
Nieuwe geavanceerde AI-modellen veranderen de cyberbeveiliging op fundamenteel niveau. AI kan misbruikt worden om kwetsbaarheden op te sporen, aanvallen te automatiseren en veel vaker en veel grotere cyberincidenten te veroorzaken.
Het actieplan bouwt voor op het rechtskader van de EU voor AI en cyberbeveiliging. Het brengt de EU-landen, het bedrijfsleven en organisaties op EU-niveau samen om de beveiliging van onze digitale wereld te verbeteren tegen de kwetsbaarheden die geavanceerde AI met zich meebrengt.
Achtergrond
De EU beschikt over een rechtskader voor cyberbeveiliging tegen de achtergrond van nieuwe technologie, zoals AI. In de AI-verordening is bepaald dat de risico's van AI-modellen beoordeeld en beperkt moeten worden. In de gedragscode voor AI voor algemeen gebruik worden die eisen verder gespecificeerd en wordt de naleving door aanbieders van geavanceerde modellen vergemakkelijkt. Die regels gelden vanaf 2 augustus 2026.
Met de verordening cyberweerbaarheid, die eind 2027 van toepassing wordt, wordt ingebouwde beveiliging voor hardware en software verplicht. Daarnaast hebben de richtlijn netwerk- en informatiesystemen en de verordening digitale operationele veerkracht als doel de beveiliging van belangrijke sectoren zoals vervoer en energie en de financiële sector te vergroten. De verordening cybersolidariteit vergroot het vermogen in de EU om grote cyberdreigingen en -aanvallen op te sporen, zich erop voor te bereiden en erop te reageren.
AI verandert wat we onder cyberbeveiliging verstaan, en we mogen niet achterop raken. De EU beschikt over een sterke basis om haar reactievermogen aan te passen aan de kwetsbaarheden die nieuwe technologie veroorzaakt. We moeten onze bestaande mogelijkheden, netwerken en rechtskaders gebruiken en aansturen om de cyberbeveiliging te verbeteren en zo onze digitale wereld te beschermen.
Henna Virkkunen, uitvoerend vicevoorzitter voor Technologische Soevereiniteit, Veiligheid en Democratie
Voor een degelijke beveiliging is een grondig inzicht nodig in de manier waarop nieuwe technologie gebruikt, misbruikt en uitgebuit kan worden. Volgens de AI-verordening moeten geavanceerde AI-modellen geëvalueerd en risicobeperkende maatregelen zorgvuldig beoordeeld worden voordat die modellen in de EU beschikbaar worden.
Om de expertise in de EU te bevorderen, zal de Commissie een specifieke oproep doen om EU-evaluatieregelingen voor cyberbeveiliging te ontwikkelen. Die zouden naar verwachting in 2027 operationeel zijn. Dat zal de beoordeling door derden van de mogelijkheden en risico's van AI wereldwijd verbeteren en zodoende het AI-bureau helpen om als regelgever op te treden.
Europa heeft ook duidelijke en transparante voorwaarden nodig om toegang te krijgen tot de meest geavanceerde AI-systemen.
De Commissie zal samenwerken met het EU-agentschap voor cyberbeveiliging (Enisa) om een Europese blauwdruk vast te stellen voor gestructureerde toegang tot geavanceerde AI voor cyberbeveiliging. Dat zal Europese publieke en particuliere organisaties helpen om toegang tot geavanceerde AI-modellen te krijgen.
Enisa en het Gemeenschappelijk Centrum voor onderzoek van de Commissie zullen een beveiligd platform creëren om AI te testen op cyberbeveiliging, onder meer met behulp van gesimuleerde omgevingen. Dat zal kennis over het veilige gebruik van AI opleveren voor exploitanten in belangrijke sectoren, zoals financiën, energie, gezondheid, vervoer en de overheid.
De EU moet haar belangrijke infrastructuur beschermen tegen de kwetsbaarheden die voortvloeien uit het mogelijke misbruik van de nieuwe technologie.
In de cyberbeveiligingsregels van de EU is bepaald dat organisaties de cyberhygiëne, het risicobeheer en het principe van ingebouwde beveiliging moeten uitbreiden.
Ze moeten de AI gaan gebruiken die al beschikbaar is – onder andere via opensourcemodellen –,, zowel om kwetsbaarheden sneller te herkennen en op te lossen, als om cyberaanvallen te voorkomen en erop te reageren.
Om de organisaties daarbij te helpen, zal Enisa de samenwerking tussen de overheid, bedrijven en opensourcegemeenschappen in de cyberwereld ondersteunen en vergemakkelijken, onder andere met richtsnoeren, aanbevelingen, beste werkwijzen, en een campagne om belangrijke opensourcesoftware te beveiligen.
Om de Europese markt aan te moedigen om op te schalen, presenteert de Commissie de EU-wedstrijd “AI voor cyberbeveiliging”. Die wedstrijd brengt bedrijven, onderzoekers en organisaties bijeen om AI-oplossingen voor cyberbeveiliging te ontwikkelen.
De EU moet blijven investeren in haar eigen, op zichzelf staande, geavanceerde AI, door de infrastructuur van de AI- en de toekomstige gigafabrieken te gebruiken. In dat verband zou de komende Europese capaciteit voor eigen techvermogen, die in het pakket technologische soevereiniteit is aangekondigd, particuliere investeringen kunnen aantrekken om de AI-mogelijkheden in de EU op te schalen.
Actieplan voor cyberbeveiliging en AI