Samenvatting
De Europese Centrale Bank (ECB) heeft in de week van 25 mei 2026 banken in de eurozone opgeroepen om de cybersecurityrisico's te bespreken die verband houden met foundation AI-modellen, met name Mythos, het instrument van Anthropic dat is geïntegreerd in het Project Glasswing-programma. Op 22 mei 2026 blijven de onderhandelingen tussen de Europese Unie en Anthropic over toegang van Europese banken tot Mythos in een impasse, zoals gerapporteerd door Crypto Briefing: de instellingen die onder toezicht staan van Frankfurt worden blootgesteld aan dezelfde softwarekwetsbaarheden als hun Amerikaanse concurrenten zonder te beschikken over het detectie-instrument dat de ECB nu van hen vraagt om in hun cyberhouding te integreren. De DORA-verordening, van toepassing sinds 17 januari 2025, legt een geharmoniseerd kader op voor het beheer van ICT-risico's, maar voorziet niet in soevereine toegang tot een offensief AI-instrument van derden - het Europese toezicht dringt aan bij zijn banken zonder de hefboom te hebben die ze hen vragen te gebruiken. "Er is een hele reeks cybersecurityproblemen waar we al jaren met banken aan werken, die allemaal nog steeds geldig zijn, maar gezien de AI-vooruitgang moeten ze sneller worden aangepakt" (vrije vertaling), aldus Frank Elderson aan de Financial Times, lid van de directie van de ECB en vicevoorzitter van de Toezichtsraad tot 14 december 2028. Het instrument blijft voorbehouden aan een veertigtal organisaties, voornamelijk Amerikaanse - geen enkele Europese bank staat op de lijst.
Een versnelling van de exploitatiecyclus van kwetsbaarheden
De urgentie die Elderson benadrukt, ligt in het feit dat Mythos het operationele evenwicht tussen aanval en verdediging verschuift. Het instrument is in staat om duizenden zero-day kwetsbaarheden in banksystemen te detecteren, volgens de elementen gerapporteerd door The Next Web die zich baseert op het interview met Elderson in de FT. De vicevoorzitter van de Toezichtsraad verduidelijkte dat een softwarepatch nu kan worden onderworpen aan reverse-engineering in ongeveer dertig minuten, vergeleken met meerdere weken eerder. Deze verkorting van de tijdspanne tussen de publicatie van de patch en de exploitatie van de verholpen kwetsbaarheid verandert de remediatiedynamiek kwalitatief: het venster waarin een instelling kwetsbaar blijft na het uitbrengen van een patch is aanzienlijk verkleind. Wat betreft de scope, volgens de officiële lijst van Anthropic, omvatten de lanceringspartners van het programma AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, de Linux Foundation, Microsoft, Nvidia en Palo Alto Networks - een dozijn voornamelijk Noord-Amerikaanse spelers. Reuters documenteerde dat Amerikaanse banken met toegang dringende correcties doorvoeren, die mogelijk dienstonderbrekingen voor hun klanten veroorzaken. De asymmetrie van toegang tussen geïntegreerde Amerikaanse instellingen en eurozonebanken die afwezig zijn in het programma is op dit moment een feit - geen klacht.
Een softwarepatch kan nu in ongeveer dertig minuten worden onderworpen aan reverse-engineering - vergeleken met meerdere weken eerder.
Volgens Frank Elderson, lid van de directie van de ECB, geciteerd door de Financial Times (doorgegeven door The Next Web, 25 mei 2026).
DORA legt de plicht, niet de hefboom
Het kader dat de ECB hanteert, wordt gesteld door de Europese verordening 2022/2554 van 14 december 2022 over de digitale operationele veerkracht van de financiële sector, genaamd DORA, die op 17 januari 2025 zonder overgangsperiode van toepassing werd voor een twintigtal categorieën financiële entiteiten. De artikelen 5 tot 16 leggen een geharmoniseerd kader op voor het beheer van risico's met betrekking tot informatietechnologie en communicatie (ICT); artikel 26 organiseert de threat-led penetration testing (TLPT), inlichtingengebaseerde penetratietests. Geen enkele bepaling van de verordening voorziet echter in soevereine Europese toegang tot een offensief AI-instrument van derden - dit punt is documenteerbaar door het lezen van de tekst zelf. Het Single Supervisory Mechanism (SSM) beschikt, zoals aangegeven in het jaarverslag 2025 van het ECB-bankentoezicht, over bindende maatregelen wanneer materiële ICT-zwakheden worden vastgesteld: het rapport herinnert eraan dat de toezichthouder in dergelijke gevallen kan eisen dat herstelplannen met mijlpalen, deadlines en toegewijde middelen worden opgesteld. Wat betreft offensieve tests, het TIBER-EU-kader (Threat Intelligence-Based Ethical Red-teaming, het Europese kader voor offensieve tests door rode teams), aangepast om in lijn te zijn met DORA, begeleidt de uitvoering van penetratietests die in overeenstemming zijn met artikel 26 DORA. Toch begeleiden deze instrumenten de uitvoering door banken zonder hen het detectie-instrument te bieden dat de ECB hen nu vraagt om in hun cyberhouding te integreren.
Een Amerikaanse precedent van zes weken, een stilte van Europese sectorale autoriteiten
De oproep van de ECB vindt zes tot zeven weken na een soortgelijk initiatief aan de andere kant van de Atlantische Oceaan plaats. Volgens Reuters, doorgegeven door AOL, hebben op 7 april 2026 de minister van Financiën Scott Bessent en de voorzitter van de Federal Reserve Jerome Powell een onaangekondigde spoedvergadering in Washington gehouden met de leiding van de Amerikaanse systeembanken - Jane Fraser voor Citigroup, Ted Pick voor Morgan Stanley, Brian Moynihan voor Bank of America. De Amerikaanse voorsprong ligt niet in een superieur regelgevend kader: het NIST Cyber AI Profile, ondersteund door het AI Risk Management Framework 1.0, blijft een vrijwillig kader en de Amerikaanse banksector heeft geen statutaire "toegangsrechten" tot Mythos. De asymmetrie tussen Washington en Frankfurt is het gevolg van een commerciële beslissing van Anthropic over de reikwijdte van Project Glasswing, niet van een hiërarchie van normen. Aan de kant van de Europese sectorale autoriteiten hebben de Europese Bankautoriteit (EBA) en het Europees Agentschap voor Cyberbeveiliging (ENISA) tot op heden geen specifieke richtlijnen gepubliceerd over offensieve AI van het type Mythos in 2025-2026 - de EBA-richtlijnen voor ICT-risicobeheer, herzien in 2025 om in lijn te zijn met DORA, behandelen niet specifiek offensieve AI van het type Mythos. De blokkade ligt in artikel 26 van verordening 2022/2554: het organiseert inlichtingengebaseerde penetratietests (TLPT) maar verplicht de toezichthouders niet om de geteste entiteiten soevereine toegang te garanderen tot de benodigde tools voor de uitvoering ervan - een leemte die noch DORA noch de technische reguleringsnormen aangenomen in 2024 door de Europese toezichthoudende autoriteiten (ESA's) dichten.
Het oog van ActuIA:
Frankfurt heeft een kader, geen instrument. Dit is de conclusie die de oproep van 25 mei oplegt: de ECB kan herstelplannen, mijlpalen, penetratietests in lijn met TIBER-EU eisen - ze kan de onder toezicht staande banken echter niet het kwetsbaarheidsdetectie-instrument leveren waarop Anthropic de toegang voorbehoudt aan een veertigtal Noord-Amerikaanse actoren. De prudentiële druk is reëel; de operationele hefboom ligt elders. De diagnose is niet nieuw: de ENISA Threat Landscape 2025, gepubliceerd in oktober 2025, documenteerde al de professionalisering van offensieve AI (Xanthorox AI en soortgenoten) en de versnelling van de exploitatiecyclus van kwetsbaarheden op Europees niveau - zonder dat een soeverein industrieel antwoord volgde. Voor de risicobeheer- en cyberafdelingen van onder toezicht staande instellingen is het werk dat moet worden gedaan vóór het verwachte FSB-rapport in juni 2026 concreet: nu al het verschil documenteren tussen de effectief beschikbare detectiecapaciteiten aan Europese kant en de prudentiële verwachtingen van de ECB - dit verschil, en alleen dit verschil, zal bescherming bieden bij een inspectie.