BaFin wil snellere IT-inspecties door groeiende AI-dreiging

De Duitse financiële toezichthouder BaFin gaat banken en andere financiële instellingen gerichter controleren op cyberrisico’s die samenhangen met kunstmatige intelligentie. Daarmee schuift AI-toezicht een stuk dichter naar de werkvloer: minder strategie op papier, meer technische controles op echte kwetsbaarheden.

BaFin-president Mark Branson waarschuwde dat de cyberrisico’s door snelle AI-ontwikkeling “groeiend” en “substantieel” zijn. Volgens Reuters wil de toezichthouder daarom een nieuwe afdeling opzetten voor zogeheten IT spotlight inspections: gerichte IT-controles die sneller en efficiënter moeten zijn dan brede, langdurige onderzoeken.

De zorg van BaFin gaat niet alleen over banken die zelf AI inzetten. Het risico zit ook bij aanvallers. Reuters meldde dat BaFin vreest dat krachtige AI-modellen zwakke plekken veel sneller kunnen vinden en uitbuiten, juist ook in oudere IT-systemen waar financiële instellingen nog vaak op draaien.

Dat maakt dit verhaal zo relevant voor de financiële sector. Banken en verzekeraars hebben zelden één strak modern systeem. Ze werken meestal met een mix van nieuwe digitale lagen, uitbestede ICT-diensten en oudere infrastructuur. BaFin noemt voor 2026 niet voor niets zowel zware cyberincidenten als concentratierisico’s bij ICT-uitbesteding als focusrisico’s voor de Duitse financiële markt.

BaFin kiest hier duidelijk voor een andere toon. Niet alleen kaders en principes, maar ook gerichte controle op wat instellingen technisch echt aankunnen. In zijn toespraak zei Branson dat de beste bijdrage van BaFin aan cybersecurity is om meer en gerichtere inspecties uit te voeren.

Dat past ook bij een bredere lijn die BaFin eerder heeft uitgezet. In december 2025 publiceerde de toezichthouder al een oriëntatiehulp over ICT-risico’s bij het gebruik van AI in financiële ondernemingen. De eigen risico-publicaties van BaFin noemen die leidraad expliciet als onderdeel van de voorbereiding van instellingen op AI-gerelateerde IT-risico’s.

De praktische boodschap is hard. Financiële instellingen kunnen AI niet langer behandelen als los innovatiethema. Zodra toezichthouders AI koppelen aan cyberdreiging, legacy-IT en operationeel risico, hoort het onderwerp thuis bij bestuur, risicobeheer en IT-beveiliging tegelijk. Dat is een journalistieke gevolgtrekking op basis van de manier waarop BaFin het onderwerp nu framet.

Voor 2026 wil BaFin bovendien minstens 75 speciale onderzoeken uitvoeren in de bank- en niet-bankensector. In die planning noemt de toezichthouder bij banken expliciet cyberrisico’s met zware gevolgen als aandachtspunt.

Voor Nederlandse en Belgische banken is dit niet zomaar Duits nieuws. Veel financiële instellingen opereren grensoverschrijdend, gebruiken vergelijkbare leveranciers en worstelen met dezelfde combinatie van cloud, oude systemen en strengere digitale toezichtseisen.

De Duitse lijn is daarom een nuttig signaal voor de rest van Europa: toezichthouders willen niet meer alleen horen dat instellingen “met AI bezig zijn”, maar zien of de verdediging tegen AI-gedreven aanvallen echt werkt. Dat is een journalistieke afleiding uit BaFin’s aangekondigde toezichtsstap en de aard van de risico’s die het noemt.

De richting voor 2026 lijkt daarmee helder. Minder mooie AI-verhalen. Meer gerichte IT-inspecties. Minder beleidsstukken. Meer bewijs dat kritieke systemen, leveranciersketens en incidentrespons bestand zijn tegen tegenstanders die zelf ook steeds krachtiger AI gebruiken.