Er is iets fundamenteel veranderd in de manier waarop organisaties worden aangevallen. Waar een hacker vroeger weken nodig had om een kwetsbaarheid te vinden, doet een AI-agent het nu in seconden.
BCG publiceerde eind april 2026 een scherpe analyse onder de titel Cybersecurity at AI Speed Requires Synchronization. De conclusie is hard: organisaties die hun AI-adoptie versnellen zonder hun beveiligingsmodel te herontwerpen, vergroten niet hun innovatiekracht. Ze schalen hun kwetsbaarheid op. BCG noemt dit **"scaling fragility"** in plaats van resilience.
Het meest opvallende detail: Anthropic's onderzoeksmodel Claude Mythos vindt kwetsbaarheden in firewalls en infrastructuur die decennia onopgemerkt bleven. Decennia. En als verdedigers daar toegang toe hebben, hebben aanvallers het ook.
Dit is geen technologisch probleem. Dit is een organisatieprobleem.
Wat is een CISO?
Een belangrijke rol in dit verhaal is die van de CISO, Chief Information Security Officer: de hoogste verantwoordelijke voor informatiebeveiliging binnen een organisatie. In veel MKB-organisaties bestaat deze rol niet apart en wordt hij ingevuld door de IT-manager, een externe partij of een directielid. Wie deze term leest, kan dus ook denken aan de persoon die binnen jouw organisatie de facto verantwoordelijk is voor cybersecurity.
Gas geven met kapotte remmen
In mijn eerdere artikel over het AI Maturity Framework heb ik betoogd dat **70% van het succes van AI-adoptie** wordt bepaald door mensen, processen en cultuur, en slechts 10% door technologie. Voor cybersecurity geldt eenzelfde verhouding, maar dan defensief.
Veel organisaties bevinden zich in een AI-wedloop. Pilots worden uitgerold, agents worden geactiveerd, integraties met bedrijfsdata worden in een weekend opgetuigd. Ondertussen blijft het beveiligingsmodel onveranderd. Gebaseerd op aannames uit een tijd waarin aanvallers tijd nodig hadden om een gat te vinden.
> BCG verwoordt het zo: bedrijven die AI-adoptie versnellen zonder hun security operating model te herontwerpen, "stappen op het gas terwijl hun remmen vervangen moeten worden".
Waarom traditionele security-modellen breken
Het klassieke model gaat uit van drie aannames die door AI achterhaald zijn.
De eerste aanname is dat **aanvallen menselijk tempo hebben**. Dat klopt niet meer. Een aanvaller met een agentic AI-systeem scant continu, leert van mislukte pogingen en beweegt lateraal door netwerken. Zonder pauze, zonder vermoeidheid. De tijd tussen detectie en exploitatie is gekrompen van dagen naar minuten.
De tweede aanname is dat security een afdeling is. Wanneer beveiliging pas in beeld komt nadat een AI-toepassing is bedacht en gebouwd, ben je per definitie te laat. Alle latere ingrepen zijn pleisters op een fundament dat niet voor veiligheid is ontworpen.
De derde aanname is dat besluiten via de gebruikelijke kanalen kunnen lopen. Bij een klassieke incident-response was er tijd voor afstemming. In het AI-tijdperk is die luxe verdwenen. Wie pas in een crisisvergadering uitzoekt wie welke knop mag indrukken, heeft de strijd al verloren.
De drie pijlers van gesynchroniseerde verdediging
Op basis van de BCG-analyse en mijn eigen ervaring zie ik drie pijlers waar elke organisatie aan moet werken. Geen van de drie is technisch. Alle drie zijn organisatorisch.
### Pijler 1: De CISO aan de directietafel
Cybersecurity is geen IT-vinkje meer. Het is een strategische randvoorwaarde, vergelijkbaar met financiële discipline. De CISO, of degene die deze rol vervult rondom security, hoort vanaf het begin betrokken te zijn bij elke AI-investering en elk procesherontwerp. Niet als adviseur achteraf, maar als **gelijkwaardige stem** met de autoriteit om koers bij te stellen.
BCG benadrukt dat IT, security en business teams traditioneel met verschillende doelen en zelfs verschillende talen werken. Juist die verbroken aansluiting is de kern van het probleem.
Als uw security-functie nu twee niveaus onder de directie zit of helemaal niet, is dat een structureel risico. Niet morgen. Vandaag.
### Pijler 2: Vlijmscherpe besluitvorming, decision rights
In een crisis telt elke seconde. Vóór de crisis moet helder zijn wie welke knop mag indrukken, en onder welke voorwaarden.
Wie keurt een nieuwe agent goed voordat die toegang krijgt tot productiesystemen? Wie heeft het mandaat om een actief systeem offline te halen zonder eerst toestemming te vragen? Wie informeert klanten en autoriteiten, en binnen welke termijn?
Zonder vooraf vastgelegde decision rights ontstaat in een crisis exact wat aanvallers willen: **verlamming**. Vergaderingen om te bepalen wie de vergadering mag bijwonen. Goedkeuringen die in een mailbox liggen omdat de directeur op vakantie is.
In de praktijk betekent dit een playbook waarin per scenario is vastgelegd: wie beslist, op basis van welke informatie, binnen welke termijn. Twee A4-tjes is genoeg, mits ze in een crisis ook daadwerkelijk worden gebruikt.
### Pijler 3: Security-by-design, stroomopwaarts beveiligen
Beveiliging moet stroomopwaarts. Niet als laatste stap voor de release, maar als eerste vraag bij het ontwerp. Een AI-systeem dat toegang heeft tot bedrijfsdata en autonoom beslissingen neemt: dat krijg je niet achteraf veilig. Je moet het **veilig óntwerpen**.
Dat begint bij vragen die in de eerste sprint horen: Welke data raakt dit systeem aan? Welke beslissingen mag het autonoom nemen, en welke altijd terugleggen bij een mens? Wat is de fall-back als het systeem onverwacht gedrag vertoont?
Deze vragen moeten worden gesteld door de business, beantwoord met security, en geïmplementeerd door technologie. Samen, niet sequentieel.
Automatiseer wat is afgesproken
Zodra de drie pijlers staan, komt automatisering in beeld. De enige manier om de snelheid van een AI-aanvaller bij te houden is met AI-gedreven verdediging.
Maar automatisering versterkt de organisatie die je hebt. Het corrigeert haar niet. Een geautomatiseerde respons zonder duidelijke menselijke kaders is niet sneller veilig, het is sneller chaos.
De volgorde is altijd dezelfde: **eerst afspreken, dan automatiseren**. Wie dit omdraait, herhaalt de klassieke fout: investeren in de 10% en de 70% laten liggen.
Wat dit betekent voor leiders
Cybersecurity in het AI-tijdperk is in de eerste plaats een leiderschapsvraagstuk. Directie en MT moeten in staat zijn om de juiste vragen te stellen:
Aan uw CISO: zit u aan tafel? Bij welke AI-besluiten bent u betrokken vanaf dag één, en bij welke pas nadat de architectuur al staat?
Aan uzelf: weten we wie wat mag beslissen in een crisis? Ligt het ergens vast, hebben we het geoefend, weten de betrokkenen het uit hun hoofd?
Aan uw teams: bouwen we security in of plakken we het erop? Wanneer is security voor het eerst aan tafel gekomen bij dit AI-initiatief? Bij de business case, het ontwerp, of de release?
Dit zijn geen vragen voor het volgende kwartaalrapport. Dit zijn **vragen voor het volgende MT-overleg**.
Conclusie
De boodschap is simpel maar oncomfortabel: u kunt geen AI-versnelling realiseren op een verouderd security-fundament zonder uw eigen kwetsbaarheid te schalen. Innovatie en weerbaarheid zijn twee zijden van dezelfde medaille.
Wat dit vraagt is geen extra tool en geen extra rapport. Het vraagt om synchronisatie tussen business, technologie en security. Een CISO met een strategisch mandaat. Decision rights die in een crisis werken. Security-by-design als standaardinstelling. En automatisering die menselijke afspraken versterkt, niet vervangt.
Zorg dat de remmen op orde zijn voordat u dieper het gas indrukt. Niet om te vertragen, maar om sneller veilig te kunnen rijden.
Ontdek waar jouw organisatie staat
Wil je weten hoe jouw organisatie ervoor staat? De **PSL AI Maturity Scan** op https://www.pslconsulting.nl/pslaimaturityscan.php brengt het in tien minuten in kaart.
Bronnen
BCG (2026) Cybersecurity at AI Speed Requires Synchronization; BCG (2025) A Synchronized Approach to Digital Defense; BCG AI Radar 2026; Knisley, R. (2026) Security Info Watch.