De Turkse president Recep Tayyip Erdoğan leidde deze week in Ankara de eerste vergadering van een nieuwe cybersecurity-raad. Het orgaan moet de digitale weerbaarheid van overheid en vitale sectoren versterken. De bijeenkomst markeert een centralere sturing van cyberveiligheid in Turkije. Dat raakt ook de Europese AI-verordening gevolgen overheid en de samenwerking met EU-landen bij incidenten en datadeling.
Turkije centraliseert cyberaanpak
Met de nieuwe raad bundelt Ankara beleid, toezicht en crisiscoördinatie rond digitale dreigingen. Het gaat om bescherming van overheidsnetwerken, telecom, energie en financiële diensten. De raad brengt ministeries, toezichthouders en grote bedrijven bij elkaar voor snellere besluitvorming. Zo wil Turkije sneller reageren op aanvallen en storingen.
De aanpak draait om vroegtijdige detectie, delen van dreigingsinformatie en duidelijke escalatielijnen. Kunstmatige intelligentie, zoals algoritmen die afwijkend netwerkgedrag opsporen, kan hier een rol spelen. Zulke systemen leren patronen herkennen in logbestanden en verkeer. Ze moeten operators helpen om incidenten sneller te zien en in te perken.
Centralisatie kan ook schuren met bestaande bevoegdheden van sectorale toezichthouders. Heldere taakverdeling blijft daarom nodig, zeker bij vitale infrastructuur. Zonder duidelijke afspraken kan vertraging optreden, juist in een crisis. De raad zal dit in procedures en oefenscenario’s moeten vastleggen.
Dreiging voor vitale infrastructuur
Ransomware, DDoS-aanvallen en ketenlekken raken steeds vaker ziekenhuizen, havens en betalingsverkeer. Zulke aanvallen leggen niet alleen IT-systemen plat, maar ook logistiek en zorgprocessen. Burgers merken dat aan vertraagde diensten, pinstoringen of uitval van digitale loketten. Herstel kost tijd en geld, en vertrouwen daalt snel.
Vitale diensten zijn onderling afhankelijk en vaak grensoverschrijdend. Luchtvaart, energiehandel en zeevaart koppelen Turkije en EU-markten direct aan elkaar. Een storing in één land kan via leveranciers of netwerken doorwerken naar de rest. Dat maakt internationale afstemming en gezamenlijke oefeningen praktisch onmisbaar.
Ook desinformatie en datadiefstal spelen mee bij hybride dreigingen. Criminelen en statelijke actoren combineren technische aanvallen met beïnvloedingscampagnes. Een betrouwbare crisiscommunicatie en transparante meldingen helpen misbruik te beperken. Dat vraagt om afspraken vooraf en eenduidige woordvoering.
Europese AI-verordening gevolgen overheid
De Europese AI-verordening (AI Act) classificeert AI-toepassingen op risico en legt plichten op, zoals risicobeheer en menselijk toezicht. AI die processen in kritieke infrastructuur aanstuurt kan onder hoge risicoregels vallen. Voor overheidsinkoop betekent dit strengere toetsing van leveranciers en modellen. Dat geldt op het moment van schrijven in fases naarmate de verordening in werking treedt.
Voor Nederlandse en Europese overheden is interoperabiliteit met buitenlandse partners belangrijk. Samenwerking met Turkije vraagt dan om transparantie over gebruikte algoritmen en data. Leveranciers die zowel in de EU als in Turkije actief zijn, zullen aan EU-eisen moeten voldoen. Denk aan documentatie, evaluaties en beveiliging van trainingsdata.
Turkije is geen EU-lid, maar bedrijven die diensten aan EU-instellingen of -bedrijven leveren vallen onder de AI Act. Dat stimuleert uitlijning van standaarden en auditpraktijken. Het verkleint de kans op knelpunten bij gezamenlijke respons of gedeelde platforms. Zo kan de nieuwe raad beter aansluiten op Europese kaders.
NIS2 stelt zwaardere eisen
De NIS2-richtlijn verplicht essentiële en belangrijke organisaties in de EU tot strenger risicobeheer en snellere meldingen. Lidstaten werken NIS2 nu om in nationale wetgeving; in Nederland wordt de Wbni herzien. Organisaties moeten incidenten binnen 24 uur signaleren en binnen 72 uur rapporteren. Ook bestuurders krijgen expliciete verantwoordelijkheden en toezicht wordt strenger.
Leveranciers buiten de EU, zoals in Turkije, krijgen vaker contractuele NIS2-eisen. Denk aan logging, versleuteling en het delen van indicatoren van compromise met CERT’s. Europese agentschappen zoals ENISA ondersteunen bij normen en oefeningen. Dat vergemakkelijkt grensoverschrijdende samenwerking bij grote incidenten.
NIS2 verplicht organisaties tot risicobeheer, snelle incidentmelding en sancties bij nalatigheid, met boetes tot ten minste 2% van de wereldwijde jaaromzet.
Voor burgers betekent dit meer focus op continuïteit van diensten en bescherming van persoonsgegevens. Dataminimalisatie en sterke authenticatie worden standaard. Inkoopteams bij overheid en vitale sectoren moeten dit borgen in contracten. Zo sluiten technische maatregelen aan op juridische plichten onder NIS2 en de AVG.
Nederlandse impact en samenwerking
Nederlandse sectoren hebben directe digitale koppelingen met Turkije, onder meer in logistiek, luchtvaart en maritieme ketens. Verstoring in één schakel kan overslaan naar havens en terminals in de EU. De nieuwe Turkse raad kan daardoor indirect effect hebben op Nederlandse continuïteit. Afstemming over testplannen en crisisoefeningen is dus waardevol.
Het Nationaal Cyber Security Centrum (NCSC-NL) en het Digital Trust Center (DTC) delen dreigingsinformatie met organisaties. Uitwisseling met buitenlandse partners verloopt via standaarden zoals STIX/TAXII. Duidelijke contactpunten aan Turkse zijde kunnen de snelheid van delen verhogen. Dat is cruciaal in de eerste uren van een aanval.
Voor Nederlandse overheden en bedrijven blijft basisweerbaarheid leidend. Denk aan offline back-ups, segmentatie, multi-factorauthenticatie en versleuteling. Deze maatregelen beperken schade, ook als leveranciers in andere landen geraakt worden. Bovendien sluiten ze aan bij de AVG en aankomende NIS2-verplichtingen.
Transparantie en mensenrechtenvragen
Een centrale cyberaanpak kan ook leiden tot meer gegevensdeling binnen de staat. Dat vraagt om duidelijke grenzen en toezicht, om privacy te waarborgen. In Turkije geldt de privacywet KVKK, vergelijkbaar met de Europese AVG. Heldere logging en onafhankelijke audits helpen om bevoegdheden te controleren.
Voor EU-partners spelen regels voor internationale doorgifte van data. Zonder adequaatheidsbesluit zijn aanvullende waarborgen nodig, zoals standaardcontractbepalingen en technische versleuteling. Dat voorkomt onrechtmatige toegang tot persoonsgegevens. Het verkleint ook juridische risico’s voor Europese instellingen.
Transparantie over incidentcijfers en geleerde lessen versterkt publiek vertrouwen. Publicatie van standaarden en evaluaties maakt toetsing mogelijk. Zo blijft de balans tussen veiligheid en grondrechten in beeld. Dat is essentieel voor duurzame internationale samenwerking in cyberbeveiliging.
