Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > CISA trok de rode lijnen voor Agentic AI — de meesten zijn er al overheen
CISA trok de rode lijnen voor Agentic AI — de meesten zijn er al overheen

CISA trok de rode lijnen voor Agentic AI — de meesten zijn er al overheen

by Uri Kedem updated mei 28, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Op 30 april en 1 mei 2026 publiceerden zes nationale cyberbeveiligingsinstanties gezamenlijk de Careful Adoption of Agentic AI Services, een 28 pagina’s tellend richtsnoer over het beveiligen van autonome AI-agenten — de eerste keer dat deze instanties samenwerkten aan één AI-aanvalsoppervlak. De taal is ongebruikelijk direct: geef agenten geen brede of onbeperkte toegang, begin uitsluitend met laag-risico en niet-gevoelige use-cases, en integreer agentic AI in het bestaande beveiligingsmodel in plaats van het als experiment te behandelen.

Zoals gemeld in CSO Online, benadrukten de instanties dat strikte naleving van het least privilege-principe cruciaal is voor agentic AI — waarbij privilege risk als primaire zorg wordt genoemd. Die zin is problematisch voor de meeste ondernemingen. De Kiteworks 2026 Forecast toonde aan dat 63% van de organisaties geen doeleindebeperking kan afdwingen bij AI-agenten, 60% een ontspoorde agent niet snel kan uitschakelen, en 55% AI-systemen niet kan isoleren van bredere netwerktoegang. Dit zijn precies de controles die het advies nu verwacht — en het verandert ze van een onderzoeksgebaseerde lacune naar een compliance-lacune.

5 Belangrijkste Inzichten

1. Het gezamenlijke Five Eyes-advies verhoogt de lat voor agentic AI.

Zes nationale cyberbeveiligingsinstanties — CISA, NSA, Australië’s ASD ACSC, het Canadian Centre for Cyber Security, de Britse NCSC en de Nieuw-Zeelandse NCSC — publiceerden gezamenlijk de Careful Adoption of Agentic AI Services. Zes instanties stemmen hun richtlijnen niet zomaar af. Het praktische effect: “beste practice” wordt vrijwel direct “verwachte praktijk”. Interne auditors verwijzen ernaar. Toezichthouders gebruiken het als referentie. Advocaten van eisers voegen het toe aan discovery-verzoeken. De AI governance-lacune die het documenteert, is nu een compliance-lacune.

2. Privilege creep is het belangrijkste risico.

Het advies plaatst afdwinging van least privilege, capaciteiteninventarisaties en strikt afgebakende data-toegang bovenaan de agentic AI-controleset. Dit is een probleem voor de meeste ondernemingen: privilege creep is precies wat agentic AI-inzet vaak veroorzaakt. De Kiteworks 2026 Forecast toonde aan dat 63% van de organisaties geen doeleindebeperking kan afdwingen bij AI-agenten — precies de controle die het advies nu vereist. Een onderzoeksgebaseerde lacune is nu een auditbevinding die wacht om opgeschreven te worden.

3. Continue auditing is niet langer optioneel.

Van operators wordt verwacht dat ze traceerbaarheid behouden voor elke beslissing en handeling van een agent. De Kiteworks 2026 Forecast liet zien dat 33% van de organisaties geen audittrail van bewijskwaliteit heeft en 61% gefragmenteerde logs gebruikt die niet bruikbaar zijn. Een toezichthouder die bewijs vraagt dat een specifieke agent op een bepaalde datum geen specifiek record heeft geraadpleegd, zal geen genoegen nemen met “de systeemprompt zei dat het niet mocht”. De accountability-categorie is waar de meeste programma’s instorten.

4. Vijf risicocategorieën definiëren nu agentic AI-beveiliging.

Privilege-, ontwerp- en configuratierisico’s, gedragsrisico’s, structurele risico’s en accountability-risico’s vormen het nieuwe raamwerk. Elk correspondeert met een vraag die auditors zullen stellen: Wie heeft dit geautoriseerd? Wat heeft de agent geraadpleegd? Kun je de log overleggen? Kun je de beslissing uitleggen? Als het antwoord op een van deze vragen “dat weten we niet zeker” is, voldoet het programma niet aan de standaard die het advies nu stelt. De accountability-categorie is het moeilijkst achteraf te implementeren en het belangrijkst om goed te krijgen.

5. De data layer is waar het echt wordt.

Systeemprompts zijn instructies, geen controles. Runtime guardrails werken op de host, niet op de data. Beide kunnen worden omzeild. Alleen afdwinging op de data layer — op attributen gebaseerde toegangscontrole onafhankelijk van het model, manipulatiebestendige audittrails en cryptografische identiteit — levert bewijs dat toezichthouders accepteren nadat het model is bijgewerkt of buiten gebruik is gesteld.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?

Lees nu

Vijf Risicocategorieën Die Agentic AI-Programma’s Zullen Bepalen

De gezamenlijke richtlijn verdeelt agentic AI-risico’s in vijf categorieën, zoals besproken door CyberScoop. Elk correspondeert direct met vragen die een auditor, toezichthouder of expert van een eiser zal stellen.

Privilege-risico’s. Agenten met te veel toegang veranderen een enkele compromittering in een grootschalig datalek. Het advies vraagt om capaciteiteninventarisaties, afgebakende permissies en geverifieerde cryptografische identiteit per agent.

Ontwerp- en configuratierisico’s. Slechte inrichting creëert beveiligingsgaten voordat het systeem live gaat. Threat modeling, secure-by-design architectuur en validatie van configuratie moeten plaatsvinden vóór inzet.

Gedragsrisico’s. Agenten streven doelen na op manieren die hun ontwerpers nooit hadden voorzien. Doel-mismatch en misleidend gedrag worden expliciet genoemd — het advies doet niet alsof prompt injection is opgelost.

Structurele risico’s. Netwerken van onderling verbonden agenten veroorzaken cascadefouten. Wanneer de gecompromitteerde output van de ene agent de input van een andere wordt, wordt de impact groter. De 55% van de organisaties die AI-systemen niet kunnen isoleren van bredere netwerktoegang, hebben geen praktische manier om deze risicocategorie te beheersen.

Accountability-risico’s. Beslissingen via ondoorzichtige processen, logs die moeilijk te analyseren zijn, en actieketens die achteraf niet kunnen worden gereconstrueerd. Hier vallen de meeste programma’s. Het is ook de moeilijkste categorie om achteraf te verbeteren als agenten al in productie zijn.

Waarom Systeemprompts en Runtime Guardrails Geen Audit Zullen Doorstaan

De gezamenlijke richtlijn vereist dat agentic AI wordt geïntegreerd in bestaande zero-trust-, defense-in-depth- en least privilege-raamwerken. Systeemprompts zijn instructies, geen controles. Runtime guardrails werken op de host, niet op de data. Beide kunnen worden omzeild door indirecte prompt injection, modelupdates of een aanvaller die de input van de agent beheerst. Fundamenteel onderzoek naar indirecte prompt injection liet jaren geleden al zien dat onzichtbare instructies in opgehaalde content LLM-geïntegreerde applicaties kunnen overnemen. Het probleem is niet opgelost, en diverse grote AI-bedrijven hebben publiekelijk toegegeven dat het mogelijk nooit volledig wordt opgelost.

Het accountability-probleem versterkt dit. Wanneer een model wordt bijgewerkt, buiten gebruik wordt gesteld of vervangen — wat vaak gebeurt — verdwijnt de audittrail die aan dat model is gekoppeld. Een toezichthouder die over drie jaar bewijs vraagt van een specifieke agent-actie zal geen genoegen nemen met “de systeemprompt zei dat het niet mocht”. Controles op het modellayer kunnen geen auditbestendig bewijs leveren. Controles op het runtime-layer kunnen geen data-handling policies afdwingen. De enige laag die zowel het advies als een auditor tevredenstelt, is de data layer — waar elke toegangsbeslissing wordt gelogd, elke autorisatie wordt geverifieerd en elke actie is toe te schrijven aan een door een mens geautoriseerde sessie.

Waar de Containment-lacune Vandaag Zit

De vijf containment-controles die het advies impliciet vereist, sluiten direct aan op de gemeten lacunes uit de Kiteworks 2026 Forecast:

Doeleindebinding. 63% kan geen doeleindebeperking afdwingen bij AI-agenten. De least privilege-vereiste van het advies gaat ervan uit dat je dat wel kunt.

Kill switch-capaciteit. 60% kan een ontspoorde agent niet snel uitschakelen. De human-in-the-loop-richtlijn van het advies gaat uit van een wezenlijke mogelijkheid om te stoppen.

Netwerkisolatie. 55% kan AI-systemen niet isoleren van bredere netwerktoegang. Zonder isolatie kan de structurele risicocategorie — cascadefouten tussen onderling verbonden agenten — niet worden begrensd.

Inputvalidatie. De meerderheid kan AI-inputs niet valideren. Indirecte prompt injection overleeft elke andere controle als inputs niet worden gevalideerd.

Continue monitoring. Ongeveer twee op de vijf organisaties monitoren AI-activiteiten niet continu. Aan de traceerbaarheidseis uit het advies kan dan niet worden voldaan.

Dit zijn geen point-product-falingen. Het zijn governance-architectuurproblemen — het ontbreken van een centrale plek waar toegang, identiteit, beleid en audit van AI-agenten kunnen worden afgedwongen en bewezen.

Architectuur Boven Ambitie: Waar Agentic AI Governance Moet Plaatsvinden

Het architecturale antwoord op het gezamenlijke advies is governance op de data layer, onafhankelijk van het model en onafhankelijk van de runtime. Het model kan worden bijgewerkt, gecompromitteerd of vervangen. De runtime kan worden omzeild. De data layer is de enige laag waar toegangsbeslissingen, identiteitsverificatie, beleidsafdwinging en manipulatiebestendige logging gegarandeerd kunnen worden bij elke agentinteractie — ongeacht welk model draait, welke prompt wordt verwerkt of welk agent-framework wordt gebruikt.

De Kiteworks Secure MCP Server en AI Data Gateway implementeren dit patroon: elk agentverzoek wordt geauthenticeerd via OAuth 2.0, geëvalueerd tegen ABAC-beleid in de Kiteworks Data Policy Engine, versleuteld met FIPS 140-3 gevalideerde cryptografie en gelogd in een manipulatiebestendige audittrail die bestaande SIEM– en compliance-infrastructuur voedt. Het Kiteworks Private Data Network breidt die governance uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s onder één policy engine en één geconsolideerde auditlog.

Minder dan de helft van de ondernemingen heeft vandaag een gecentraliseerde AI Data Gateway — de architecturale basis die het advies nu feitelijk vereist. De controles die boven die laag zitten, zijn te omzeilen. De data layer niet.

Wat Organisaties Moeten Doen Voor de Volgende Audit

Ten eerste inventariseer elke agent. Maak een compleet overzicht van elk agentic AI-systeem dat momenteel draait — interne copilots, ingebedde SaaS-agenten, afdelingspilots, tools van derden. De meeste organisaties zullen shadow AI ontdekken waarvan ze het bestaan niet wisten. Totdat de inventarisatie compleet is, doet geen enkele andere controle ertoe.

Ten tweede audit de lacune. Leg de huidige mogelijkheden naast de vijf risicocategorieën en identificeer welke controles vandaag een audit niet zouden doorstaan. De meeste organisaties zullen ontdekken dat ze geen doeleindebeperking kunnen afdwingen en geen duidelijke beëindigingsmogelijkheid hebben. Die uitkomst wordt de agentic AI-roadmap.

Ten derde dwing least privilege af op de data layer. Autorisatiebeslissingen voor AI-agenttoegang tot gevoelige data moeten plaatsvinden op de data layer, met op attributen gebaseerde toegangscontrole die rekening houdt met dataclassificatie, rechtsbevoegdheid en de menselijke gebruiker namens wie de agent handelt. Een gecentraliseerde AI Data Gateway is de architecturale basis die het advies nu feitelijk vereist.

Ten vierde bouw manipulatiebestendige audittrails voor elke agentactie. Elke agentinteractie met gereguleerde data moet worden gelogd met voldoende detail om te reconstrueren wie wat, wanneer en waarom heeft geautoriseerd — over de volledige levenscyclus van de data, niet alleen de levenscyclus van het model.

Ten vijfde behandel het gezamenlijke advies als het minimum, niet als het maximum. Organisaties die onder druk staan van de EU AI-wet lopen aantoonbaar voor op elk belangrijk AI-controlepunt. Het advies zal de lat wereldwijd verhogen. Wees de standaard voor voordat het de regel wordt — organisaties die wachten op regionale handhaving zullen governance onder tijdsdruk moeten aanpassen.

Meer weten over het beperken van agentic AI-risico? Plan vandaag nog een aangepaste demo.

Veelgestelde Vragen

Pas de vijf risicocategorieën toe: privilege, ontwerp en configuratie, gedrag, structureel en accountability. Vereis een capaciteiteninventarisatie, least privilege-afbakening, continue monitoring, human-in-the-loop-controles voor gevoelige acties en manipulatiebestendige auditlogs vóór goedkeuring van inzet. De meeste agentic AI-klantenservice-inzetten zullen bij de eerste beoordeling op één of meer van deze punten falen — het identificeren van die lacunes vóór inzet is de waarde van het advieskader.

Auditbestendigheid voor AI-agenttoegang tot PHI heeft nu een benoemde federale standaard. 63% van de organisaties kan geen doeleindebeperking afdwingen bij AI-agenten — een controle die HIPAA’s minimum-necessary standaard feitelijk vereist. Data-layer ABAC-afdwinging en manipulatiebestendige audittrails voldoen gelijktijdig aan zowel HIPAA als het gezamenlijke advies.

CMMC Level 2 AC-, AU- en IA-families vereisen afdwingbare autorisatie voor AI-agenten die CUI verwerken. Slechts 46% van de DIB-organisaties acht zich voorbereid volgens het Kiteworks 2025 CMMC Preparedness Report, en het gezamenlijke advies voegt daar agentic AI-controles aan toe. Data-layer governance met ABAC-afdwinging voldoet gelijktijdig aan alle drie de controlefamilies en levert het bewijs dat assessoren vereisen.

Ja. Het advies geldt voor elke agentic AI die autonoom kan plannen, beslissen of acties kan ondernemen — waaronder Copilot wanneer het met brede permissies wordt gebruikt. Minder dan de helft van de ondernemingen heeft een gecentraliseerde AI Data Gateway. Zonder zo’n gateway kunnen Copilot-inzetten niet aantonen dat ze voldoen aan de least privilege- en traceerbaarheidscontroles die het advies nu van elk agentic AI-systeem verwacht.

Begin met een volledige inventarisatie van elk agentic AI-systeem in de omgeving en leg vervolgens de controles naast de vijf risicocategorieën uit het CISA-advies. De twee meest voorkomende auditbevindingen zijn het onvermogen om doeleindebeperking af te dwingen en het ontbreken van een kill-switch-mogelijkheid. Beide oplossen vereist governance op de data layer — ABAC-afdwinging, FIPS 140-3 encryptie en manipulatiebestendige audittrails — niet model-layer guardrails.

Aanvullende Bronnen

  • Blog Post
    Zero‑Trust Strategieën voor Betaalbare AI-Privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-gegevensbeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van kleine bedrijven Russisch Roulette speelt met gegevensbeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor je data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks