AI Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Compliance-platform Samenwerken LinkedIn NL·EN·DE
Uitleg

AI en cybersecurity: de samenloop van de Cyber Resilience Act en de AI Act

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

AI-producten moeten veilig én cyberweerbaar zijn. De Cyber Resilience Act stelt beveiligingseisen aan producten met digitale elementen, terwijl de AI Act cybersecurity verlangt van hoogrisico-systemen — twee kaders die op één product samenkomen.

Kort antwoord: Een AI-product moet niet alleen veilig functioneren, maar ook bestand zijn tegen aanvallen. De Cyber Resilience Act (CRA, Verordening (EU) 2024/2847) stelt cybersecurity-eisen aan vrijwel alle producten met digitale elementen. De AI Act eist daarnaast een passend niveau van cybersecurity voor hoogrisico-AI-systemen (artikel 15). Beide kaders kunnen op hetzelfde product van toepassing zijn.

Wat de Cyber Resilience Act regelt

De CRA is een horizontaal kader: het geldt voor producten met digitale elementen, van software tot verbonden apparaten. Kernverplichtingen zijn:

  • Security by design: producten worden ontworpen en geleverd zonder bekende exploiteerbare kwetsbaarheden.
  • Kwetsbaarhedenbeheer: fabrikanten leveren beveiligingsupdates gedurende een ondersteuningsperiode.
  • Meldplicht: actief misbruikte kwetsbaarheden en ernstige incidenten worden gemeld.

Veel AI-systemen worden geleverd als of binnen zulke producten en vallen daarmee onder de CRA.

De eisen gelden gedurende de hele levenscyclus, niet alleen bij de eerste verkoop. Een fabrikant moet kwetsbaarheden blijven monitoren en patches uitrollen zolang het product wordt ondersteund. Dat sluit aan op de gedachte dat veiligheid een doorlopende verplichting is, geen eenmalige test.

Wat de AI Act eist

De AI Act benadert cybersecurity vanuit het risico van het AI-systeem zelf. Artikel 15 verlangt dat hoogrisico-systemen een passend niveau van nauwkeurigheid, robuustheid en cybersecurity hebben.

Daarbij horen AI-specifieke dreigingen: data poisoning (het vergiftigen van trainingsdata), adversarial attacks (misleidende invoer) en model evasion. Dit zijn risico's die een klassieke beveiligingsaanpak niet vanzelf afdekt.

Een aanvaller hoeft de software niet te kraken om een AI-systeem te ondermijnen; het manipuleren van invoer of trainingsdata kan al genoeg zijn om foute uitkomsten te forceren. Daarom verlangt de AI Act dat robuustheid en cybersecurity al in het ontwerp worden meegenomen.

Eén product, twee conformiteitssporen

De grote uitdaging is overlap zonder dubbel werk. De CRA en de AI Act streven beide naar veilige producten, maar vanuit een ander vertrekpunt: de CRA generiek, de AI Act AI-specifiek. De wetgever heeft afstemming beoogd, zodat een product dat aan beide moet voldoen niet twee volledig losse trajecten hoeft te doorlopen.

In de praktijk betekent dit: één risicobeoordeling die beide invalshoeken dekt, gekoppeld aan de juiste transparantie en documentatie. Net als bij duurzaamheidsrapportage loont het om kaders te bundelen in plaats van parallel te draaien.

Wat te doen

  • Breng beide kaders in kaart: valt je product onder de CRA, de AI Act, of allebei?
  • Pas security by design toe: lever zonder bekende exploiteerbare kwetsbaarheden.
  • Adresseer AI-specifieke dreigingen: test op data poisoning en adversarial attacks.
  • Richt kwetsbaarheden- en meldproces in conform de CRA.
  • Integreer de risicobeoordelingen van CRA en AI Act tot één samenhangend traject.

Cyberweerbaarheid is geen losse laag boven AI, maar onderdeel van de robuustheid die beide kaders eisen.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/2847/oj
    Verordening (EU) 2024/2847 (Cyber Resilience Act); horizontale cybersecurity-eisen voor producten met digitale elementen.
  2. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act); art. 15 verlangt een passend niveau van cybersecurity voor hoogrisico-AI-systemen.

Deel op LinkedIn

Lees ook

A

AI beveiligen in kritieke infrastructuur: waar AI Act, Cyber Resilience Act en NIS2 samenkomen

Eén AI-systeem in een haven valt vaak onder drie kaders tegelijk: de AI Act (art. 15) beveiligt het AI-systeem zelf, de Cyber Resilience Act het product, en NIS2 verplicht de exploitant als essentiële entiteit. Dit stuk legt uit hoe ze samenkomen en wie waarvoor verantwoordelijk is.

W

De EU-conformiteitsverklaring onder de AI Act (artikel 47)

De EU-conformiteitsverklaring is de schriftelijke verklaring waarmee de aanbieder zelf bevestigt dat een hoogrisico-AI-systeem aan de AI Act voldoet. Artikel 47 schrijft inhoud, taal en bewaring voor; de aanbieder draagt er de volledige verantwoordelijkheid voor.

W

Plichten van de distributeur onder de AI Act (artikel 24)

Een distributeur levert een hoogrisico-AI-systeem door zonder aanbieder of importeur te zijn. Artikel 24 vraagt een lichtere maar reële controle: nagaan of CE-markering, conformiteitsverklaring en documentatie aanwezig zijn, en niet doorleveren bij twijfel.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.