Beveiligingsteams in Europa en Nederland zetten steeds vaker kunstmatige intelligentie in om aanvallen sneller te vinden. Toch belanden AI-projecten als eerste op de lijst bij bezuinigingen. Organisaties snijden vooral in pilots met generatieve systemen en experimentele automatisering. Bestuurders twijfelen aan de snelle opbrengst en wijzen op strengere regels. Veel managers letten extra op compliance; ‘Europese AI-verordening gevolgen overheid’ staat nadrukkelijk op de agenda.
Snelle groei, toch kwetsbaar
De inzet van algoritmen in security groeit hard, vooral in Security Operations Centers. Grote leveranciers als Microsoft (Copilot for Security), CrowdStrike (Charlotte AI), Palo Alto Networks (Cortex XSIAM) en Google (Chronicle met Mandiant) voegen AI-functies toe voor detectie en analyse. Teams gebruiken de systemen voor het samenvatten van incidenten en het rangschikken van alerts. Inkoop loopt mee met bestaande contracten, waardoor de drempel laag is.
Tegelijk blijken juist deze AI-modules gevoelig voor budgetdruk. Wanneer afdelingen moeten schrappen, vallen experimentele functies en losse pilots als eerste af. Klassieke beveiligingsmaatregelen, zoals patching en toegangsbeheer, gaan dan voor. Dat is begrijpelijk, maar het remt leerervaringen die nodig zijn om de modellen te verbeteren.
Veel organisaties starten klein, bijvoorbeeld met phishing-detectie of log-analyse. De meerwaarde is dan sneller zichtbaar. Maar zonder structurele evaluatie en training op eigen data blijft de winst beperkt. Daardoor verschuift AI makkelijk van ‘belofte’ naar ‘nice to have’.
Machine learning in security is software die patronen in netwerk- en gebruikersgedrag leert, om afwijkingen sneller te herkennen dan een mens.
Onzekere baten remmen uitrol
De belangrijkste rem is een onduidelijke businesscase. AI reduceert vaak werkdruk, maar het is lastig om die tijdwinst in harde euro’s te meten. Minder false positives en kortere afhandeltijd zijn wél meetbaar, maar vergen consistente rapportage. Zonder die cijfers blijft de discussie hangen op verwachtingen.
Technisch is datamodelkwaliteit een tweede struikelpunt. Logbestanden zijn onvolledig of versnipperd over tools. Zonder goede datakoppelingen en normalisatie presteren modellen slechter. Ook gedragsmodellen verouderen (model drift) als de IT-omgeving snel verandert.
Generatieve systemen kunnen bovendien hallucineren, bijvoorbeeld in samenvattingen van incidenten. Daarom is ‘human-in-the-loop’ nodig: een analist die uitkomsten controleert. Die extra stap kost tijd en vraagt om duidelijke werkinstructies. Bij bezuinigingen valt zo’n gecontroleerde uitrol sneller stil.
Europese AI-verordening gevolgen overheid
De Europese AI-verordening (AI Act) legt nieuwe eisen op aan aanbieders en gebruikers van AI, op het moment van schrijven in de uitrolfase. Cybersecurity-toepassingen vallen meestal niet in de hoogste risicoklasse, tenzij zij bijvoorbeeld biometrie aansturen of veiligheid in kritieke sectoren beïnvloeden. Toch gelden dan nog steeds plichten rond documentatie, logging, transparantie en menselijk toezicht. Overheidsorganisaties moeten daarbij extra kunnen uitleggen hoe beslissingen tot stand komen.
De AVG blijft onverkort gelden voor securitydata. Dataminimalisatie, doelbinding en versleuteling zijn vereist als logbestanden of e-mails voor modeltraining worden gebruikt. Een Data Protection Impact Assessment (DPIA) is verstandig zodra persoonsgegevens in het spel zijn. Het helpt ook te bepalen welke data niet in externe modellen mogen belanden.
NIS2 verhoogt de lat voor essentiële en belangrijke entiteiten in de EU. Risicobeheer, incidentmelding en leverancierscontrole worden strenger, op het moment van schrijven nog in nationale wetgeving omgezet. Dat maakt willekeurige bezuinigingen op detectie en respons riskant. Bestuurders moeten onderbouwen dat het beveiligingsniveau passend blijft.
Wat werkt al in de praktijk
AI helpt bij prioriteren van meldingen in SIEM- en EDR-platforms. Dit verkort de tijd tot eerste triage, vooral bij veel ruis. Leveranciers als CrowdStrike, Microsoft en Palo Alto tonen hier de meest volwassen functies. Nederlandse teams merken dat juist deze ‘kleine’ tijdwinst de werkdruk verlaagt.
Phishing-bestrijding profiteert ook. Modellen beoordelen afzendergedrag, taal en linkpatronen tegelijk. In combinatie met DMARC en sandboxing daalt het aantal doorgeglipte mails. Training van medewerkers blijft wel nodig om misleiding te herkennen.
Automatische runbooks in SOAR-tools handelen standaardstappen af, zoals blokkeren van een IP-adres. AI vult variabelen in en stelt acties voor. De eindbeslissing blijft bij de analist. Zo blijft controle behouden terwijl routinetaken versnellen.
Waar het nu spaak loopt
Datakwaliteit is de achilleshiel. Legacy-systemen leveren inconsistente logs aan. Vaak ontbreken labels om het model te trainen op ‘goede’ en ‘foute’ gebeurtenissen. Zonder grondige data-hygiëne vallen beloofde verbeteringen tegen.
Ook leverancierkeuze geeft frictie. AI-functies zitten diep in suites van grote spelers, wat lock-in kan vergroten. Multi-cloud omgevingen maken integratie complexer. Contractueel vastleggen van export, auditlogs en modelupdates wordt daarom belangrijk.
Meten blijft lastig. Veel organisaties rapporteren nog op aantallen alerts in plaats van op doorlooptijd, containment-snelheid en herstelkosten. Zonder deze KPI’s is sturen op resultaat en budget nauwelijks mogelijk. Dat vergroot de kans dat AI als eerste sneuvelt bij kostenreductie.
Stappen voor Nederlandse teams
Begin met één duidelijk usecase en heldere KPI’s, zoals 30% snellere triage of 20% minder false positives. Laat de leverancier meeleveren met toetsbare doelen en periodieke evaluaties. Leg vast hoe modellen worden getraind en getest op uw eigen data. Organiseer een pilot van 90 dagen met exit-criteria.
Borg privacy en compliance vanaf dag één. Doe een DPIA als persoonsgegevens in trainingsdata kunnen zitten. Eis dataversleuteling, regionale data-opslag in de EU en volledige auditlogs. Betrek de privacy officer, CISO en inkoop bij elke stap.
Verbind techniek aan beleid. Sluit aan op NIS2-verplichtingen en houd rekening met de AI Act-documentatie-eisen. Werk met het NCSC-advies voor logging en detectie en volg richtlijnen van de Autoriteit Persoonsgegevens. Zo blijft AI bruikbaar, ook wanneer budgetten krimpen.
