Waarom AI alleen geen volledige NIS2 / CyFun-compliance haalt
Leveranciers verkopen "AI-compliance" alsof het auditprobleem opgelost is. Dat is het niet. AI doet echt werk — control-mapping, evidence-templates, regelgevingstracking — maar compliance vraagt ook menselijk oordeel, fysieke verificatie, en scope-beslissingen die een AI niet legitiem kan nemen. Dit stuk is voor MSP's en KMO-zaakvoerders die AI-getinte compliance-tools evalueren.
Wat AI wél kan voor compliance — en goed doet
Moderne compliance-AI is écht nuttig. Gebruikt binnen een gedisciplineerde workflow neemt het het volumewerk weg waar mensen slecht in zijn:
- → Control-mapping op schaal. De CCB CyberFundamentals-werkboek parseren, elk van de 34 (Basic) / 132 (Important) / 217 (Essential) controles op je bedrijf mappen, een implementatie-hint per controle draften.
- → Evidence-templates. Eerste-versie beleidsdocumenten, procedure-templates en evidence-rubrieken genereren die overeenkomen met de taal die een auditeur verwacht.
- → Regelgeving bijhouden. Wanneer het CCB nieuwe implementatieleidraden publiceert (en dat doen ze, elke maand), markeert AI welke artikels, controles en policies herzien moeten worden.
- → Audit-pak structureren. Evidence consolideren in de vorm die een auditeur leest. Ingevuld CCB-werkboek, evidence-referenties, controlestatus, wijzigingslog.
- → Meertalige dekking. Belgische KMO-compliance is minstens drie talen (NL/FR/EN). AI behoudt content-pariteit zonder het menselijk schrijfbudget te verdubbelen.
Wat AI niet kan — en waarom dat ertoe doet voor je audit
AI faalt op de delen van compliance waar realiteit moet overeenstemmen met documentatie. Vier grenzen die de moeite van het benoemen waard zijn, want ze duiken op bij elke echte opdracht:
1. Beslissen wat in scope valt voor jouw bedrijf
NIS2-scope is een afweging. Telt deze divisie mee? Valt deze overgenomen entiteit erin? Is deze kritieke leverancier onderdeel van je supply-chain risico? Een AI kan de regels opsommen. Alleen een mens die het bedrijf kent — de zaakvoerder, de IT-partner, de juridisch adviseur — kan de beslissing maken. Verkeerd geantwoord en de audit faalt voor ze begint.
2. Fysiek verifiëren dat de werkelijkheid overeenstemt met de policy
Een policy zegt "firewall blokkeert inkomende 3389 vanaf het internet." Een auditeur controleert of de firewall dat ook werkelijk doet. Een AI kan de firewall niet openen, geen port scan uitvoeren van buitenaf, en niet naast de netwerkrack staan. De MSP of interne IT-er verifieert fysiek. AI organiseert de evidence; mensen verzamelen ze.
3. Beoordelingen maken als controles botsen met operations
Soms breekt de CCB-voorgeschreven controle het bedrijf. Een kleine Belgische maakbedrijf kan zijn productienetwerk niet air-gappen — orders zouden stoppen. Een audit-bestendig antwoord vereist ofwel compenserende controles, ofwel een gedocumenteerde risico-aanvaarding. Die beslissing is menselijk. Een AI die "implementeer de controle" voorstelt mist het punt; het punt is verantwoorden waarom een alternatief verdedigbaar is.
4. Verantwoordelijkheid dragen
Als een audit faalt, krijgt het bedrijf de boete en tekent de bestuurder. Niet de AI-leverancier. Compliance-verantwoording is juridische verantwoording. AI is een tool binnen de workflow van het verantwoordelijke team, geen vervanger van de verantwoordelijke mens.
Hoe herken je een leverancier die een demo verkoopt, geen product
Wanneer je een "AI-compliance" leverancier evalueert, luister naar deze patronen. Elk is een teken dat het product geen echte CAB-audit overleeft:
- "Compliance in 24 uur." Een CAB-audit vereist weken voorbereiding. Vierentwintig uur produceert een glimmend dashboard, geen audit-readiness.
- "Geen mens in de loop." Zoek de menselijke goedkeuringspoort. Als output rechtstreeks van het model naar de klant gaat, heeft de leverancier compliance niet opgelost — ze hebben marketingteksten geautomatiseerd.
- Geen vermelding van evidence. Auditeurs verifiëren evidence: screenshots, logs, ondertekende policies. Als de demo enkel control-checklists toont, vraag dan waar de evidence-kluis is en hoe ze onderhouden wordt.
- Geen vermelding van de CAB-auditeur. De taak van het product eindigt aan de deur van de auditeur. Een leverancier die niet praat over hoe zijn output integreert met een BELAC-erkend auditorgaan, heeft niet verder gedacht dan de demo.
- Geen workflow voor regelgevingsupdates. Het CCB werkt implementatieleidraden regelmatig bij. Als het platform geen gedocumenteerd proces heeft voor hoe AI-gegenereerde content actueel blijft naarmate regelgeving evolueert, rot de content vanaf dag één.
De juiste taakverdeling: AI onder specs, mensen in de loop
Een werkende AI-compliance pijplijn heeft overal dezelfde vorm: mensen definiëren de rails (getypeerde controles, audit-vormige specs, primaire-broncontroles, goedkeuringspoorten) en AI vult het volumewerk binnen die rails. De rails bepalen wat mogelijk is. AI versnelt de uitvoering.
- AI mapt elke CyFun-controle op je bedrijf. Een mens beoordeelt de mapping op scope-sanity.
- AI maakt het beleid op. Een mens leest het tegen operationele realiteit en tekent af.
- AI structureert het audit-pak. Een menselijke MSP verzamelt fysiek de firewall-screenshot, de back-up logs, het access-review bewijs.
- AI markeert nieuwe CCB-leidraad. Een mens beslist welke artikels, controles en policies effectief herwerkt moeten worden.
Wie "compliance via AI" verkoopt zonder die menselijke stap, verkoopt een demo, geen product. De audit geeft niet om je demo. De audit geeft om of je evidence stand houdt. Plan daarop.
FAQ
Kan AI de CAB-auditeur vervangen?
Nee. CyFun-certificering wordt uitgevoerd door een BELAC-erkend conformiteitsbeoordelingsorgaan. In april 2026 zijn er twee erkend in België. AI kan er geen van zijn. AI bereidt het auditdossier voor; de menselijke auditeur tekent af.
Kan AI de MSP vervangen?
Nee. De MSP verifieert fysiek de firewall-regels, voert de patch-cyclus uit, monitort de access-reviews. AI kan niet naast de rack staan of de laptop openen. AI versnelt het werk van de MSP; het haalt de MSP niet uit de workflow.
Waar is AI dan wel nuttig voor in compliance?
Mapping, opstellen, structureren, vertaling, tracking. AI haalt het volumewerk weg — de delen die een mens slecht doet omdat er te veel van is. Dat maakt de mens vrij voor de delen die AI slecht doet: oordeel, verificatie, verantwoording.
Doet ECP aan "AI-compliance"?
ECP is AI-geassisteerde compliance-tooling voor MSP's. Het platform doet de mapping, het opstellen, het structureren. De MSP doet de fysieke verificatie en verantwoording. De CAB-auditeur tekent af. Drie rollen. Elk in zijn rijstrook.
Verder lezen
-
Hoe bereid je je voor op je CyFun-audit →
De menselijke stappen die het bewijspakket opleveren dat de auditeur ondertekent.
-
Wat een CAB-audit werkelijk kost →
De audit-kant van de keten. Twee BELAC-erkende organen in België, huidige flessenhals, prijzen.
-
Mock audit: droogloop vóór de echte →
Vang de gaten die AI niet ziet door eerst een mens-geleide mock-audit te draaien.
-
Hoe je een NIS2 audit-readiness traject scope't →
De afwegingen (in/uit scope, important vs essential) die AI niet legitiem kan maken.
-
Wat moet je je MSP vragen over cybersecurity? →
Vragen om leveranciers te evalueren. Zelfde vorm als de red-flag checklist hierboven, toegepast op je IT-partner.
Zie hoe ECP de AI-kant draait, eerlijk.
Onze interne "Hoe wij werken"-pagina documenteert de agent-stack die we gebruiken om het platform zelf te bouwen — en de vier vertrouwens-rails die AI-output passeert voor het bij een klant terechtkomt.
Hoe wij werken →