Wouter Hoeffnagel - 03 juli 2026

Organisaties worstelen met compliance aan resilience-wetgeving door opkomst AI

Nederlandse organisaties staan voor uitdagingen om te voldoen aan resilience-wetgeving zoals DORA en NIS2, nu de NIS2-richtlijn naar verwachting dit kwartaal in nationale wetgeving wordt opgenomen. Een op de vijf organisaties is nog niet actief bezig met compliance, of komt pas in actie wanneer wetgeving dit afdwingt.

Organisaties worstelen met compliance aan resilience-wetgeving door opkomst AI image

Dit blijkt uit onderzoek van Veeam Software onder 300 Nederlandse IT- en C-level beslissers. De groeiende adoptie van AI in bedrijfsomgevingen vergroot de kloof tussen organisaties die investeren in dataresilience en diegene die dat niet doen. Organisaties die wel investeren in veerkracht herstellen zeven keer sneller van storingen, ervaren drie keer minder downtime en lijden vier keer minder dataverlies dan hun concurrenten.

AI verhoogt complexiteit van compliance

De integratie van AI-systemen en tools maakt compliance met wetgeving zoals NIS2 en DORA complexer, aldus 62% van de Nederlandse organisaties. Een belangrijke oorzaak is het gebrek aan inzicht: veel organisaties weten niet welke AI-systemen en tools zij gebruiken, tot welke data deze toegang hebben, hoe deze worden verwerkt en welke beveiligingsrisico’s ze kunnen introduceren. Dit gebrek aan transparantie bemoeilijkt het waarborgen van betrouwbare, veilige en herstelbare data.

Daarnaast is er een duidelijke kloof tussen IT-leiders en C-level zakelijke gebruikers. Terwijl 83% van de IT-leiders aangeeft dat hun organisatie AI-tools gebruikt, bevestigt slechts 56% van de zakelijke leiders dit. Meer dan een derde van de zakelijke leiders denkt zelfs dat hun organisatie momenteel géén AI-systemen of tools gebruikt.

Perceptie van risico's verschilt

De perceptie van risico’s verschilt eveneens. IT-leiders noemen beïnvloeding van AI-systemen door cybercriminelen (55%), datalekken of verlies van intellectueel eigendom (52%) en insider threats (32%) als grootste risico’s. Zakelijke leiders schatten deze risico’s structureel lager in: 13% ziet zelfs helemaal geen risico’s als het gaat om de impact van AI op compliance met wet- en regelgeving.

“Juist deze bevinding laat heel duidelijk zien dat er een governance- en risicokloof bestaat tussen IT en het management: AI wordt in de organisatie al breed toegepast, maar een relevant deel van de zakelijke leiders herkent de bijbehorende compliance- en resilience-risico’s niet of onvoldoende”, zegt Edwin Weijdema, Field CTO EMEA bij Veeam Software. “Als risico’s niet als risico worden gezien, krijgen ze doorgaans ook geen prioriteit in beleid, budget en besluitvorming. Daarmee groeit de kans dat AI-gebruik buiten de formele kaders plaatsvindt en dat organisaties minder aantoonbaar ‘in control’ zijn richting wetgeving zoals NIS2 en DORA.”

Risico’s van onvoldoende beheersing

Zonder actieve beheersing neemt het risico toe op datalekken, verlies van intellectueel eigendom en kwetsbaarheid voor manipulatie door kwaadwillenden. Ook kan de audit- en compliance-positie verzwakken, wat kan leiden tot hogere herstelkosten, langere verstoringen, reputatieschade en grotere juridische en toezichthoudende exposure.
AI verandert fundamenteel hoe organisaties data genereren, toegang verlenen en vertrouwen. Medewerkers delen data met AI-tools, terwijl steeds autonomere systemen, zoals AI-agents, binnen bedrijfsomgevingen zelfstandig opereren. Zonder duidelijke governance en transparantie lopen organisaties het risico de controle te verliezen over het gebruik en de verwerking van data.

Toch is 82% van de Nederlandse organisaties al bezig met het ontwikkelen van AI-beleid, en 76% controleert actief of AI-tools worden gebruikt volgens interne richtlijnen. Beleid alleen is echter niet voldoende zonder diepgaand inzicht in datastromen, eigendom en risico’s.

Organisatiebrede aanpak noodzakelijk

Het beheren van AI-gedreven complexiteit vereist een organisatiebrede aanpak. IT-leiders benadrukken het belang van het intern delen van concrete AI-use cases (48%), training voor verantwoord AI-gebruik (42%) en opleidingen rondom veerkracht en wetgevingsvereisten (37%). Zakelijke leiders zien eveneens de waarde in van training, maar leggen daarnaast de nadruk op praktische hulpmiddelen zoals standaardtemplates voor compliance-beleid (28%). Opvallend is dat 12% van de zakelijke leiders aangeeft geen ondersteuning nodig te hebben, tegenover 4% van de IT-leiders.

“De invoering van NIS2 vraagt al veel van organisaties op het gebied van compliance en veerkracht, maar de snelle opkomst van AI - en met name autonome en agentgebaseerde systemen - voegt daar een extra laag complexiteit aan toe”, vervolgt Weijdema. “Zonder duidelijk eigenaarschap over data en transparantie in AI-processen worden verantwoordelijkheid en compliance erg lastig. Daarom moeten organisaties allereerst terug naar de basis: helder definiëren wie verantwoordelijk is voor data en zorgen voor verklaarbare, controleerbare AI-processen. Dat vraagt niet alleen om een investering in technologie en beleid, maar vooral om meer inzicht en nauwere samenwerking tussen IT en de business. Alleen wanneer zowel IT-leiders als het C-level hun rol pakken en zich verdiepen in de impact van AI op organisatorische en dataprocessen, kunnen organisaties veerkrachtig blijven en met vertrouwen opereren.”

Compliance met wetgeving zoals NIS2 is geen puur technisch vraagstuk, maar een organisatiebrede verantwoordelijkheid. Naarmate AI zich verder ontwikkelt, is samenwerking tussen teams en meer inzicht in en controle over data cruciaal voor het opbouwen van veerkracht en het continu voldoen aan wettelijke eisen.

Aces Direct BW + BN Gartner IT Symposium Barcelona 06-2026 AI BW + BN
Cybersec Netherlands 2026 BN