het plan past in een reeks Europese initiatieven. Zo trok de Commissie eerder 1,3 miljard euro uit voor AI, cyberveiligheid en cloud via het Digitaal Europa-programma. Ook kwam Brussel met een Digital Omnibus om digitale regelgeving te versimpelen, met onder meer één centraal meldpunt voor datalekken.
De juridische basis is grotendeels aanwezig. De handhaving van de AI Act-bepalingen voor geavanceerde modellen start op 2 augustus 2026. De Cyber Resilience Act, die ‘security by design’ verplicht voor hardware en software, geldt vanaf eind 2027. Daarnaast blijven NIS2, DORA en de Cyber Solidarity Act van kracht.
De impact voor de IT-beslisser
Dit actieplan is voor IT-beslissers en CISO’s het startschot om AI definitief te integreren in de cybersecuritystrategie. De Europese Commissie waarschuwt dat aanvallers AI inzetten om kwetsbaarheden sneller te vinden. Organisaties kunnen en mogen dus niet achterblijven en defensieve AI-tooling wordt een randvoorwaarde.
Concreet moeten IT-directors nu investeren in de AI-kennis van hun securityteams. Ook wordt security-by-design cruciaal bij de inkoop van software, anticiperend op de Cyber Resilience Act. Gelukkig biedt het plan ook kansen. Dankzij veilige, Europese testomgevingen en open-source AI-modellen krijgen ook mid-market organisaties toegang tot geavanceerde capaciteiten. Zo kunnen zij hun code en infrastructuur proactief scannen op kwetsbaarheden, zonder de hoofdprijs te betalen voor commerciële licenties.
De strakke timing dwingt daarnaast tot direct handelen op het gebied van governance. IT-beslissers in sectoren als de zorg of finance moeten hun risicomanagement nu al herzien. Hoe blijft de veiligheid gewaarborgd van de AI-modellen die de organisatie zelf gebruikt? En hoe sluiten de nieuwe Europese meldpunten aan op bestaande NIS2- of DORA-processen? Wie nu al anticipeert op de blauwdrukken en ENISA-richtlijnen, voorkomt immers dat security een remmer wordt voor AI-innovatie.