Wat Brussel werkelijk op tafel legde

Op 7 juli 2026 presenteerde de Europese Commissie haar actieplan over cyberbeveiliging en kunstmatige intelligentie, en het deel dat er voor operators toe doet is stil maar structureel. De AI-verordening vereist al dat geavanceerde AI-modellen worden beoordeeld en hun risico's ingeschat voordat ze op de EU-markt komen. De Commissie zegt nu dat ze helpt een Europese beoordelingscapaciteit op te bouwen om de onafhankelijke toetsing door derden te versterken van wat deze modellen kunnen en waar ze riskant zijn, in directe steun aan het AI-Bureau, het orgaan waarvan de handhavingsbevoegdheden op 2 augustus 2026 ingaan.

Daarnaast gaan het EU-Agentschap voor cyberbeveiliging en het Gemeenschappelijk Centrum voor Onderzoek van de Commissie voor eind 2026 een veilig platform opzetten om AI op cyberbeveiliging te testen met behulp van gesimuleerde omgevingen. De Commissie wil ook een Europees raamwerk voor gestructureerde toegang tot geavanceerde AI-capaciteiten voor defensie. Samen gelezen zijn dit geen vage ambities: het is de machinerie voor een wereld waarin een model door overheidsinstanties wordt onderzocht voordat, en nadat, het de bedrijven bereikt die het gaan draaien.

Waarom dit eerst bij kritieke sectoren landt

Het plan noemt zijn eerste publiek onomwonden: financiën, energie, gezondheid, vervoer en openbaar bestuur. Het veilige testplatform is precies voor die operators gebouwd, zodat ze kunnen zien hoe een model zich gedraagt in cyberbeveiligingsgebruik voordat ze het in productie vertrouwen. Dat is echt nuttig: een overheidsplek om AI in een gesimuleerde omgeving te testen, kan geen enkele middelgrote operator alleen bouwen. Maar een referentieplatform stelt ook een referentienorm, en zodra die bestaat, gaat AI gebruiken zonder het tegen die norm te hebben getoetst eruitzien als een keuze die je moet verdedigen.

De toegangsvraag is nog scherper. Een raamwerk voor gestructureerde toegang tot geavanceerde AI bepaalt wie de sterkste modellen voor defensie mag gebruiken, en onder welke voorwaarden. Voor een Europese operator betekent dat dat de krachtigste tools met voorwaarden kunnen komen - toetsing, documentatie, sectorregels - in plaats van een simpele licentie. Het voordeel is een gedeelde ondergrens van veiligheid; de prijs is dat in een kritieke sector uw modelkeuze niet langer alleen een inkoopbeslissing is. Het NCSC-NL en het nationale toezicht zullen deze norm naar de praktijk vertalen.

Het model waarop u leunt heeft misschien twee overheden nodig

Zet dit naast wat in Washington al gebeurt. De Verenigde Staten testen hun eigen geavanceerde modellen nu voor de release via een apart beoordelingsorgaan, en Europa bouwt dezelfde capaciteit aan zijn kant van de Atlantische Oceaan. Een bedrijf dat zijn product op een toonaangevend model bouwt, kan binnenkort merken dat dat model beoordelaars in twee rechtsgebieden moet overtuigen voordat het is vrijgegeven, en dat een vertraging of beperking in een van beide op uw roadmap belandt, niet op die van de leverancier.

De praktische zet is niet wachten tot augustus. Breng in kaart welke van uw AI-toepassingen de hoogrisico- of kritieke-sectorcategorieën raken waar de verordening om geeft, want daar komen beoordeling, documentatie en toegangsvoorwaarden het eerst. Weet of de modellen waarop u vertrouwt degene zijn die toezichthouders onder de loep nemen, en houd een alternatief in gedachten. Bedrijven die hun blootstelling begrijpen voordat het AI-Bureau zijn bevoegdheden gaat gebruiken, passen zich in hun eigen tempo aan; wie aanneemt dat er niets verandert tot het hun wordt gezegd, past zich aan in het tempo van een ander.