De Belgische politica Ponthier waarschuwt dat cybercriminaliteit niet stopt aan de grens. In Brussel pleit zij deze week voor snellere Europese samenwerking tussen politie, justitie en toezichthouders. Criminelen gebruiken generatieve AI en werken vanuit meerdere landen tegelijk. Dat maakt de gevolgen voor overheid en bedrijven — ook onder de Europese AI-verordening en NIS2 — direct voelbaar.
Grenzen bieden geen bescherming
Aanvallen op gemeenten, ziekenhuizen en mkb-bedrijven komen vaak van over de grens. Infrastructuur voor phishing, ransomware en deepfakes staat verspreid over verschillende landen en cloudproviders. Criminelen gebruiken publiek beschikbare modellen, zoals GPT-4, Gemini en open-source Llama, om overtuigende teksten, stemmen en beelden te maken.
Voor Nederlandse en Belgische organisaties lijkt een aanval soms ver weg, maar leveranciers en IT-diensten zitten vaak buiten de landsgrenzen. Een lek bij een externe softwarepartner kan zo toch lokaal grote schade veroorzaken. Dit heet een keten- of supply‑chainrisico.
Opsporing botst bovendien op juridische grenzen. Verzoeken om gegevens of inbeslagname via meerdere landen kosten tijd. Cyberbendes maken daar misbruik van door snel servers te verplaatsen of nieuwe domeinen te registreren.
Snellere Europese samenwerking nodig
Ponthier vraagt om praktische versnelling, niet alleen nieuwe plannen. Real‑time delen van dreigingsinformatie via ENISA, het CSIRT‑netwerk en Europol EC3 moet standaard worden. Gezamenlijke onderzoeksteams via Eurojust kunnen sneller digitale sporen veiligstellen.
Voor de Benelux ligt nauwere afstemming voor de hand. Politie en justitie in Nederland, België en Luxemburg werken al samen, maar uitwisseling van data en forensische tooling kan nog sneller. Sectorale samenwerkingsverbanden, zoals de ISAC’s van het NCSC in Nederland en de CCB‑netwerken in België, helpen organisaties om vroeg te waarschuwen.
Ook cloud- en hostingbedrijven spelen een sleutelrol. Snelle “takedowns” van malafide infrastructuur vragen duidelijke juridische kaders en vaste contactpunten. Transparante procedures verkorten de tijd tussen melding en actie.
NIS2 verandert de lat
De Europese NIS2-richtlijn verhoogt de eisen voor cyberweerbaarheid van essentiële en belangrijke entiteiten. Op het moment van schrijven moeten lidstaten NIS2 uiterlijk op 17 oktober 2024 omzetten in nationale wetgeving. Zorg, energie, vervoer, overheid en digitale dienstverleners vallen dan onder strengere regels voor risicobeheer, ketenbeveiliging en meldplichten.
Nederland werkt aan de Cybersecuritywet (implementatie van NIS2) en België scherpt de NIS‑regelgeving aan via het Centrum voor Cybersecurity België (CCB). Organisaties moeten onder meer multifactor-authenticatie, versleuteling en leverancierscontroles aantoonbaar op orde hebben. Datalekken en grote incidenten kennen vaste termijnen voor melding.
NIS2 introduceert drie stappen voor incidentmelding: een vroege waarschuwing binnen 24 uur, een eerste rapport binnen 72 uur en een eindrapport binnen 1 maand.
AI-verordening raakt opsporing
De Europese AI‑verordening (AI Act) is sinds 2024 van kracht en geldt stapsgewijs vanaf 2025–2026. Toepassingen voor handhaving en grensbewaking vallen vaak in de hoge risicoklasse. Dat betekent eisen aan risicobeheer, datakwaliteit, menselijk toezicht en registratie.
Sommige toepassingen, zoals manipulatieve systemen of ongerichte gezichtsherkenning in openbare ruimten, worden sterk beperkt of verboden. Voor elke verwerking van persoonsgegevens blijft de AVG leidend, met principes als dataminimalisatie en doelbinding. Opsporingsdiensten moeten dus snelheid combineren met juridische zorgvuldigheid.
Bedrijven die AI inzetten voor fraudedetectie vallen ook onder de AI‑verordening, afhankelijk van het risico. Transparantie richting klanten en duidelijke documentatie van modellen en datasets worden verplicht. Dit vermindert juridische onzekerheid bij grensoverschrijdende samenwerking.
Praktische stappen voor nu
Begin met basismaatregelen die aantoonbaar werken: inventaris van systemen, tijdig patchen, multifactor-authenticatie en netwerksegmentatie. Maak offline back‑ups en test regelmatig of terugzetten echt lukt. Voer DMARC, SPF en DKIM in om e‑mailfraude te beperken.
Regel incidentrespons met duidelijke draaiboeken en oefen met ketenpartners. Sluit aan bij waarschuwingskanalen zoals het NCSC en de Digital Trust Center (Nederland) of het CCB (België). Leg contact met lokale politie en CERT’s voor snelle escalatie.
Train medewerkers op AI‑gestuurde fraude, zoals spraakklonen en deepfake‑video’s. Werk met het vier‑ogen‑principe bij betalingen en verifieer verzoeken via een bekend nummer. Neem in contracten met leveranciers NIS2‑eisen op over beveiliging, logging en meldplicht.
