EU wil niet alleen AI reguleren, maar ook toegang tot cybermodellen

De Europese Commissie voert gesprekken met OpenAI en Anthropic over toegang tot AI-systemen voor cybersecurity. Daarmee verschuift de discussie over AI-veiligheid van regels op papier naar een veel concretere vraag: wie mag de krachtigste cybermodellen gebruiken, controleren en testen?

Dat is precies waarom dit dossier ineens groter wordt dan een gewone AI-beleidsupdate.

Tot nu toe draaide veel Europees AI-beleid om verplichtingen, transparantie en risicobeheersing onder de AI Act. Maar in deze gesprekken gaat het om iets anders: Brussel wil niet alleen weten welke risico’s frontier-modellen opleveren, maar ook wat ze in de praktijk kunnen betekenen voor digitale verdediging.

Op dit moment staat OpenAI duidelijk verder in dat proces.

Reuters meldde op 11 mei dat de Europese Commissie een concreet aanbod van OpenAI heeft ontvangen om open toegang te geven tot zijn cybersecurityfuncties. Commissie-woordvoerder Thomas Regnier zei tegelijk dat de Commissie wel vier of vijf gesprekken met Anthropic heeft gevoerd, maar nog niet op het punt is aangekomen waarop mogelijke toegang tot Anthropic-modellen wordt besproken.

Dat verschil is politiek relevant.

Met OpenAI praat Brussel dus al over echte toegang. Met Anthropic vooral nog over gesprekken. En juist daardoor wordt zichtbaar dat de Commissie niet alleen technologie vergelijkt, maar ook de bereidheid van AI-bedrijven om Europese instellingen en vertrouwde partijen echt mee te laten kijken. Die laatste conclusie is een journalistieke gevolgtrekking op basis van de publieke lijn van de Commissie.

OpenAI verpakt zijn aanbod nadrukkelijk als samenwerking met Europa.

Volgens de brief van George Osborne, die Reuters citeert, wil het bedrijf via een “OpenAI EU Cyber Action Plan” werken met Europese beleidsmakers, instellingen en bedrijven door toegang tot defensieve tools te verbreden voor vertrouwde partijen. Reuters meldde een dag later ook dat OpenAI zijn nieuwste modellen, waaronder GPT-5.5-Cyber, beschikbaar maakt voor Europese bedrijven als Deutsche Telekom, BBVA, Telefónica, Sophos en Scalable Capital.

Dat maakt de inzet concreet.

OpenAI praat hier niet over een algemene chatbot, maar over modellen die volgens het bedrijf kunnen helpen bij kwetsbaarheden opsporen, code analyseren, malware beoordelen, patchvalidatie en andere verdedigende cybertaken. In de eigen uitleg van Trusted Access for Cyber noemt OpenAI die use-cases expliciet, samen met zwaardere verificatie en strengere toegangscontroles voor gevoeliger workflows.

Hier zit de echte omslag.

OpenAI beschrijft Trusted Access for Cyber als een identity- en trust-based framework dat de cybercapaciteiten van GPT-5.5 bruikbaarder maakt voor geverifieerde verdedigers, terwijl misbruik voor schadelijke activiteiten moet worden beperkt. Voor gespecialiseerde workflows, zoals geautoriseerde red teaming en gecontroleerde validatie, gebruikt het bedrijf zelfs een nog permissiever modelniveau via GPT-5.5-Cyber, met extra verificatie en accountbeveiliging.

Dat betekent dat AI-veiligheid niet langer alleen draait om wat een model níét mag doen.

Het gaat steeds meer over wie het model wél mag gebruiken voor defensieve taken, onder welke beveiliging en met welke institutionele toestemming. Dat is geen bijzaak meer, maar de kern van dit dossier. Die laatste duiding volgt uit de manier waarop OpenAI toegang nu zelf structureert.

Anthropic staat in dit verhaal niet buiten spel, maar wel op meer afstand.

Reuters meldde op 17 april al dat Anthropic met de Europese Commissie spreekt over verschillende modellen, waaronder cybersecuritymodellen die nog niet in de EU beschikbaar zijn. Daarbij heeft het bedrijf zich volgens de Commissie wel verbonden aan de Europese gedragscode voor general-purpose AI.

Toch is dat iets anders dan toegang geven.

Op 11 mei maakte de Commissie zelf expliciet dat Anthropic nog niet op hetzelfde punt is als OpenAI. Dat wil niet automatisch zeggen dat Anthropic dwarsligt of dat OpenAI de betere partner is, maar wel dat Brussel de bereidheid tot openstelling nu zichtbaar meeweegt. Ook dat is een journalistieke gevolgtrekking op basis van de uitspraken van Regnier.

Voor Nederland en België is dit geen ver-van-mijn-bednieuws.

OpenAI rolt zijn cybertoegang juist uit in sectoren als financiële dienstverlening, telecom, energie en publieke diensten. Dat zijn precies de domeinen waar Europese landen, toezichthouders en infrastructuurbeheerders het meeste belang hebben bij snellere detectie van kwetsbaarheden en betere verdediging tegen aanvallen.

Daar zit ook de gevoeligheid.

Naarmate AI-systemen beter worden in softwareanalyse, kwetsbaarheden vinden en verdedigende workflows ondersteunen, wordt toegang zelf een strategische kwestie. Niet alleen voor bedrijven, maar ook voor staten en toezichthouders. Die slotsom is een journalistieke afleiding uit de use-cases die Reuters en OpenAI beschrijven.

De bredere politieke lijn wordt daarmee steeds zichtbaarder.

OpenAI ligt in Europa al onder extra aandacht. Reuters wees er op 11 mei op dat de brief van Osborne kwam een maand nadat de Europese Commissie had gezegd dat ChatGPT als een very large online search engine onder de Digital Services Act moest worden behandeld. Tegen die achtergrond is het logisch dat OpenAI zich nu ook probeert te positioneren als leverancier van verdedigingscapaciteit, niet alleen als bron van nieuwe risico’s.

Dat maakt cybertoegang een onderhandelingspunt.

Brussel wil grip op wat frontier-modellen kunnen. De bedrijven willen tegelijk toegang houden tot de Europese markt en invloed op hoe hun systemen daar worden beoordeeld. Daardoor draait deze discussie al minder om abstracte AI-ethiek en meer om concrete ruilverhoudingen tussen markttoegang, toezicht en technologische openheid. Die laatste observatie is een journalistieke interpretatie op basis van de publieke timing en de opstelling van Commissie en bedrijven.

Voorlopig is er nog geen eindpunt bereikt.

De Commissie heeft een aanbod van OpenAI ontvangen, maar dat is nog iets anders dan een uitgewerkte Europese toegangsinfrastructuur. En Anthropic zit nog in een eerdere fase van overleg. De komende maanden moeten laten zien of dit leidt tot echte tests, bruikbare operationele samenwerking en duidelijke voorwaarden voor wie zulke modellen mag inzetten.

Maar het signaal is al helder.

Europa wil AI-bedrijven niet meer alleen reguleren op afstand. Het wil ook dichter op hun krachtigste cybercapaciteiten zitten. En daarmee verschuift AI-veiligheid definitief van de vraag wat modellen niet mogen doen, naar de vraag wie ze onder welke voorwaarden wel mag gebruiken.