Europese banken en securitybedrijven zien 2026 als omslagjaar in cybercrime. Aanvallers werken dan steeds meer volgens een industrieel model en zetten autonome AI-agents in. Dat vergroot risico’s voor Nederland, met gevolgen voor banken, bedrijfsleven en overheid. Nieuwe regels zoals DORA en de Europese AI-verordening (AI Act) bepalen tegelijk de spelregels en gevolgen voor overheid en financiële instellingen.
Criminaliteit wordt industrieel
Cybercriminaliteit verschuift naar een fabriekmodel met duidelijke rollen en ketens. Diensten als ‘ransomware‑as‑a‑service’ en kant‑en‑klare phishingkits maken aanvallen goedkoop en schaalbaar. Tussenpersonen verkopen al toegang tot gehackte netwerken, wat de drempel voor nieuwe daders verlaagt. Dit vergroot de druk op banken en hun toeleveranciers in heel Europa.
Die industrialisering betekent ook kwaliteitscontrole en “servicelevels” aan de criminele kant. Aanvallen worden consistenter en sneller herhaalbaar, met geautomatiseerde tooling voor speurwerk en misbruik. Daardoor kan één lek bij een cloudleverancier of softwarepartij veel organisaties tegelijk raken. Leveranciersrisico wordt daarmee een centraal thema voor financiële instellingen.
Kleinere bedrijven in de keten worden aantrekkelijker doelwit. Ze hebben vaak minder beveiligingsbudget, maar wel toegang tot kritieke systemen van grotere organisaties. Dat creëert een route om banken te raken via boekhoudsoftware, IT‑dienstverleners of klantenportalen. NIS2 versterkt daarom de eisen aan toeleveranciers in essentiële sectoren.
AI-agents versnellen aanvallen
AI‑agents zijn softwareprogramma’s die zelfstandig taken uitvoeren en beslissingen nemen. In de aanvalsfase kunnen ze publiek beschikbare informatie doorzoeken, phishingberichten personaliseren en zwakke plekken testen. Met goedkope cloudrekenkracht is zo’n agent continu actief en leert hij van feedback. Dat maakt aanvallen sneller, gerichter en moeilijker te blokkeren.
Social engineering krijgt daarbij een turbo. Deepfake‑stem en video helpen bij helpdeskfraude en CEO‑fraude, vooral in internationale ketens. AI kan ook automatisch inlogs proberen, logs doorploegen en laterale beweging voorbereiden. De combinatie van schaal, snelheid en personalisatie is de kern van het nieuwe risico.
Verdedigers gebruiken eveneens algoritmen om verdachte patronen te herkennen. Security‑teams automatiseren triage van incidenten en opschoning van systemen. Toch blijft menselijk toezicht nodig om fouten en vooroordelen in modellen te beperken. Zonder duidelijke governance kan een defensief model zelf een nieuw aanvalsvlak openen.
Definitie: een AI‑agent is een systeem dat zelfstandig doelen nastreeft, acties uitvoert en leert van feedback, zonder constante menselijke sturing.
AI-verordening raakt banken
De Europese AI‑verordening legt vanaf 2026 zware plichten op aan hoog‑risicomodellen. Denk aan algoritmen voor kredietbeoordeling, biometrische verificatie en risicoscoring bij onboarding. Banken moeten dan risicobeheer, datakwaliteit, logging en menselijk toezicht aantoonbaar op orde hebben. Dat raakt zowel interne systemen als ingekochte AI‑diensten.
AVG‑regels blijven tegelijk leidend voor persoonsgegevens. Dataminimalisatie, versleuteling en een duidelijke grondslag zijn nodig, ook bij modeltraining en hergebruik van data. Voor fraudebestrijding is belangenafweging mogelijk, maar alleen met strikte beveiliging en proportionaliteit. Zonder transparantie over datastromen dreigt juridische onzekerheid en boeterisico.
Generatieve modellen vragen extra aandacht voor output‑risico’s en herleidbaarheid. Banken zullen beleidskaders moeten inrichten voor promptbeheer, audittrails en mens‑in‑the‑loop. Leverancierscontracten moeten AI‑Act‑conformiteit borgen, inclusief toegestane doeleinden en update‑beheer. Toezichthouders zoals DNB en de EBA zullen hier op het moment van schrijven steeds strenger op toetsen.
DORA en NIS2 vergen bewijs
De EU‑verordening DORA geldt op het moment van schrijven al voor de financiële sector. Zij verplicht aantoonbaar ICT‑risicobeheer, incidentrapportage en tests zoals threat‑led penetration testing. Ook derde‑partijrisico krijgt zwaardere eisen, van due diligence tot exit‑scenario’s. NIS2 versterkt dit voor essentiële en belangrijke entiteiten in de keten.
Voor securityteams betekent dit: meten is weten. Loggen, monitoren en forensische bewaartermijnen moeten aansluiten op rapportage aan toezichthouders. Zonder goede assetinventaris en netwerksegmentatie blijft weerbaarheid papieren werkelijkheid. DORA vraagt daarom om structurele oefeningen en lessons learned, niet alleen policies.
Financiële instellingen moeten hun leveranciersdossiers opschonen en contracten bijwerken. Concrete clausules over patching‑deadlines, kwetsbaarheidsmelding en auditrechten worden standaard. Voor AI‑diensten komen daar bepalingen bij over modelupdates, dataset‑herkomst en bias‑tests. Zo groeit compliance uit tot een integraal onderdeel van security‑architectuur.
Nederland bereidt zich voor
Nederlandse banken versterken samenwerking via sectorale netwerken zoals FI‑ISAC en met het NCSC. Snelle dreigingsdeling helpt om geautomatiseerde aanvallen vroeg te blokkeren. Betaalvereniging Nederland en de NVB stimuleren bovendien veilig klantgedrag en betere verificatie. Denk aan extra waarschuwingen, twee‑staps‑controle en limieten voor risicovolle transacties.
Technisch ligt de focus op identiteit en betalingsautorisatie. Liveness‑checks bij video‑identificatie, voice‑cloning‑detectie en device‑binding verlagen fraude. Sterke klantauthenticatie (SCA) onder PSD2 blijft de norm, terwijl PSD3/PSR het kader gaat moderniseren. Het doel is minder frictie voor klanten, maar hogere zekerheid voor banken.
Governance rond AI wordt concreet gemaakt met modelregisters, rode‑teamtests en impactassessments. Dit sluit aan op de AI‑Act en op bestaande AVG‑DPIA’s. Organisaties trainen teams in veilig promptgebruik en beperken toegang tot productiesystemen. Zo ontstaat een verdedigingslijn die mens, proces en algoritme combineert.
De les voor 2026 is helder: schaal wint van geïsoleerde maatregelen. Alleen een ketenbrede aanpak, van leveranciers tot klantkanalen, kan industrieel georganiseerde aanvallen bijbenen. Met DORA, NIS2 en de AI‑Act verschuift de bewijslast naar aantoonbare weerbaarheid. Wie nu investeert in datahygiëne, detectie en samenwerking, staat straks sterker.
