De Europese Centrale Bank dringt er bij banken in de eurozone op aan om meer geld te investeren in cyberveiligheid, met de waarschuwing dat kunstmatige intelligentie de schaal en snelheid van digitale aanvallen opvoert. In een nieuwe richtlijn aan toezichthoudende instellingen stelt de ECB dat de toename van AI-gestuurde dreigingen een aanzienlijke upgrade van de defensie-uitgaven vereist – niet alleen incrementele aanpassingen. Banken die niet bijblijven riskeren niet alleen hun eigen systemen, maar ook de stabiliteit van het bredere financiële netwerk, benadrukt de toezichthouder.
Waarom de waarschuwing nu komt
Cybercriminelen zijn begonnen met het inzetten van generatieve AI en machine learning-tools om overtuigendere phishing-e-mails te maken, kwetsbaarheidsscans te automatiseren en traditionele detectiesystemen te omzeilen. De beoordeling van de ECB, die de afgelopen weken met banken is gedeeld, merkt op dat deze aanvallen sneller binnenkomen en minder duidelijke signalen vertonen. Een enkel gecompromitteerd wachtwoord kan uitgroeien tot een grensoverschrijdende inbraak voordat het beveiligingsteam van een bank de inbreuk zelfs maar opmerkt. De boodschap van de centrale bank is duidelijk: het oude draaiboek volstaat niet.
De timing is geen toeval. Europese banken hebben al te maken met strengere kapitaalregels en een trage economie. Het toevoegen van een cyberveiligheidswedloop aan die mix belast de budgetten, maar de ECB maakt duidelijk dat onderinvesteren geen optie meer is. Interne ECB-documenten die door GFdaily zijn ingezien, beschrijven de huidige dreigingsomgeving als 'ongekend in snelheid en bereik', hoewel de bank geen details gaf over specifieke incidenten die tot de waarschuwing hebben geleid.
Wat de ECB eist
De richtlijn stelt geen specifiek uitgavendoel – geen percentage van de omzet of een vast bedrag in euro's. In plaats daarvan vraagt de ECB elke bank een nieuwe risicobeoordeling uit te voeren, gericht op AI-gestuurde aanvalsvectoren, en een meerjarig investeringsplan te presenteren. Die plannen moeten concrete stappen tonen: het aannemen van gespecialiseerd personeel, het upgraden van software voor dreigingsdetectie en het uitvoeren van red-team simulaties die AI-gestuurde inbraken nabootsen. Banken die vertragen kunnen vaker ter plekke worden geïnspecteerd en, in extreme gevallen, hogere kapitaalbuffers krijgen die aan cyberrisico zijn gekoppeld.
De ECB wil ook dat banken dreigingsinformatie agressiever delen. 'Geen bank is meer een eiland', stelt de richtlijn. 'Samenwerking op het gebied van aanvalspatronen en verdedigingsmiddelen is essentieel voor het systeem als geheel.' Verschillende grote banken in de eurozone zijn al begonnen met het bundelen van gegevens via een proefplatform van de Europese Bankautoriteit, en de ECB verwacht dat die inspanning wordt uitgebreid.
Het bredere toezichtkader
Deze aanzet uit Frankfurt sluit aan bij een bredere regulerende trend. De EU-verordening digitale operationele weerbaarheid (DORA), die in januari 2025 van kracht werd, vereist al dat financiële ondernemingen regelmatig hun cyberverdediging testen en grote incidenten binnen enkele uren melden. De nieuwste oproep van de ECB gaat verder door specifiek in te zoomen op de AI-dimensie. Het is een teken dat toezichthouders de technologie als een aparte dreiging zien, niet alleen als een extra item op de risicochecklist.
Kleinere banken, die vaak niet over de diepe zakken van hun grotere concurrenten beschikken, staan voor de grootste uitdaging. De ECB heeft die ongelijkheid erkend en onderzoekt of het gedeelde cyberveiligheidsdiensten of gecoördineerde inkoop van verdedigingsmiddelen kan aanbieden. Er is nog geen concreet plan aangekondigd, maar de raad van bestuur van de centrale bank zal naar verwachting opties bespreken tijdens de juni vergadering.
Voor nu tikt de klok. Banken hebben tot het einde van het derde kwartaal de tijd om hun AI-risicobeoordelingen en investeringsroadmaps in te dienen. Wie de deadline mist, krijgt te maken met een formele beoordeling en mogelijk een publieke vermelding in de toezichtrapporten van de ECB.
