Wat de Commissie echt aankondigde
Op 7 juli 2026 presenteerde de Europese Commissie haar actieplan over cyberbeveiliging en kunstmatige intelligentie, en uitvoerend vicevoorzitter Henna Virkkunen zei het onomwonden, dat AI de betekenis van cyberbeveiliging verandert en de Unie moet bijblijven. Opvallend is wat het plan niet bevat, geen nieuwe wet. In plaats daarvan bevordert het de uitvoering van al geldende regels, de NIS2-richtlijn, de Cyber Resilience Act en de AI-verordening. Er zitten drie concrete zetten in, een EU-evaluatiecapaciteit voor de vermogens en risico s van geavanceerde AI-modellen, een Europees blauwdruk en een met het EU-cyberagentschap ENISA gebouwd veilig testplatform zodat kritieke sectoren AI zonder gevaar beproeven, en een EU Grand Challenge die onderzoek en bedrijven financiert voor AI-gedreven verdediging. Het leest minder als een regelboek en meer als een besluit over waar Europa zelf de handen aanlegt.
Waarom het plan een eigen toetscapaciteit bouwt
Het zwaartepunt is de EU-evaluatiecapaciteit. De AI-verordening eist al dat geavanceerde modellen voor de markt op risico worden getoetst, en het plan zegt dat Europa de onafhankelijke toetsing zal versterken in plaats van te aanvaarden dat een aanbieder zijn eigen huiswerk nakijkt. Dat is evenzeer een uitspraak over soevereiniteit als over veiligheid, want de meeste topmodellen zijn Amerikaans en Europa wil niet afhangen van de laboratoria die ze bouwen om te bevestigen dat ze veilig zijn. Het veilige testplatform trekt dezelfde logica door naar operatoren en geeft banken, ziekenhuizen en netbeheerders een gecontroleerde plek om geavanceerde AI te proberen zonder productiesystemen bloot te stellen. En de timing weegt, want vanaf 2 augustus 2026 krijgt de Commissie haar handhavingsbevoegdheden over AI voor algemene doeleinden, inclusief het recht om informatie en maatregelen van aanbieders te eisen. Het plan is de steiger die net voor die datum omhoog gaat.
Wat een operator eraan heeft
Deze week landt er niets nieuws op uw compliancetafel, en juist dat is de kern om te verinnerlijken. Uw verplichtingen onder NIS2 en de Cyber Resilience Act veranderen niet, maar zitten nu in een uitgesproken AI-dreigingskader, want dezelfde modellen die uw rapporten opstellen kunnen ook verkenning automatiseren, aanvalscode schrijven en een inbraak sneller laten escaleren dan een menselijk team reageert. Runt u een dienst in een kritieke sector, reken er dan op dat het veilige testplatform de officiele route wordt om een AI-inzet te bewijzen voordat die gereguleerde workloads raakt, en reken erop dat uw nationale autoriteit, in Nederland het NCSC, de blauwdruk vertaalt naar richtsnoeren waarop u wordt afgerekend. De handeling is geen papierwerk, het is tempo, want een verdediging afgesteld op menselijke aanvallers staat nu tegenover machinale.
Lees hierna: 29 jaar oude Squid-fout lekt logins in leesbare tekst | Deze malware wist eerst je back-ups



