AI Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Compliance-platform Samenwerken LinkedIn NL·EN·DE
Wegwijzer

De AI Act voor de CISO: artikel 15, NIS2 en de CRA

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

De AI Act stelt in artikel 15 eisen aan nauwkeurigheid, robuustheid en cyberbeveiliging van hoogrisico-AI. Voor de CISO komt dit boven op NIS2 en de Cyber Resilience Act. Dit overzicht legt de samenloop uit en wat security-teams concreet moeten regelen.

Kort antwoord: De AI Act maakt cyberbeveiliging een wettelijke eis voor hoogrisico-AI. Artikel 15 verlangt dat deze systemen nauwkeurig, robuust en veilig zijn tegen aanvallen die specifiek op AI gericht zijn. Voor de CISO stapelt dit op bestaande regimes: NIS2 voor de organisatie en de Cyber Resilience Act voor producten met digitale elementen. Eén beveiligingsaanpak, drie wettelijke kapstokken.

Wat artikel 15 vraagt

Artikel 15 van de AI Act bepaalt dat hoogrisico-AI een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging moet halen — en dat consistent over de hele levenscyclus. Het bijzondere is dat het ook AI-specifieke aanvallen benoemt:

  • Data poisoning — manipulatie van trainingsdata.
  • Model poisoning — manipulatie van het model zelf.
  • Adversarial examples — invoer die het model bewust misleidt.
  • Model evasion en confidentiality attacks — omzeilen of uitlekken van het model.

Dit zijn risico's die een klassieke perimeterbeveiliging niet afdekt. Ze vragen om controles op data-integriteit, modelmonitoring en weerbaarheidstests.

Samenloop met NIS2

NIS2 verplicht essentiële en belangrijke entiteiten tot risicomanagement, beveiligingsmaatregelen en een meldplicht voor incidenten. Waar de AI Act inzoomt op het AI-systeem, kijkt NIS2 naar de hele organisatie en keten. Een AI-incident kan onder beide meldplichten vallen. Stem incidentprocessen daarom op elkaar af, zodat één gebeurtenis niet leidt tot tegenstrijdige of dubbele meldingen.

Samenloop met de CRA

De Cyber Resilience Act stelt beveiligingseisen aan producten met digitale elementen gedurende hun hele levensduur, inclusief kwetsbaarhedenbeheer en updates. AI-systemen die als product op de markt komen, raken zowel de CRA als de AI Act. Het goede nieuws: de eisen sluiten grotendeels op elkaar aan rond secure-by-design en lifecycle-beveiliging.

Eén aanpak, meerdere kapstokken

Probeer niet drie aparte programma's te bouwen. Breid je bestaande informatiebeveiligingsbeheersysteem uit met AI-specifieke controles en koppel het aan het bredere governance-raamwerk. De CISO levert het security-deel van de AI Act-conformiteit; het productteam en de DPO leveren de rest.

Wat te doen

  • Inventariseer welke AI-systemen hoogrisico zijn — zie hoogrisico-verplichtingen.
  • Breid je risicobeoordeling uit met AI-specifieke dreigingen (poisoning, adversarial, evasion).
  • Implementeer modelmonitoring en data-integriteitscontroles.
  • Test de robuustheid met red-teaming en adversarial testing.
  • Harmoniseer incidentprocessen over AI Act, NIS2 en CRA.
  • Documenteer de getroffen beveiligingsmaatregelen als onderdeel van de technische documentatie.

Voor de CISO is de AI Act geen nieuw vakgebied maar een nieuwe scope. De aanvalstechnieken zijn anders; de discipline van inventariseren, beschermen, detecteren en reageren blijft hetzelfde.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): artikel 15 over nauwkeurigheid, robuustheid en cyberbeveiliging van hoogrisico-AI.
  2. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2): cyberbeveiligingsverplichtingen en meldplicht voor essentiële en belangrijke entiteiten.

Deel op LinkedIn

Lees ook

W

Nauwkeurigheid, robuustheid en cyberbeveiliging: artikel 15 van de AI Act

Artikel 15 eist dat hoogrisico-AI een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging haalt over de hele levensduur. Het systeem moet bestand zijn tegen fouten, storingen en aanvallen zoals data poisoning en adversarial input. Dit artikel legt uit wat dat betekent.

A

AI beveiligen in kritieke infrastructuur: waar AI Act, Cyber Resilience Act en NIS2 samenkomen

Eén AI-systeem in een haven valt vaak onder drie kaders tegelijk: de AI Act (art. 15) beveiligt het AI-systeem zelf, de Cyber Resilience Act het product, en NIS2 verplicht de exploitant als essentiële entiteit. Dit stuk legt uit hoe ze samenkomen en wie waarvoor verantwoordelijk is.

U

AI in de energiesector: kritieke infrastructuur en NIS2

AI die het beheer of de werking van energievoorziening aanstuurt, kan onder de AI Act hoogrisico zijn (bijlage III, kritieke infrastructuur). Tegelijk valt de energiesector onder NIS2 voor cyberbeveiliging. Twee regimes met deels overlappende eisen aan robuustheid en toezicht.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.