De andere link tussen NIS2 compliance en AI

Er komen geleidelijk meer persberichten voorbij waarin iets wordt gezegd over NIS2 en AI onder de aandacht wordt gebracht. Een voorspelbare combinatie wat NIS2 compliance betekent dat vele data en processen in de gaten gehouden moeten worden. En dat is iets dat AI schijnbaar goed kan doen. Organisaties die binnen de scope van NIS2 vallen moeten kunnen aantonen dat ze permanent in control zijn, 24/7/365 weten wat waar gebeurt. Iedereen snapt dat het optuigen van processen die dat kunnen makkelijker is dat het controleren van de output. Alle data moet worden geanalyseerd en afwijkingen beoordeeld. Mensen kunnen dat, maar er is een grens aan de hoeveelheid werk die iemand vol geconcentreerd kan doen.

AI/ML inzetten om NIS2 compliant te zijn

Wat zou het mooi zijn als de eerste analyses, het werken met een grove zeef, door een machine kan worden gedaan. Om het helemaal aantrekkelijk te maken wordt dat AI genoemd. Die term maakt meer indruk dan ML (machine learning). AI/ML maakt de eerste selectie. Afhankelijk van de omgeving kan het daarbij gaan om het herkennen van dynamische externe bedreigingen, issues waarvoor meldingsplichten gelden maar ook het onderscheid maken tussen insider risico’s en alles dat extern is. Alles wordt bijgehouden en gerapporteerd. Echter alleen zaken die echt afwijken, geen false positive zijn, komen op het bureau van een mens terecht. Dit zou moeten werken. Toch?

AI/ML blackbox

Het probleem bij deze versimpelde weergave is AI. Dat AI/ML hier een positieve bijdrage van vervullen is onomstreden. Wie de moeite neemt te prikken in de verhalen van vendoren of kritische vragen stelt bij presentaties komt er echter dat bijna iedereen erkent dat AI/ML hier een blackbox is. Natuurlijk zegt elke vendor dat zijn oplossing zo goed is getest en ontworpen dat bias en omissies uitgesloten zijn. Maar hoe toon je dat aan? Er zijn geen vrij toegankelijke audits over de werking van dit soort tooling. Je denkt binnen de lijntjes te blijven die NIS2 voorschrijft door echt heel veel data te vergaren en door AI/ML te laten analyseren en dan komt vervolgens de vraag of precies dat proces wel NIS2 compliant is. Dat wordt bedoeld met de andere link tussen NIS2 en AI.