De Europese Commissie heeft op 7 juli in Straatsburg een actieplan gepubliceerd gericht op cybersecurity en kunstmatige intelligentie. Dit plan bevat negen maatregelen die zich richten op modelbeoordeling, toegang tot geavanceerde AI-systemen en het beheer van kwetsbaarheden. De aanleiding is de zorg dat de toegang tot deze geavanceerde AI-modellen volledig afhankelijk is van buitenlandse partijen.

Het plan is opgebouwd rond drie pijlers: het veilig, toegankelijk en inzetbaar maken van geavanceerde AI voor Europese cybersecurity, het voorbereiden van het EU-cyberecosysteem en het opschalen van Europese AI-capaciteiten. Volgens Henna Virkkunen, de Europese commissaris voor technologie, zal het plan geen nieuwe wetgeving introduceren maar zich richten op de handhaving van bestaande regels. Dit betekent dat het plan zelf geen juridische bindende kracht heeft, maar benadrukt dat bestaande Europese wetgeving, zoals NIS2 en de Cyber Resilience Act, met spoed door lidstaten moet worden aangenomen en geïmplementeerd.

Een van de belangrijkste onderdelen is het opstellen van een "Europees Blauwdruk" voor gestructureerde toegang tot geavanceerde AI-capaciteiten voor cybersecuritydoeleinden. Deze blauwdruk wordt door de Commissie en het EU Agentschap voor Cybersecurity (ENISA) tegen het einde van dit jaar verwacht. Het actieplan wijst erop dat de toegang tot geavanceerde AI-modellen steeds vaker wordt bepaald door "aanbiederspecifieke en vaak niet-Europese beslissingen". Hoewel beperkingen soms gerechtvaardigd kunnen zijn vanuit veiligheidsoverwegingen, ontbreekt het vaak aan transparantie over de gehanteerde criteria.

Deze ontwikkelingen volgen op exportbeperkingen die de Verenigde Staten eerder dit jaar oplegden aan de AI-modellen Mythos en Fable van Anthropic, en later aan GPT-5.6 van OpenAI. Tijdens deze beperkingen werd de toegang voor buitenlandse, waaronder EU-klanten, geblokkeerd. De blauwdruk zal criteria vaststellen voor toegang tot deze modellen voor EU-instellingen, lidstaten, kritieke infrastructuurbeheerders, beveiligingsleveranciers en onderzoekers. Ook worden er noodmaatregelen opgenomen voor het geval toegang wordt beperkt of ingetrokken, zodat de EU op dat moment kan ingrijpen.

Daarnaast onderzoekt de Commissie gezamenlijke inkoopmogelijkheden om collectief toegang te verkrijgen. De EU heeft zelf geen laboratoria voor geavanceerde AI en het marktaandeel van Europese cloudproviders is gedaald van ongeveer 29% in 2017 naar circa 15%, terwijl drie niet-Europese hyperscalers nu meer dan 70% van de markt domineren. Het plan erkent dat geavanceerde AI-capaciteiten voornamelijk buiten de EU worden ontwikkeld en dat de beschikbaarheid vaak wordt bepaald door niet-transparante, buitenlandse processen.

Met een binnenlandse capaciteit die beperkt is, zal de EU haar markt van ongeveer 450 miljoen klanten en regelgeving inzetten om haar belangen te behartigen. Vanaf 2 augustus gaat de Commissie handhavingsbevoegdheden uitoefenen onder de AI-verordening, het eerste bindende juridische kader voor AI. Dit omvat boetes tot 3% van de wereldwijde jaaromzet en de bevoegdheid om aanbieders te verplichten een model van de EU-markt te verwijderen als het een systemisch risico vormt. Het Verenigd Koninkrijk, dat sinds 2020 buiten de EU valt, heeft geen vergelijkbare regelgeving, maar het AI Security Institute (AISI) fungeert als referentiepunt voor staatsbeoordeling van geavanceerde AI-systemen.

Meer details zijn te vinden in de officiële communicatie van de Europese Commissie.