Amsterdam, Nederland, 1 april 2026 – Sean Tilley, Senior Sales Director EMEA bij 11:11 Systems, een toonaangevende leverancier van beheerde infrastructuuroplossingen, heeft vandaag bekendgemaakt hoe AI innovatie kan stimuleren zonder het cyberrisico te vergroten.
Kunstmatige intelligentie is niet langer een toekomstambitie voor organisaties. Het bepaalt nu al hoe beslissingen worden genomen, hoe diensten worden geleverd en hoe snel bedrijven kunnen reageren op veranderingen. Van automatisering en analytics tot klantbetrokkenheid en operationele optimalisatie, AI wordt een integraal onderdeel van de moderne onderneming.
Naarmate de adoptie versnelt, doemt er echter een sluipend risico op, en het is een risico dat bestuursraden en directieteams zich niet kunnen veroorloven om als een uitsluitend technisch probleem af te doen. AI is niet zomaar een innovatietool. Het verandert het cyberrisicolandschap en ondergraaft lang gekoesterde veronderstellingen over beveiliging, toezicht en veerkracht.
Recent onderzoek van 11:11 Systems benadrukt de omvang van dit probleem. In een wereldwijde enquête onder meer dan 800 senior IT-leiders zei bijna driekwart (74%) dat ze geloven dat de integratie van AI in hun organisaties de kwetsbaarheid voor cyberaanvallen zou kunnen vergroten, een mening die door zowel Britse als Europese respondenten in grote mate wordt gedeeld. Dit geeft aan dat ze niet terughoudend zijn om te innoveren, maar dat het steeds meer wordt erkend dat AI het risicogedrag verandert, risico’s versnelt en gemakkelijker verspreidt, waardoor ze voor leiderschapsteams moeilijker te begrijpen en te beheersen worden.
Waarom bestuursraden hieraan aandacht moeten besteden
AI kan de cyberverdediging versterken. Machine‑learningsystemen zijn in staat om afwijkingen snel op te sporen, elementen van incidentrespons te automatiseren en beveiligingsteams te helpen om bedreigingen effectiever te prioriteren. In theorie zou deze functionaliteit de verdedigers moeten bevoordelen.
In de praktijk worden dezelfde technieken ook door aanvallers gebruikt. AI wordt al gebruikt om overtuigendere phishingcampagnes te genereren, verkenning te automatiseren en malware in realtime aan te passen. Europees onderzoek, waaronder studies van ENISA, het EU-agentschap voor cyberbeveiliging, heeft aangetoond dat kwetsbaarheden in elke fase van de AI-levenscyclus kunnen ontstaan, van vroege ontwerpbeslissingen tot implementatie en doorlopend onderhoud. Dit creëert nieuwe aanvalsoppervlakken waarmee veel organisaties in Europa nog steeds moeten leren omgaan.
De implicatie voor besturen is dat AI-risico’s niet langer alleen binnen IT-systemen kunnen worden afgehandeld. Het roept vragen op over naleving, reputatie, operationele continuïteit en waarde op de lange termijn, maar stelt ook de vraag hoe risico’s worden geïdentificeerd, getest en begrepen op bestuursniveau, met name wanneer AI-gestuurde systemen zich gedragen op manieren die ondoorzichtig of moeilijk te voorspellen zijn.
Terwijl de technische risico’s blijven evolueren, zijn er twee organisatiedynamieken die ze moeilijker te beheersen maken.
Schaduw-AI wordt endemisch
Werknemers maken steeds vaker gebruik van niet-goedgekeurde of niet-toegestane AI-tools om sneller en efficiënter te werken. Dit gebeurt vaak met goede bedoelingen, maar zonder zichtbaarheid, toezicht of supervisie op de beveiliging. In heel Europa benadrukken regelgevers voortdurend dat organisaties volledig verantwoordelijk blijven voor hoe met persoonlijke en gevoelige gegevens wordt omgegaan, ongeacht of AI-tools formeel zijn goedgekeurd of informeel worden gebruikt.
Europese gegevensbeschermingsautoriteiten hebben herhaaldelijk benadrukt dat AI-implementaties moeten voldoen aan de vastgestelde AVG-principes, waaronder transparantie, verantwoording en dataminimalisatie. Wanneer AI buiten de formele beheers- en beveiligingscontroles wordt gebruikt, ontstaan er hiaten in de zichtbaarheid, waardoor het aanzienlijk moeilijker wordt om naleving aan te tonen en incidenten te beperken wanneer er iets misgaat.
Voor besturen bestaat het risico niet alleen uit het gebruik van ongeoorloofde tools. In wezen zit het risico in de groeiende kloof tussen wat leiders denken dat er binnen de organisatie gebeurt en hoe AI dagelijks wordt gebruikt, onder druk om sneller te werken.
De druk om sneller te werken loopt voor op de weerbaarheidsplanning
AI-initiatieven worden vaak gedreven door urgentie in verband met de concurrentie. Leiderschapsteams willen een snelle implementatie, zichtbare vooruitgang en snel rendement. Uit onderzoek blijkt echter dat deze urgentie vaak ten koste gaat van de paraatheid voor herstel, toezicht en vertrouwen in de manier waarop incidenten moeten worden afgehandeld. Dit wordt ondersteund door onderzoek van 11:11 Systems, waaruit bleek dat veel organisaties nog steeds te veel vertrouwen op hun vermogen om te herstellen van cyberincidenten, zelfs als de complexiteit toeneemt.
Veerkracht bestaat alleen in theoretische zin wanneer AI-systemen worden ingezet voordat herstel‑, backup- en incidentresponsplannen zijn getest aan de hand van nieuwe bedreigingsscenario’s. Bij een incident als gevolg van AI‑gebruik zijn de snelheid en effectiviteit van het herstel bepalend zijn voor de omvang van de operationele verstoringen, het toezicht op de regelgeving en de reputatieschade waarmee het bedrijf wordt geconfronteerd.
Waarom veerkrachtmodellen moeten evolueren
Veel benaderingen van veerkracht op bestuursniveau zijn ontworpen voor risico’s die zichtbaar, toetsbaar en in grote lijnen voorspelbaar waren. Die veronderstellingen worden door AI stilletjes ondermijnd.
Organisaties worden steeds vaker aangemoedigd om veerkracht te heroverwegen in het licht van de manier waarop AI het tempo en de complexiteit van incidenten verandert. Die verschuiving is te zien op drie gebieden.
Herstelprocessen evolueren om steeds meer geautomatiseerd en schaalbaar te worden. Dit weerspiegelt de realiteit dat handmatige responsen moeite hebben om snel veranderende, complexe incidenten bij te houden. Onderzoek toont aan dat langere hersteltijden de financiële en operationele schade na cybergebeurtenissen aanzienlijk verhogen, met name bij grote ondernemingen.
Het testen is aan het veranderen. Statische, jaarlijkse herstelplannen zijn minder geschikt voor adaptieve bedreigingen. Overheidsonderzoek naar AI-beveiligingsrisico’s wijst op de noodzaak van voortdurende validatie gedurende de gehele AI‑levenscyclus, in plaats van periodieke, op checklists gebaseerde testen.
Ten slotte wordt veerkracht minder als een activiteit aan het einde van het proces behandeld en meer als een ontwerpprincipe. Steeds meer wordt verwacht dat de mogelijkheden voor toezicht, zichtbaarheid en herstel vanaf het begin in AI-implementaties worden ingebouwd, en niet pas na een incident. In Europese regelgeving wordt voortdurend benadrukt dat organisaties moeten kunnen aantonen dat ze controle en verantwoordingsplicht hebben over AI-gestuurde processen, zelfs als die systemen evolueren.
Leerpunten op bestuursniveau
AI biedt een strategische kans voor bedrijven. Maar adoptie die te snel gaat voor het toezicht en herstelplanning, kan de blootstelling aan risico ongemerkt vergroten op het moment dat organisaties denken dat ze steeds geavanceerder worden.
De vraag voor ondernemingsbesturen is niet langer of ze moeten overstappen op AI, maar hoe ze dat op een verantwoorde manier kunnen doen. Vertrouwen in innovatie moet gepaard gaan met vertrouwen in herstel. Daarbij komen moeilijke vragen over zichtbaarheid, testen en paraatheid, niet alleen over prestaties en productiviteit.
In deze context slaat toezicht op AI niet op het beheersen van technologie. Het gaat om het herstel van het vertrouwen op bestuursniveau in hoe risico’s worden begrepen en beheerst. In een steeds complexer bedreigingslandschap zullen succesvolle organisaties niet degenen zijn die koste wat het kost het snelst handelen. Zij zullen vanaf het begin cyberweerbaarheid opnemen bij de adoptie van AI, doelgericht innoveren en veerkrachtig blijven in het licht van de toenemende complexiteit.
Contact
Destiny Gillbee
11-11systems@c8consulting.co.uk