4min Personeel

AI vergroot NIS2-kloof: 62% Nederlandse bedrijven ziet complexiteit

AI vergroot NIS2-kloof: 62% Nederlandse bedrijven ziet complexiteit

Nieuw onderzoek van Veeam onder 300 Nederlandse beslissers laat zien dat AI de compliance met resilience-wetgeving zoals NIS2 en DORA verder bemoeilijkt. Bijna twee derde van de respondenten (62 procent) verwacht meer complexiteit, terwijl één op de vijf organisaties nog niet eens actief bezig is met naleving.

De druk op Nederlandse organisaties om te voldoen aan resilience-wetgeving neemt toe. De NIS2-richtlijn wordt in Nederland omgezet in de Cyberbeveiligingswet. Naar verwachting treedt die dit kwartaal nog in werking. Bestuurders worden onder die wet persoonlijk aansprakelijk als hun organisatie de basiseisen voor digitale weerbaarheid niet op orde heeft.

Toch blijkt uit onderzoek van Veeam Software dat 20 procent van de Nederlandse organisaties nog altijd niet actief werkt aan compliance, of pas in actie komt zodra wetgeving dat afdwingt. Dat is opvallend, want de Tweede Kamer heeft het wetsvoorstel al aangenomen. Daarbij krijgen organisaties na inwerkingtreding relatief weinig tijd om hun maatregelen op orde te brengen.

Volgens het onderzoek herstellen organisaties die investeren in veerkracht zeven keer sneller van storingen, ervaren ze drie keer minder downtime en lijden ze vier keer minder dataverlies dan concurrenten die dat niet doen.

AI maakt compliance ingewikkelder

De adoptie van AI vergroot die kloof ook zo blijkt uit het onderzoek. 62 Procent van de Nederlandse organisaties verwacht dat compliance onder NIS2 en DORA complexer wordt door de integratie van AI-systemen. Een belangrijke oorzaak is gebrek aan inzicht. Veel bedrijven weten bijvoorbeeld niet precies welke AI-tools ze gebruiken, tot welke data die toegang hebben en welke risico’s ze introduceren.

Die zorg past in een breder beeld. Uit eerder onderzoek dat Techzine besprak, bleek al een grote kloof tussen AI-adoptie en governance. Externe analyses wijzen in dezelfde richting: Zo verwacht Gartner dat tegen eind 2026 zo’n 40 procent van de bedrijfsapplicaties AI-agents bevat.

Disconnect tussen IT en business

Het onderzoek legt een duidelijke disconnect bloot. Waar 83 procent van de IT-leiders aangeeft dat hun organisatie AI-tools gebruikt, bevestigt slechts 56 procent van de zakelijke leiders hetzelfde. Meer dan een derde van de business denkt dus dat er geen AI wordt ingezet, ondanks de snelle adoptie.

Dat werkt door in de risicoperceptie. IT-leiders noemen beïnvloeding door cybercriminelen (55 procent), datalekken of verlies van intellectueel eigendom (52 procent) en insider threats (32 procent) als grootste gevaren. Zakelijke leiders schatten die risico’s structureel lager in. 13 Procent van hen ziet zelfs helemaal geen risico’s als het gaat om de impact van AI op compliance.

“Als risico’s niet als risico worden gezien, krijgen ze doorgaans ook geen prioriteit in beleid, budget en besluitvorming”, zegt Edwin Weijdema, Field CTO EMEA bij Veeam Software. “Daarmee groeit de kans dat AI-gebruik buiten de formele kaders plaatsvindt en dat organisaties minder aantoonbaar ‘in control’ zijn richting wetgeving zoals NIS2 en DORA.”

Deze kloof tussen IT en directie is geen nieuw fenomeen bij Veeam-onderzoek. Eerder toonde een studie al dat de kloof tussen IT en business de NIS2-compliance remt, waarbij IT-leiders het nut van de richtlijn duidelijk sterker inzagen dan hun zakelijke collega’s.

Beleid alleen is niet genoeg

Nederlandse organisaties werken vaak wel aan AI-beleid. Zo heeft 82 procent al specifiek AI-beleid of ontwikkelt dit. Meer dan drie kwart (76 procent) controleert actief of tools volgens interne richtlijnen worden gebruikt. Maar beleid alleen volstaat niet zonder inzicht in datastromen, eigendom en risico’s.

Dat inzicht wordt lastiger nu autonomere, agentgestuurde systemen zelfstandig binnen bedrijfsomgevingen opereren, soms met minimale menselijke tussenkomst. Voor het beheersen daarvan pleiten IT-leiders vooral voor het delen van AI-use cases (48 procent), training voor verantwoord gebruik (42 procent) en opleidingen rond veerkracht en wetgeving (37 procent).

“Zonder duidelijk eigenaarschap over data en transparantie in AI-processen worden verantwoordelijkheid en compliance erg lastig”, vervolgt Weijdema. Volgens hem moeten organisaties terug naar de basis. Er moet gedefinieerd worden wie verantwoordelijk is voor data en er moet gezorgd worden voor verklaarbare, controleerbare AI-processen.