Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

AI in de energiesector: kritieke infrastructuur en NIS2

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

AI die het beheer of de werking van energievoorziening aanstuurt, kan onder de AI Act hoogrisico zijn (bijlage III, kritieke infrastructuur). Tegelijk valt de energiesector onder NIS2 voor cyberbeveiliging. Twee regimes met deels overlappende eisen aan robuustheid en toezicht.

Kort antwoord: AI in de energiesector raakt twee regimes. Stuurt het AI-systeem als veiligheidscomponent het beheer of de werking van kritieke infrastructuur — denk aan netbalancering, smart grids of leveringszekerheid — dan kan het onder bijlage III van de AI Act hoogrisico zijn. Daarnaast valt de sector als "essentiële entiteit" onder NIS2. Beide stellen eisen aan robuustheid, beveiliging en toezicht, die je het best samen invult.

Bijlage III: kritieke infrastructuur

Bijlage III van de AI Act classificeert AI-systemen die zijn bedoeld als veiligheidscomponent in het beheer en de werking van kritieke digitale infrastructuur, het wegverkeer en de levering van onder meer elektriciteit als hoogrisico. De toets is functioneel: bepaalt het systeem (mede) of de levering veilig en betrouwbaar blijft? Een AI die belasting voorspelt voor planning is iets anders dan een AI die in realtime ingrijpt op het net — die laatste leunt richting hoogrisico.

NIS2: cyberbeveiliging

NIS2 (Richtlijn (EU) 2022/2555) merkt energie aan als sector met essentiële entiteiten. Dat brengt verplichtingen mee voor risicobeheer, incidentmelding, beveiliging van de toeleveringsketen en bestuurlijke verantwoordelijkheid. Voor AI-systemen die op kritieke processen draaien, betekent NIS2 dat de beveiliging van het systeem zelf — tegen manipulatie, vergiftiging van data of uitval — onderdeel is van de wettelijke zorgplicht, niet vrijblijvend.

Waar de regimes elkaar raken

De AI Act eist voor hoogrisico-systemen nauwkeurigheid, robuustheid en cyberbeveiliging (art. 15). NIS2 eist passende technische en organisatorische maatregelen voor de hele entiteit. Die overlappen in de praktijk: een aanval die een net-AI misleidt, is tegelijk een AI Act-robuustheidskwestie en een NIS2-incident. Slim is om de AI-risicobeheersing in te bedden in het bredere NIS2-beveiligingsbeleid, zodat één governance-structuur beide afdekt.

Niet alles is hoogrisico

Veel energie-AI is geen veiligheidscomponent: verbruiksvoorspelling, tariefoptimalisatie of klantanalyses. Die vallen buiten bijlage III, maar kunnen wél onder de AVG vallen (slimme meters, profilering) of onder NIS2 als ze op kritieke systemen draaien. Het patroon van samenloop tussen veiligheid en sectorregels lijkt op dat bij AI in de industrie.

Wat te doen

  • Classificeer per systeem: is de AI een veiligheidscomponent voor de levering, of ondersteunend?
  • Integreer governance: breng AI Act-robuustheid onder in je NIS2-beveiligingsbeleid.
  • Borg incidentmelding: zorg dat AI-storingen passen in de NIS2-meldketen.
  • Bescherm de data en het model tegen manipulatie en vergiftiging — dat is zowel AI Act als NIS2.
  • Beleg verantwoordelijkheid op bestuursniveau; NIS2 maakt dat expliciet.

In de energiesector is AI zelden een losstaand IT-project. Het is onderdeel van kritieke infrastructuur, en wordt door AI Act en NIS2 samen beoordeeld.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): bijlage III noemt AI als veiligheidscomponent in het beheer en de werking van kritieke infrastructuur als hoogrisico.
  2. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2): cyberbeveiligingsverplichtingen voor essentiële entiteiten, waaronder de energiesector.

Deel op LinkedIn

Lees ook

W

Nauwkeurigheid, robuustheid en cyberbeveiliging: artikel 15 van de AI Act

Artikel 15 eist dat hoogrisico-AI een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging haalt over de hele levensduur. Het systeem moet bestand zijn tegen fouten, storingen en aanvallen zoals data poisoning en adversarial input. Dit artikel legt uit wat dat betekent.

W

De AI Act voor de CISO: artikel 15, NIS2 en de CRA

De AI Act stelt in artikel 15 eisen aan nauwkeurigheid, robuustheid en cyberbeveiliging van hoogrisico-AI. Voor de CISO komt dit boven op NIS2 en de Cyber Resilience Act. Dit overzicht legt de samenloop uit en wat security-teams concreet moeten regelen.

U

AI in telecom: netwerkbeheer, fraudedetectie en NIS2

Telecombedrijven zetten AI in voor netwerkoptimalisatie en fraudedetectie. De AI Act raakt vooral fraudedetectie die klanten beoordeelt, terwijl NIS2 strenge eisen stelt aan de cyberbeveiliging en incidentmelding van deze essentiële infrastructuur.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.