We praten en schrijven op ChannelConnect al heel lang over NIS2 en de gevolgen voor IT-dienstverleners en hun klanten. Nu, ruim drie jaar na de aankondiging van NIS2 komt er eindelijk schot in de Nederlandse implementatie.

Terwijl in veel Europese landen de richtlijn al is omgezet in concrete wetgeving, gaat hier nu pas de internetconsultatie van start voor de ministeriële regeling onder de Cyberbeveiligingswet. Dat betekent dat de IT-community, toezichthouders en bedrijven pas in deze fase formeel mogen meedenken over de uitwerking. Een opmerkelijke vertraging, zeker gezien de impact van NIS2 op de digitale weerbaarheid van vrijwel alle sectoren.

Van richtlijn naar wet: een trage vertaalslag

De NIS2-richtlijn (Network and Information Security 2) werd eind 2022 vastgesteld door het Europees Parlement en de Raad van de EU. Lidstaten kregen tot oktober 2024 de tijd om de richtlijn om te zetten in nationale wetgeving. Waar landen als Frankrijk en Duitsland hun kaders al grotendeels klaar hebben, is Nederland pas net begonnen met de laatste fase: de inspraakronde voor de ministeriële regelingen die de praktische invulling vormen van de nieuwe Cyberbeveiligingswet.

Deze wet moet de Nederlandse vertaling worden van NIS2 en de verplichtingen vastleggen voor bedrijven en instellingen die vallen onder de categorie ‘essentiële’ of ‘belangrijke’ entiteiten. Denk aan energie, transport, IT-diensten, voedselvoorziening, zorg en overheid. Maar zolang de onderliggende regelgeving niet is afgerond, blijft onduidelijk welke specifieke verplichtingen gelden en wanneer toezicht daadwerkelijk van start gaat.

Ministeriële regelingen: de echte invulling

Waar de Cyberbeveiligingswet en het bijbehorende Cyberbeveiligingsbesluit vooral de hoofdlijnen vastleggen, zorgen de ministeriële regelingen voor de daadwerkelijke vertaling naar de praktijk. Daarin staan onder meer de sectorspecifieke beveiligingseisen, drempelwaarden voor de meldplicht bij incidenten en de manier waarop toezicht wordt ingericht.

Zes ministeries – Binnenlandse Zaken (BZK), Infrastructuur en Waterstaat (I&W), Economische Zaken (EZ), Klimaat en Groene Groei (KGG), Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN) en Volksgezondheid, Welzijn en Sport (VWS) – publiceren deze week hun conceptregelingen. Onderwijs, Cultuur en Wetenschap (OCW) volgt later. De consultatie loopt tot en met 21 december 2025 via internetconsultatie.nl.

Bijzonder is dat vier ministeries – I&W, EZ, KGG en LVVN – hebben gekozen voor een gezamenlijke uitwerking van de zorgplicht. Zo ontstaat één set beveiligingseisen voor meerdere sectoren, wat de administratieve last voor organisaties zou moeten beperken. De meldplicht voor incidenten krijgt daarentegen per sector een eigen invulling.

Jarenlange vertraging

De vertraging van de Nederlandse implementatie is niet nieuw. De eerste contouren van de Cyberbeveiligingswet doken al in 2023 op, maar sindsdien bleef het stil. Pas in het voorjaar van 2025 werd via een eerdere consultatie input gevraagd op de invulling van de zorgplicht. Dat die fase nu pas wordt gevolgd door de volledige ministeriële regelingen, betekent dat bedrijven voorlopig nog geen zekerheid hebben over de exacte eisen die aan hen gesteld worden.

Voor organisaties die onder NIS2 gaan vallen, is dat een probleem. De Europese richtlijn is formeel al van kracht, en in theorie zijn lidstaten verplicht de bepalingen te handhaven. Maar zonder nationale wetgeving kan er geen toezicht of handhaving plaatsvinden. Het gevolg: onzekerheid bij bedrijven, verwarring over verantwoordelijkheden en een groeiend risico dat Nederland opnieuw achterloopt op Europese normen voor cybersecurity.

Paralleltraject: de Wet weerbaarheid kritieke entiteiten

Naast de Cyberbeveiligingswet start ook de internetconsultatie voor de ministeriële regelingen onder de Wet weerbaarheid kritieke entiteiten (Wwke). Deze wet vertaalt de Europese CER-richtlijn, die zich richt op fysieke en digitale weerbaarheid van vitale infrastructuren. Ook hier geldt dat de uitwerking per ministerie verschilt, maar er wordt wel samengewerkt om doublures te voorkomen.

De overlap met de Cyberbeveiligingswet is groot: veel organisaties vallen onder beide wetten. In theorie zou dat voor consistentie moeten zorgen, maar zolang beide trajecten nog in consultatie zijn, blijft het gissen hoe de toezichtstructuren zich tot elkaar gaan verhouden.

Onrust in de IT-gemeenschap

Binnen de IT-sector klinkt al langer frustratie over het uitblijven van duidelijkheid. Zowel brancheverenigingen als securityspecialisten waarschuwen dat Nederland hierdoor risico loopt. Bedrijven weten niet goed waar ze aan toe zijn, en de kans bestaat dat implementaties die nu in gang worden gezet straks niet volledig aansluiten op de uiteindelijke eisen.

Ook op bestuurlijk niveau is er zorg. Toezichthouders zoals de Autoriteit Persoonsgegevens en Agentschap Telecom (tegenwoordig Rijksinspectie Digitale Infrastructuur) zullen hun capaciteit en werkwijze moeten aanpassen aan de nieuwe taken, maar zolang de wetgeving niet definitief is, blijft die voorbereiding beperkt.

Een inspraakronde die laat komt

Dat de internetconsultatie nu pas plaatsvindt, roept vragen op over de prioriteit die Nederland aan cybersecuritywetgeving geeft. De Europese Commissie heeft al eerder laten weten dat landen die te laat zijn met de implementatie, rekening moeten houden met formele waarschuwingen of zelfs boetes.

Tegelijk biedt de inspraakronde wel een kans om de wetgeving beter te laten aansluiten op de praktijk. IT-bedrijven, beveiligingsexperts en brancheorganisaties kunnen hun ervaringen en zorgen delen, bijvoorbeeld over de uitvoerbaarheid van de meldplicht of de overlap met bestaande regelgeving zoals de AVG en de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Wat er nu gebeurt

Na de consultatie worden de reacties per departement beoordeeld en waar nodig verwerkt in de definitieve teksten. Die gaan vervolgens naar de Tweede Kamer voor vaststelling. Pas daarna kan de Cyberbeveiligingswet daadwerkelijk in werking treden. Daarmee lijkt Nederland pas in 2026 echt klaar te zijn met de volledige implementatie van NIS2 – ruim anderhalf jaar na de Europese deadline.

Of dat te laat is, zal afhangen van hoe snel bedrijven zelf al anticiperen. Veel grotere organisaties zijn al bezig met de voorbereidingen op basis van de Europese richtlijn. Voor mkb-bedrijven en kleinere leveranciers zal de komende periode vooral duidelijk moeten maken wat er concreet van hen wordt verwacht.

De IT-sector zit in een overgangsperiode die dieper gaat dan de overstap van on-prem naar cloud. De manier waarop geld wordt verdiend, verandert fundamenteel. De beweging van licentie- en abonnementsmodellen naar managed en outcome-based diensten dwingt het hele kanaal tot herpositionering.

Het begon met de vraag om gemak. Organisaties wilden geen servers meer onderhouden, geen licenties meer tellen en geen upgrades meer plannen. SaaS leek het antwoord: een vast bedrag per maand voor software die altijd up-to-date is. Maar inmiddels verwachten klanten meer dan beschikbaarheid. Ze willen dat technologie aantoonbaar bijdraagt aan productiviteit, compliance, duurzaamheid of veiligheid.

Daarmee verschuift de vraag van wat je levert naar wat het oplevert. Bedrijven betalen liever voor meetbare uitkomsten dan voor technologie op zich. In die logica past de volgende stap: het outcome-based model, waarbij leveranciers niet worden beloond voor inspanning, maar voor resultaat.

Van licentie tot abonnement: de eerste transitie

Tot ver in de jaren 2000 draaide de IT-economie om eenmalige licentieverkopen, met onderhoudscontracten als bonus. Software werd lokaal geïnstalleerd en hardware verkocht met marges die ruimte boden voor implementatie en support. Dat model werkte zolang klanten bereid waren grote investeringen te doen en hun infrastructuur zelf te beheren.

Met de komst van SaaS veranderde dat beeld. In plaats van licenties te verkopen, konden softwareleveranciers abonnementen aanbieden. De inkomstenstroom werd voorspelbaar en de drempel voor klanten lager. Voor het kanaal betekende het: minder eenmalige omzet, maar stabiele maandelijkse inkomsten. Het was de eerste stap richting managed services, vaste tarieven voor doorlopende waarde.

De opkomst van managed services

Toen cloud en remote beheer volwassen werden, ontstond het managed-model. In plaats van losse abonnementen levert de dienstverlener complete ontzorging: monitoring, patchbeheer, beveiliging, back-ups en rapportage. Klanten betalen niet meer voor losse componenten, maar voor een volledig beheerde omgeving.

Dat model heeft zich razendsnel ontwikkeld. Msp’s combineren inmiddels tientallen tools in één beheerd platform, waarbij automatisering het verschil maakt tussen winst en verlies. Toch staat ook deze aanpak onder druk. Klanten willen niet alleen ontzorging, maar bewijs van effect. Ze vragen: Wat levert dit contract mij op? En daar begint het outcome-based denken.

Outcome-based: betaald worden voor resultaat

In een outcome-based model verschuift de focus van inspanning naar prestatie. De leverancier of msp wordt afgerekend op vooraf gedefinieerde KPI’s, zoals uptime, productiviteit, hersteltijd of energiebesparing. Het verdienmodel wordt dus gekoppeld aan de bedrijfsdoelen van de klant.

Een voorbeeld is HPE GreenLake, waar klanten betalen op basis van daadwerkelijk verbruik en prestaties, niet voor geïnstalleerde capaciteit. Cisco+ en Dell APEX volgen dezelfde richting. Ook in security ontstaan modellen waarin leveranciers alleen betaald krijgen wanneer incidenten binnen afgesproken kaders blijven of snel worden verholpen.

Voor partners betekent dit een fundamentele omslag: het risico verschuift van klant naar leverancier. Wie garanties afgeeft, moet de prestaties kunnen meten, rapporteren en bijsturen.

Drie drijfveren achter de verschuiving

De impact op het kanaal

De beweging richting outcome-based raakt alle schakels in het IT-kanaal.

Distributeurs evolueren van doorgeefluik tot enablement-partner. Ze financieren de eerste implementaties, bieden consumptiemodellen aan en helpen partners bij cashflow-beheer. Steeds vaker verzorgen ze ook training, automatisering en dataverzameling, zodat msp’s hun SLA’s kunnen waarmaken.

Msp’s krijgen te maken met complexere contracten en hogere verwachtingen. Waar je voorheen niets meer of minder was dan een beheerder, draag je nu verantwoordelijkheid voor wat er gebeurt. Dat betekent volwassen rapportage, risk management en voorspellende analyses. De grens tussen technische dienstverlener en business-consultant vervaagt.

ISV’s zien het einde van de eeuwige licentie. Hun succes hangt af van de performance van partners. Dat leidt tot nauwere samenwerking met integrators en msp’s die de software in operationele context kunnen bewijzen. Veel vendors ontwikkelen daarom eigen ‘as-a-Service’ proposities, inclusief pay-per-use- of performance-modellen.

De financiële realiteit

Outcome-based dienstverlening klinkt aantrekkelijk, maar heeft een keerzijde: het geld komt later. De initiële investering is hoger, terwijl de terugverdientijd afhangt van prestaties over maanden of jaren. Dat vraagt om financiering, risicodeling en betrouwbare meetmodellen.

Sommige distributeurs spelen hierop in met as-a-Service-financiering of consumption credits, waarmee partners de overgang kunnen overbruggen. Ook verzekeraars tonen interesse in prestatie-gebaseerde contracten, waarbij risico’s worden gedeeld op basis van data.

Het voordeel is dat wie het volhoudt, stabiele, langdurige relaties opbouwt. De voorspelbare cashflow maakt bedrijven minder afhankelijk van kwartaalverkopen en meer waardevast op de lange termijn.

Nieuwe praktijkvoorbeelden

De markt kent inmiddels talloze varianten van dit model. Zo bieden distributeurs als TD SYNNEX en Arrow financieringsoplossingen waarbij partners lifecycle-contracten kunnen afsluiten of kiezen voor een pay-as-you-grow-structuur. In security-diensten rekenen sommige MDR-aanbieders niet meer per seat, maar op basis van prestaties, bijvoorbeeld het aantal incidents avoided of de gemiddelde oplostijd.

Ook in de datacenterwereld wordt het verdienmodel steeds vaker gekoppeld aan aantoonbare efficiëntie of CO₂-besparing, ondersteund door real-time sensordata. En bij Workplace-as-a-Service factureren leveranciers op basis van uptime, tevredenheid of productiviteit in plaats van aantallen apparaten. Het onderliggende idee is dat data prestaties meetbaar maakt, en wat meetbaar is, kan als dienst worden verkocht.

Wat je als partner moet herzien

De overstap naar outcome-based dienstverlening vereist een herziening van het hele operationele fundament.

• Contracten: SLA’s worden vervangen door XLA’s (Experience Level Agreements) met meetbare KPI’s die verder gaan dan uptime.
• Pricing: tarieven moeten rekening houden met risico, performance-bonus of malus en continue optimalisatie.
• Rapportage: transparantie is essentieel. Klanten willen dashboards, geen beloftes.
• Data-management: real-time inzicht is de enige manier om prestaties aan te tonen en bij te sturen.
• Samenwerking: partnerschappen worden intensiever, omdat niemand alle expertise in huis heeft.

De menselijke factor

Technologie maakt outcome-based modellen mogelijk, maar het is de menselijke factor die ze geloofwaardig maakt. Klanten willen partners die hun bedrijfsdoelen begrijpen en niet wegduiken bij tegenslag. Een prestatiecontract werkt alleen als beide partijen bereid zijn transparant te zijn over cijfers, risico’s en verwachtingen.

Het nieuwe verdienmodel is dus eerder gebaseerd op relaties dan op economische gronden. De leverancier verkoopt geen uren of producten, maar vertrouwen, ondersteund door data.

De weg vooruit

De komende jaren zal de scheidslijn scherper worden tussen aanbieders die blijven denken in transacties en partijen die sturen op waarde. Outcome-based modellen zullen niet overal passen; sommige klanten willen nog steeds vaste prijzen of klassieke SLA’s. Maar de trend is onomkeerbaar: technologie wordt afgerekend op resultaat.

De browser, ooit een stille interface tussen mens en internet, staat opnieuw in de schijnwerpers. Sinds OpenAI onlangs zijn eigen browser Atlas lanceerde, is het duidelijk dat grote en kleine spelers in de AI-markt een nieuwe strijd aangaan: niet om zoekmachines, maar om het toegangspunt zelf. Waarom willen al die AI-bedrijven ineens een eigen browser, en wat zegt dat over de richting die het internet opgaat?

OpenAI noemt Atlas de plek ‘waar je werk, tools en context samenkomen’. De browser is niet langer een neutrale omgeving, maar het centrale platform voor persoonlijke AI-assistenten. Wie de browser controleert, krijgt toegang tot de digitale routine van de gebruiker: wat je zoekt, leest, aanklikt of invult. Dat maakt het een ideale basis voor AI-diensten die context nodig hebben om relevant te zijn.

Ook Perplexity AI, dat in juli zijn browser Comet lanceerde, denkt in die richting. De startup wil dat je niet meer zoekt, maar vraagt, en dat de browser het antwoord al op de pagina plaatst. Hun bod van 34,5 miljard dollar op Google Chrome, eerder dit jaar, paste precies in dat plaatje: een directe toegangspoort tot honderden miljoenen gebruikers.

OpenAI’s Atlas: assistent in elke tab

Atlas verschilt van klassieke browsers doordat ChatGPT overal aanwezig is. In elke tab kun je vragen stellen, teksten laten samenvatten of acties uitvoeren. Met de ‘agent mode’ kan de AI zelfs zelfstandig onderzoek doen of formulieren invullen. Volgens OpenAI blijft de gebruiker eigenaar van de data, maar de verleiding is groot om steeds meer context te delen, juist omdat de assistent daar beter van wordt.

Daarmee schuift OpenAI het web langzaam op richting een interactiemodel waarin niet jij, maar een agent navigeert. Jij vraagt, de AI klikt. Wat je ziet, is het resultaat van die bemiddeling.

Comet en Dia: nieuwkomers met hetzelfde doel

Perplexity’s Comet en de Dia-browser van The Browser Company volgen dezelfde lijn. Beide zijn gebouwd op Chromium, de open-sourcebasis van Chrome. Het verschil zit in de laag erboven: een AI die begrijpt wat je doet en je helpt bij de volgende stap. Van automatische samenvattingen tot takenlijsten of e-mails opstellen vanuit webcontent, het is een workflowmodel waarin de browser een digitale werkassistent wordt.

De vraag is of gebruikers dat willen. De overstap naar een nieuwe browser is groot, en Chrome, Edge en Safari domineren de markt. Toch tonen de downloads van Comet sinds de zomer dat er animo is voor browsers die ‘meer doen dan alleen browsen’.

Google en Microsoft slaan een andere weg in

De gevestigde namen zien het gevaar. Google bouwt geen nieuwe browser, maar probeert Chrome zelf om te vormen tot een AI-platform. De integratie van Gemini in de adresbalk, Gmail en Docs maakt de stap naar ‘Gemini in Chrome’ logisch. Zo blijft Google eigenaar van het toegangspunt, zonder het merk opnieuw te moeten opbouwen.

Bij Microsoft Edge is dat proces al verder. De ingebouwde Copilot-sidebar vat pagina’s samen, vult formulieren in en combineert webdata met lokale bestanden. Dankzij Windows-integratie en nieuwe NPU-chips krijgt Edge een directe verbinding met lokale AI-verwerking. In feite is Edge vandaag al wat Atlas morgen wil worden: een browser die weet waar je mee bezig bent en daarop anticipeert.

Macht, data en vertrouwen

Onder de innovatie ligt een oude spanning: wie de interface bezit, bezit de gebruiker. Browsers verzamelen gedragsdata, voorkeuren en interacties, allemaal onmisbare brandstof voor AI-training. Dat roept vragen op over privacy, data-eigendom en transparantie.

OpenAI en Perplexity beloven instellingen waarmee gebruikers zelf bepalen wat er wordt gedeeld. Toch weten de meeste mensen nauwelijks hoeveel metadata een browser standaard verzamelt. Als AI-modellen steeds meer context gebruiken, groeit het risico dat ook gevoelige informatie in die stroom belandt.

Het web wordt minder open

Een tweede spanning is subtieler. AI-browsers laten gebruikers minder vaak zelf klikken. Ze presenteren antwoorden direct, zonder dat iemand nog websites bezoekt. Dat maakt informatie sneller beschikbaar, maar vermindert het verkeer naar kleinere sites. Het internet dreigt zo te verschuiven van een open netwerk naar een geaggregeerde AI-laag waar een handvol bedrijven bepaalt wat zichtbaar is. Een ontwikkeling die we maar al te goed kennen van sociale media.

Voor uitgevers en ontwikkelaars is dat geen goed nieuws. Minder zichtbaarheid betekent minder advertentie-inkomsten, minder data, minder invloed. Het is dezelfde discussie die eerder speelde bij de opkomst van zoekmachines, maar dan versterkt door AI-automatisering.

Een nieuwe browseroorlog?

De markt lijkt af te stevenen op een herhaling van de jaren 2000, toen Internet Explorer, Firefox en later Chrome vochten om marktaandeel. Alleen is de inzet nu groter: het gaat niet meer om snelheid of compatibiliteit, maar om context.

De nieuwe spelers bouwen browsers rondom hun AI-modellen; de gevestigde partijen voegen AI toe aan hun bestaande browsers. Beide benaderingen draaien om hetzelfde doel: de gebruiker zo dicht mogelijk bij hun ecosysteem houden.

Voor gebruikers kan dat handig zijn – één plek waar zoeken, werken en communiceren samenkomen – maar het maakt ook afhankelijk. Wie eenmaal werkt binnen de context van een slimme browser, wisselt minder snel van leverancier. Dat maakt de browser opnieuw tot strategisch strijdtoneel.

Of Atlas en Comet de gevestigde namen kunnen verdringen, valt te bezien. Google en Microsoft hebben distributie, integratie en gewoontes aan hun kant. Toch zetten de nieuwkomers iets in gang wat moeilijk te negeren is: een verschuiving van het open web naar een gepersonaliseerd, AI-gedreven navigatiemodel.

De komende jaren zal blijken of dat leidt tot een slimmer internet, of tot een web waarin de AI bepaalt wat wij zien, in plaats van andersom.

Datacenters worden steeds slimmer, maar ook kwetsbaarder. Nu AI-workloads en multicloud-architecturen razendsnel groeien, komt een nieuwe beweging op gang: beveiliging wordt niet langer uitsluitend in software geregeld, maar ingebouwd in de hardware zelf. Wat begon als optimalisatie, ontwikkelt zich tot een fundamentele hertekening van het datacenter.

In de afgelopen tien jaar is vrijwel elke beveiligingsfunctie gevirtualiseerd. Firewalls, gateways, proxies en IDS-systemen verhuisden naar softwarecontainers of cloudomgevingen. Dat bood flexibiliteit, maar vergde veel van de CPU’s in de servers. Bovendien bleef er één kwetsbaar punt over: als het besturingssysteem of de hypervisor werd gecompromitteerd, kon een aanvaller vrijwel overal bij.

De nieuwste generatie datacenter-architecturen probeert dat op te lossen door beveiliging letterlijk onder te brengen in de infrastructuurlaag zelf. In plaats van software die de host moet beschermen, draait security-logica nu op afzonderlijke chips of kaarten, los van de CPU.

De opkomst van de DPU

De bekendste exponent van deze trend is de Data Processing Unit (DPU). NVIDIA’s BlueField-platform is daarvan het bekendste voorbeeld, maar ook AMD Pensando, Intel IPU en Marvell Octeon vallen in dezelfde categorie. Hun taak is om de netwerk-, opslag- en beveiligingsfuncties over te nemen van de host-CPU en uit te voeren op een eigen, geïsoleerde omgeving.

Zo’n DPU bevat meerdere ARM-cores, geheugen, een netwerkcontroller en vaak een speciaal besturingssysteem. Daarop draaien functies als encryptie, microsegmentatie, datapad-analyse of zero-trust-beleid. Dat betekent dat verkeer wordt geverifieerd, versleuteld en gelogd nog vóórdat het de server bereikt.

Volgens leveranciers leidt dat niet alleen tot betere prestaties, maar ook tot sterkere scheiding tussen infrastructuur en applicatie. Als de host-OS wordt aangevallen, blijft de DPU-laag functioneren en kan verkeer worden geblokkeerd of herleid.

Hardware-gebaseerde isolatie

Het idee sluit aan bij eerdere ontwikkelingen, zoals de secure enclaves in moderne processors (Intel SGX, AMD SEV) of de TPM-chips die cryptografische sleutels opslaan. Waar die enclaves individuele processen beschermen, richt de DPU zich op het hele dataverkeer tussen servers en tenants.

De logica is hetzelfde: gevoelige operaties horen thuis in een gecontroleerde, hardware-matige omgeving. Zo wordt niet alleen de kans op menselijke fouten kleiner, maar ook de impact van een succesvolle aanval.

Security-defined infrastructure

Fabrikanten spreken intussen van security-defined infrastructure: een model waarin beveiliging niet langer een laag bovenop de hardware vormt, maar een integraal onderdeel van het ontwerp.
• AMD Pensando biedt netwerk- en securityoffloading met hardwarematige microsegmentatie.
• Intel IPU (Infrastructure Processing Unit) koppelt netwerkpolicy’s aan fysieke interfaces.
• NVIDIA BlueField combineert dit met AI-ondersteuning via het programmeerbare DOCA-platform.

Bovenop die hardware werken partijen als Trend Micro, Palo Alto Networks en Fortinet aan integraties die hun software dichter tegen de DPU-laag plaatsen. Hun tools kunnen zo verkeer inspecteren of segmenteren zonder de CPU te belasten.

De AI-versnelling

AI-datacenters versnellen deze ontwikkeling. In zogeheten AI factories delen duizenden GPU’s hetzelfde netwerk en dezelfde opslag. De hoeveelheid data die daarbij beweegt is enorm, en elke extra softwarelaag verhoogt de latency. Hardware-gebaseerde beveiliging maakt het mogelijk om verkeer te controleren zonder de performance van trainings- of inferentietaken te beïnvloeden.

Bovendien stellen AI-workloads nieuwe eisen aan compliance en tenant-isolatie. Wanneer meerdere teams of klanten toegang hebben tot dezelfde infrastructuur, moeten datapaden strikt gescheiden blijven. Met een DPU is zo’n scheiding afdwingbaar op chipniveau in plaats van via virtuele netwerken.

Efficiëntie als bijvangst

Naast veiligheid spelen ook praktische argumenten mee. Door infrastructuurtaken af te handelen op de DPU:
• daalt de CPU-belasting aanzienlijk;
• blijft de latency stabiel, ook bij zware encryptie;
• en kunnen beheerders policies uitvoeren zonder productiesystemen te verstoren.

Voor serviceproviders en cloudoperators betekent dat: meer workloads per rack en minder energieverbruik. De extra efficiëntie maakt hardware-beveiliging aantrekkelijk, zelfs voor partijen waar compliance niet de primaire drijfveer is.

Nieuwe verantwoordelijkheid

Toch brengt de verschuiving naar hardware-security ook nieuwe verantwoordelijkheden mee. De firmware en software-stack op DPU’s en enclaves vormen een extra aanvalsvlak.
Beheer, patching en auditing worden complexer, zeker in omgevingen waar meerdere leveranciers samenwerken. Een lek in de DOCA-laag of IPU-firmware kan even schadelijk zijn als een kwetsbaarheid in het besturingssysteem.

Beveiliging op silicon-niveau vraagt dus ook om security-kennis op silicon-niveau: firmware-analyse, hardware-attestatie en supply-chain-controle worden nieuwe competenties in het datacenter.

Vooruitblik

De trend richting hardware-gebaseerde beveiliging blijft zich uitbreiden. Waar het nu vooral wordt toegepast in grootschalige AI- en cloudomgevingen, komt dezelfde technologie in compacte vorm naar de edge en enterprise-servers. Denk aan netwerkkaarten met geïntegreerde beveiligingsmodules, of storage-controllers die zelf encryptie en policy-handhaving uitvoeren.

De onderliggende gedachte is universeel: infrastructuur en beveiliging zijn niet langer te scheiden. In een tijdperk van gedistribueerde data, AI-verkeer en zero-trust-eisen wordt de hardware zelf de eerste verdedigingslinie.

De vierde editie van Cloud Expo opent begin december opnieuw zijn deuren in Expo Houten. Wat begon als een compacte vakbeurs is uitgegroeid tot een ontmoetingsplek voor iedereen die actief is in de wereld van cloud, AI, security en datacenters. Organisator Jeroen de Kam ziet dat succes vooral in de mix van inhoud, laagdrempeligheid en herkenbaarheid. ChannelConnect is dit jaar mediapartner van het evenement.

“De eerste editie trok zo’n drieduizend bezoekers, vorig jaar waren dat er al meer dan zevenduizend,” vertelt De Kam. “We hebben nu twee grote hallen met ruim tweehonderd exposanten. Het is een beurs die bewust dicht bij de praktijk blijft: herkenbare thema’s, concrete oplossingen en gesprekken tussen mensen die elkaar écht iets te vertellen hebben.”

Van Microsoft tot msp

De beursvloer toont de volle breedte van het IT-landschap: van hyperscalers en hardwarefabrikanten tot distributeurs, vendoren en msp’s. Grote namen als Microsoft, Dell, Nvidia en Fortinet zijn aanwezig, maar ook dienstverleners die de vertaalslag naar de eindklant maken. Dat maakt Cloud Expo interessant voor zowel resellers als eindgebruikers.

“Bij ons draait het niet om wie de grootste stand heeft, maar om inhoud,” zegt De Kam. “We werken met uniforme standbouw en gelijke voorwaarden voor iedereen. Dat maakt deelname betaalbaar en overzichtelijk. Voor bezoekers is het bovendien prettig dat elke stand dezelfde uitstraling heeft, zodat de focus ligt op de oplossingen.”

Thema: Changing Innovation

Het thema van dit jaar – Changing Innovation – verwijst naar de razendsnelle technologische ontwikkelingen, vooral op het gebied van AI, security en soevereiniteit. Cloud Expo pakt dat breed aan, met elf theatersessies op de beursvloer. Daar komen onderwerpen voorbij als digitale autonomie, AI in bedrijfsprocessen, datacenteroplossingen en moderne werkplekomgevingen.

Een van de hoogtepunten is het grote soevereiniteitsdebat, waarin experts en bezoekers in gesprek gaan over de balans tussen innovatie, veiligheid en regie over data. “We willen bezoekers aan het denken zetten,” zegt De Kam. “Niet door te roepen dat alles per se soeverein moet zijn, maar door te laten zien welke keuzes er zijn – en wat die betekenen voor je organisatie.”

Netwerken met impact

Naast de inhoudelijke sessies is er veel aandacht voor ontmoeting. Nieuw dit jaar is het MSP AI Roulette-programma: een interactieve matchmakingtool die msp’s koppelt aan leveranciers op basis van hun interesses en vraagstukken. “In drie kwartier voer je drie of vier gesprekken die echt ergens over gaan,” legt De Kam uit. “Dat levert vaak verrassende nieuwe contacten op.”

De Cloud Expo-app speelt hierin een centrale rol. Bezoekers en exposanten kunnen via een swipefunctie matches maken – een soort ‘Tinder voor IT’ – en afspraken inplannen tijdens de beurs. Zo wordt het beursbezoek minder toevallig en meer gericht.

Ook de main stage heeft een nieuwe opzet: centraal op de beursvloer, met ruimte rondom voor publiek en netwerken. Daar vinden keynotes plaats van onder meer Ben van der Burg, bekend van zijn podcasts over technologie en innovatie. Op donderdag verzorgt Raymond Mens een sessie over de geopolitieke context van technologie en de relatie tussen Europa en de VS.

Meer dan alleen IT

Cloud Expo ziet zichzelf als katalysator voor het gesprek over digitalisering in de samenleving. Dit jaar is er bijvoorbeeld een samenwerking met HackShield, een educatieve organisatie die kinderen leert veilig omgaan met internet. “We praten veel over innovatie en security, maar dat begint eigenlijk al bij digitale opvoeding,” zegt De Kam. “Kinderen brengen een groot deel van hun leven online door. Met HackShield willen we laten zien hoe belangrijk het is dat ook zij leren zich verantwoord te bewegen in die digitale wereld.”

Volgens De Kam is het succes van Cloud Expo niet alleen te danken aan de groei van de IT-sector, maar ook aan de nuchtere manier waarop de beurs is opgezet. “We komen zelf uit de branche, we weten hoe het is om als exposant op een beurs te staan. Veel beurzen werden ooit te duur en te log, waardoor innovatieve bedrijven afhaakten. Wij hebben het teruggebracht naar de kern: gelijk speelveld, redelijke prijzen en een prettige sfeer. Iedereen hoort erbij.”

Dat blijkt te werken: steeds meer bedrijven keren jaarlijks terug en nemen collega’s of partners mee. “Er hangt een soort ‘Nederlandse’ sfeer van doe-maar-gewoon. We waarderen het als exposanten met ons meedenken. En bezoekers merken dat. Ze voelen dat het oprechte gesprekken zijn, niet alleen marketing.”

De AI Act is officieel goedgekeurd en zal vanaf 2026 in fases van kracht worden. Daarmee krijgt Europa als eerste continent een omvattend wettelijk kader voor het gebruik van AI. Maar wat betekent dat in de praktijk voor dienstverleners, softwareleveranciers en hun klanten?

De AI Act legt de nadruk op transparantie, risicobeheersing en verantwoord gebruik van AI. In plaats van generieke verboden werkt de wet met een risicogebaseerde indeling. Toepassingen met een ‘hoog risico’ – denk aan AI in gezondheidszorg, werving of kredietverstrekking – vallen onder strikte eisen voor datakwaliteit, uitlegbaarheid en menselijke controle. Systemen met een laag risico krijgen meer ruimte, zolang ze voldoen aan basiseisen voor eerlijkheid en veiligheid.

Voor dienstverleners en ISV’s betekent dit dat ze hun AI-modellen niet alleen technisch, maar ook juridisch moeten documenteren. Wie AI integreert in software of managed services, zal inzicht moeten kunnen geven in hoe het model is getraind, welke datasets zijn gebruikt, en hoe bias wordt beperkt.

Nieuwe verplichtingen voor aanbieders

Aanbieders van AI-systemen worden verplicht een risicobeoordeling uit te voeren voordat hun oplossing op de markt komt. Die beoordeling moet worden vastgelegd in een technisch dossier, met beschrijvingen van gebruikte algoritmen, databronnen, testresultaten en menselijke toezichtmechanismen.

Daarnaast komt er een verplichte CE-markering voor hoog-risico-AI. Zonder deze markering mag het product niet op de Europese markt worden gebracht. Ook dienstverleners die AI-functies van derden aanbieden (bijvoorbeeld via API’s of cloudplatforms) kunnen juridisch als ‘aanbieder’ worden aangemerkt, met alle verplichtingen van dien.

Verantwoordelijkheid in de keten

De wet maakt een scherp onderscheid tussen aanbieders, distributeurs en gebruikers van AI-systemen. Maar in de praktijk lopen die rollen vaak door elkaar. Een msp die een AI-tool levert als onderdeel van een dienst, heeft een gedeelde verantwoordelijkheid met de oorspronkelijke leverancier. Die ketenverantwoordelijkheid betekent dat iedere schakel moet kunnen aantonen dat de gebruikte AI aan de regels voldoet.

Voor eindklanten – vooral in het mkb – wordt transparantie belangrijker dan ooit. Zij moeten weten wat een AI-systeem doet, welke data worden verwerkt en hoe beslissingen tot stand komen. Dienstverleners zullen hun klanten dus moeten helpen met duidelijke toelichting en periodieke risicorapportages.

Verbod op misbruik

Sommige toepassingen worden volledig verboden. Dat geldt voor AI-systemen die emoties proberen te herkennen in publieke ruimtes, social scoring door overheden, en ongerichte scraping van gezichten uit internetbeelden voor herkenningssystemen. Zulke praktijken worden gezien als onverenigbaar met Europese grondrechten.

Generatieve modellen zoals ChatGPT, Gemini en Claude vallen onder een aparte categorie ‘algemene AI-systemen’. De aanbieders daarvan moeten technische documentatie aanleveren over de herkomst van hun trainingsdata, veiligheidsmechanismen en copyrightbescherming.

Voor dienstverleners die zulke modellen integreren in hun eigen applicaties, geldt de plicht om gebruikers te informeren dat ze met AI communiceren. Ook moeten ze zorgen voor menselijke controle op beslissingen die rechtsgevolgen kunnen hebben.

Voorbereiden op naleving

Kansen voor de markt

De AI Act is niet enkel een rem op innovatie, maar kan juist een kans zijn voor partijen die transparantie en betrouwbaarheid als onderscheidend vermogen gebruiken. Verwacht wordt dat onafhankelijke audits, compliance-tools en certificeringsdiensten een groeimarkt vormen. Ook IT-dienstverleners kunnen zich profileren als gids in deze nieuwe realiteit, door klanten te helpen bij de toetsing en implementatie van AI-systemen binnen de wettelijke kaders.

Na bijna tien jaar komt er morgen een einde aan een tijdperk. Morgen, 14 oktober 2025 is de laatste ‘Patch Tuesday’ en stopt Microsoft officieel met de ondersteuning van Windows 10. Voor miljoenen apparaten wereldwijd betekent dat het einde van regelmatige beveiligingsupdates en bugfixes. Bedrijven die nog niet zijn overgestapt, moeten bepalen hoe ze hun endpoints veilig houden. Want hoewel Windows 10 gewoon blijft werken, loopt het vanaf morgen langzaam uit de pas met de moderne IT-omgeving.

De update van morgen is de laatste reguliere release voor Windows 10, versie 22H2. Daarna komen er geen nieuwe beveiligingspatches of kwaliteitsupdates meer via Windows Update. Ook de technische ondersteuning en compatibiliteitsgaranties van Microsoft vallen weg. Dat geldt voor zowel Windows 10 Home als Pro, en voor de meeste zakelijke edities buiten de LTSC-lijn (Long-Term Servicing Channel).

Het besturingssysteem blijft uiteraard gewoon werken. Pc’s starten op, applicaties doen het gewoon en bestaande drivers blijven bruikbaar. Alleen: zodra nieuwe kwetsbaarheden opduiken, worden die niet meer gedicht. Dat vergroot het risico op malware, ransomware en compliance-problemen.

Extended Security Updates (ESU): wie krijgt nog updates?

Microsoft biedt een uitweg in de vorm van Extended Security Updates (ESU). Daarmee blijven bepaalde Windows 10-versies toch voorzien van beveiligingspatches.
• Home en Pro: in de EU hebben we geluk. De EU heeft bij Microsoft bedongen dat ondersteuning niet zomaar van de ene op de andere dag mag worden gestopt, bij een besturingssysteem dat nog door zoveel computers wordt gebruikt; computers die nog prima functioneren Consumenten en kleine bedrijven krijgen daarom in de EU en EER een gratis jaar ESU, tot oktober 2026. Daarna kan verlenging betaald worden via een licentie-model dat per device geldt.
• Enterprise en Education: deze edities krijgen eveneens tot 2026 gratis updates, maar alleen als ze worden beheerd via Microsoft Intune of Windows Autopatch. Voor verlenging kunnen organisaties ESU-licenties aanschaffen via hun bestaande volumelicentieprogramma.
• LTSC-versies (2019 en 2021): die behouden ondersteuning tot respectievelijk 2029 en 2032. Dat komt omdat deze veel worden gebruikt in industriële omgevingen of medische apparatuur waar stabiliteit zwaarder weegt dan functionaliteit.
• IoT-versies: ondersteuning loopt per platform uiteen, maar veel industriële varianten hebben nog meerdere jaren updates vanwege langlopende hardware-cycli.

Beheerders kunnen via Intune of WSUS instellen dat ESU-updates automatisch worden uitgerold. Dat vraagt wel om nieuwe licentiesleutels en aanpassingen in het updatebeleid.

OEM-systemen: hoe reageren fabrikanten?

Veel zakelijke computers draaien nog steeds op OEM-versies van Windows 10 die ooit vooraf door fabrikanten zijn geïnstalleerd. Die OEM-licenties blijven geldig, maar fabrikanten stoppen gelijktijdig met het leveren van Windows 10-images en drivers via hun portals.
• HP adviseert klanten actief om te upgraden naar Windows 11 en levert voor de meeste zakelijke modellen BIOS-updates die compatibiliteit met TPM 2.0 en Secure Boot garanderen.
• Dell biedt een migratie-assistent in zijn SupportAssist-suite en geeft nog beperkte firmware-ondersteuning voor oudere Windows 10-systemen, vooral rond energiebeheer en batterij-optimalisatie.
• Lenovo heeft aangekondigd de Windows 10-catalogus eind 2025 te archiveren, waarna alleen Windows 11-drivers worden onderhouden.

OEM-pc’s die hardwarematig niet voldoen aan de eisen van Windows 11 (zoals TPM 2.0 of een recente CPU-generatie) krijgen geen upgrade-pad meer. Voor veel organisaties is dat hét moment om hardware-vervanging te overwegen of apparaten te herbestemmen, bijvoorbeeld voor interne testomgevingen of offline-gebruik.

Migreren of moderniseren?

De overstap naar Windows 11 ligt voor de hand, maar is niet de enige route. Organisaties die hun endpoint-strategie willen vernieuwen, hebben verschillende opties:
• Upgraden naar Windows 11: het directe pad, mits de hardware voldoet aan de eisen. Microsoft positioneert dit als de veiligste optie, met integratie van Pluton-security, Windows Hello for Business en verbeterde containerisolatie.
• Overstappen naar cloud-werkplekken: Azure Virtual Desktop of Windows 365 bieden een manier om bestaande Windows 10-omgevingen in een virtuele container te behouden, inclusief ESU-updates. Interessant voor organisaties met hybride werkplekken.
• Alternatieve besturingssystemen: in specifieke gevallen kan Linux-desktop of ChromeOS Flex uitkomst bieden, vooral bij lichte workloads en webgebaseerde applicaties.
• Hergebruik en recycling: oudere hardware kan vaak nog prima dienstdoen binnen testlabs of educatieve programma’s. Steeds meer refurbishers bieden Windows 11-ready upgrades of Linux-installaties als duurzaam alternatief.

Werk aan de winkel dus voor de msp! Je moet klanten helpen inventariseren welke endpoints nog op Windows 10 draaien, welke hardware nog een upgrade kan krijgen, en welke beter kan worden vervangen. Tools zoals Endpoint Analytics en Intune-rapportages geven inzicht in CPU-generatie, TPM-status en geheugenvereisten.

De balans tussen risico en kosten

Maar de realiteit is dat niet ieder bedrijf morgen klaar is voor migratie. Vooral in zorg, productie en onderwijs draaien nog talloze kritieke systemen op Windows 10. Voor hen biedt het ESU-programma ademruimte, maar geen structurele oplossing.

Anders dan toen de ondersteuning stopte voor Windows XP, zijn er nu veel strengere security en privacy eisen. Geen patches betekent compliance-problemen onder NIS2 en ISO-normen, en securitydiensten zoals Microsoft Defender zullen op termijn ook minder effectief worden.

De laatste update van Windows 10 markeert dus geen plotseling einde, maar een kantelpunt. Want met de ESU krijg je een jaar extra de tijd. Benut deze tijd goed.

We zijn nog maar nauwelijks gewend aan de impact die generatieve AI op het dagelijks leven en werken hebben. Maar de ontwikkeling staat niet stil. Jarenlang leek het vanzelfsprekend: wie met AI werkt, doet dat via de cloud. De enorme rekenkracht die taal- en beeldmodellen nodig hebben, kon nergens anders terecht. Maar dat paradigma begint te kantelen. Nu laptops, tablets en zelfs telefoons hun eigen Neural Processing Unit (NPU) krijgen, schuift AI langzaam richting de rand van het netwerk, naar de plek waar de gebruiker zit.

De nieuwe generatie apparaten, waaronder de zogenoemde Copilot+-pc’s van Microsoft, kan compacte AI-modellen lokaal uitvoeren, zonder datacenters ertussen. Ook Apple, Qualcomm en Intel zetten in op diezelfde beweging. Het idee: als de hardware slim genoeg wordt, waarom zou je dan nog elke prompt door de cloud laten verwerken?

De groei van generatieve AI heeft een prijs. Volgens cijfers van de International Energy Agency kan het stroomverbruik van datacenters in 2030 verdubbeld zijn ten opzichte van nu. AI-modellen zijn daar een belangrijke aanjager van. In datacenters draaien GPU’s continu op volle kracht, met forse koelings- en energiekosten tot gevolg. Grote aanbieders investeren miljarden om hun infrastructuur bij te benen. Dat maakt elke inferentie – elke keer dat een model iets voorspelt of genereert – een dure operatie.

Voor zware toepassingen is dat logisch, maar voor alledaagse taken – tekstsamenvattingen, beeldherkenning, transcriptie – is cloudverwerking meestal overkill. Zeker nu apparaten zelf krachtig genoeg worden om zulke modellen te draaien.

De opmars van de NPU

De sleutel tot lokale AI ligt bij de Neural Processing Unit. Waar CPU’s algemene rekenkracht leveren en GPU’s goed zijn in parallelle berekeningen, is de NPU geoptimaliseerd voor de specifieke matrixoperaties van AI-modellen. Fabrikanten als Qualcomm, AMD, Intel en Apple bouwen NPUs direct in hun chips in. Ze leveren rekenkracht in de orde van tientallen TOPS (trillions of operations per second) en kunnen compacte small language models (SLM’s) lokaal uitvoeren.

Een concreet voorbeeld is Microsofts Phi-3.5, een model dat op deze nieuwe pc’s draait zonder internetverbinding. Vergelijkbare strategieën zie je bij Apple’s Neural Engine en Qualcomm’s AI Hub. De gebruiker merkt: minder vertraging, geen dataverkeer, en meer controle over de eigen data.

De voordelen van lokale verwerking gaan verder dan kostenbesparing alleen. Snelheid is de meest directe winst. Een lokaal model reageert vrijwel zonder vertraging, omdat er geen dataverkeer over internet nodig is. Dat maakt toepassingen als spraakbesturing, vertaling en contextuele assistentie vloeiender en natuurlijker.

Privacy is een tweede voordeel. Gegevens blijven op het apparaat; ze hoeven niet te worden doorgestuurd of opgeslagen in externe omgevingen. Dat is vooral relevant in sectoren waar vertrouwelijkheid telt – denk aan gezondheidszorg, overheid of juridische dienstverlening.

Ook beschikbaarheid speelt mee. Een lokaal model blijft bruikbaar zonder internetverbinding, wat handig is bij mobiele toepassingen of in afgesloten netwerken.

Daarnaast maakt lokale verwerking personalisatie eenvoudiger. Een model kan leren van het gedrag of de documenten van de gebruiker zonder dat deze data het apparaat verlaat. Dat scheelt complexe afspraken over datagebruik en privacy.

En dan is er nog het al eerder genoemde energie-aspect. Een datacenter moet duizenden systemen tegelijk koelen en voeden, terwijl lokale apparaten energieverbruik spreiden over miljoenen eindpunten. Daardoor kan de totale belasting van het elektriciteitsnet afnemen – al verschilt dat per gebruikspatroon.

Goedkoper, maar niet altijd

Datacenters profiteren van schaalvoordelen: infrastructuur, koeling en onderhoud worden gedeeld over talloze workloads. De efficiëntie per watt is daardoor hoog. Laptops en telefoons hebben beperkte koeling en werken vaak onder lage belasting, waardoor hun energie-efficiëntie lager ligt. Onderzoek van de Universiteit van Toronto laat zien dat grote generatieve modellen tot 30 kWh per 1 000 inferenties kunnen verbruiken in een datacenter. Kleinere modellen, lokaal uitgevoerd, komen uit op ongeveer 1 kWh voor vergelijkbare taken. Dat lijkt een enorme winst, maar dat verschil wordt kleiner zodra apparaten weinig worden gebruikt of slecht gekoeld zijn. De besparing zit dus vooral in het vermijden van infrastructuurkosten: minder bandbreedte, minder transport, minder cloudabonnementen. Niet elk scenario profiteert daarvan evenveel.

Lokale verwerking kent ook beperkingen. Wie een AI-model intensief gebruikt, merkt dat laptops warmer worden en batterijen sneller leeglopen. NPUs zijn energiezuiniger dan GPU’s, maar verbruiken nog steeds tientallen watt onder belasting. In datacenters wordt die warmte efficiënt afgevoerd; op een apparaat niet.

Daarnaast is er slijtage. Een NPU die dagelijks urenlang draait, veroudert thermisch sneller dan een chip die vooral idle blijft. En softwarematig vraagt lokale inferentie om optimalisatie. Modellen moeten worden gecomprimeerd of gequantiseerd, en elk NPU-type vraagt om eigen drivers en toolchains. Niet elk model laat zich zomaar ‘omzetten’ voor lokaal gebruik.

De meeste experts verwachten daarom geen alles-of-nietsverdeling tussen cloud en device, maar een hybride architectuur. Kleine modellen – voor contextbegrip, tekstsuggestie of beeldherkenning – draaien lokaal. Zwaardere modellen met miljarden parameters blijven in de cloud.

In zo’n hybride model wisselt een toepassing dynamisch tussen lokale en externe verwerking, afhankelijk van de taak. Dat beperkt kosten en latency, terwijl de zware rekentaken beschikbaar blijven. Fabrikanten ontwikkelen intussen frameworks om deze verdeling automatisch te regelen, zodat ontwikkelaars niet handmatig hoeven te bepalen wat waar draait.

Een veranderend ecosysteem

De verschuiving naar lokale AI verandert de verhoudingen in de sector. Chipmakers zetten hun NPU’s centraal in de marketing van nieuwe devices. Softwareleveranciers passen hun producten aan zodat functies ook zonder internetverbinding werken. Tegelijk groeit de open-sourcegemeenschap rond small language models, zoals Mistral 7B Instruct en Llama 3 8B, die dankzij compressie volledig op consumentenchips draaien. Daarmee wordt AI toegankelijker voor kleinere ontwikkelaars en organisaties die hun data liever binnen eigen muren houden.

Voor bedrijven biedt dit ruimte voor maatwerk-AI: een interne chatbot of beeldherkenner die draait op werkplekken of edge-servers, zonder datagegevens naar buiten te sturen. Dat is sneller, veiliger en vaak goedkoper dan een permanent cloudabonnement.

AI verspreidt zich

Generatieve AI verlaat langzaam zijn cloud-monopolie. Niet omdat datacenters verdwijnen, maar omdat rekenkracht dichter bij de gebruiker komt te liggen. De voordelen – snelheid, privacy, autonomie – zijn reëel, al blijft de cloud nodig voor het zware werk. Wat nu in een datacenter gebeurt, zal de komende jaren in toenemende mate plaatsvinden op laptops, telefoons en edge-servers. AI wordt daarmee minder een dienst op afstand, en meer een ingebouwd onderdeel van de hardware zelf.

AI wordt vaak in één adem genoemd met torenhoge energierekeningen en gigantische rekencentra. En niet zonder reden: het trainen van grote modellen en het draaien van AI-workloads vraagt om enorme hoeveelheden rekenkracht – en dus stroom. Maar diezelfde AI biedt ook oplossingen om duurzamer met digitale infrastructuur om te gaan.

Het publieke debat over AI en duurzaamheid draait momenteel vooral om de negatieve impact. Datacenters die nauwelijks ruimte hebben voor nieuwe AI-racks, exponentieel stijgende GPU-verkoop, en klimaatrapporten die waarschuwen voor de footprint van een enkele AI-query. De zorgen zijn terecht, zeker als AI zonder beleid of begrenzing wordt uitgerold. Maar AI is niet alleen een energieconsument; het is ook een optimalisatiemachine. Goed ingezet, kan het helpen bij energiemanagement, workloadverdeling, efficiënter databeheer en zelfs reductie van hardwarebehoefte.

AI als energieorakel: voorspel wat je verbruikt

Eén van de meest directe toepassingen van AI in het kader van duurzaamheid is energievoorspelling. In moderne datacenters en cloudomgevingen wordt AI ingezet om het verbruik van systemen nauwkeurig te voorspellen – tot op rackniveau. Op basis van historische patronen, externe factoren (zoals weersomstandigheden) en realtime gebruiksdata, kunnen AI-modellen inschatten wanneer de energievraag toeneemt en waar het verbruik piekt. Operators kunnen daarmee bijvoorbeeld koeling proactief aanpassen of workloads slim spreiden.

Sommige hyperscalers, zoals Microsoft en Google, gaan nog een stap verder. Die gebruiken AI om workloads te plannen op basis van de beschikbaarheid van groene stroom. Als het aanbod van zonne- of windenergie op een bepaald moment hoger is, wordt het dataverkeer automatisch verplaatst naar regio’s waar de energiemix op dat moment duurzamer is. Deze zogeheten carbon-aware scheduling is nog in ontwikkeling, maar toont hoe AI kan helpen om digitale processen af te stemmen op de fysieke wereld.

Slimmer dataverkeer = minder verspilling

AI kan ook helpen bij het sturen en filteren van datastromen zelf. In veel organisaties worden enorme hoeveelheden gegevens verzameld, verstuurd en opgeslagen, vaak zonder duidelijke bestemming of nut. Denk aan logdata, sensordata of videostreams van camera’s die nooit bekeken worden. Door AI toe te passen op het punt van binnenkomst, kun je deze data beoordelen op relevantie, urgentie en context. Onbelangrijke of irrelevante informatie kan worden genegeerd of alleen in samengevatte vorm worden opgeslagen. Zogeheten intelligent edge processing speelt hier een sleutelrol: AI draait direct op edge-devices, zoals gateways of routers, en maakt daar al de eerste selectie.

Een voorbeeld: een logistiek bedrijf gebruikt camera’s en sensoren om vrachtbewegingen te volgen. In plaats van alle beelden live door te sturen naar het datacenter, analyseert AI ter plekke of er afwijkingen of incidenten zijn. Alleen die fragmenten worden verzonden. Het resultaat: 85% minder dataverkeer en lagere opslaglasten.

Predictive cooling en AI-gestuurde koelsystemen

Koeling is een van de grootste energieverbruikers in datacenters. Vooral bij AI-gerelateerde workloads, die veel hitte genereren, zijn traditionele koelsystemen soms onvoldoende efficiënt. Steeds vaker worden koelsystemen uitgerust met AI die op basis van hitteprofielen, rackdata en luchtstromen de koeling dynamisch aanpast. In plaats van een constante stroom koude lucht, kijkt het systeem welke delen van de ruimte op dat moment de meeste koeling nodig hebben en hoeveel precies.

Deze predictive cooling leidt tot flinke besparingen. Schneider Electric en Vertiv claimen bij proefopstellingen besparingen van 15 tot 25% op het energieverbruik van koeling, dankzij AI-gestuurde optimalisatie. Ook nieuwe technologieën, zoals vloeistofkoeling, profiteren van AI. De combinatie van sensoren en slimme algoritmes zorgt ervoor dat vloeistoffen op het juiste moment, met de juiste snelheid en temperatuur door systemen worden gepompt, zonder menselijke tussenkomst.

AI op de werkvloer: minder rekenkracht, meer efficiëntie

AI inzetten voor duurzaamheid betekent niet alleen processen automatiseren, maar ook kritisch kijken naar hoe AI zelf wordt ingezet. Veel modellen worden getraind op enorme hoeveelheden data, terwijl kleinere, getunede modellen vaak volstaan. De opkomst van zogeheten small language models (SLM’s) is hier een goed voorbeeld van. Deze compacte AI-modellen zijn getraind op specifieke taken of domeinen en draaien lokaal op energiezuinige hardware. Voor veel toepassingen, zoals chatbots, workflowautomatisering of documentanalyse, bieden ze vergelijkbare prestaties als hun grote broers, maar met een fractie van het energieverbruik.

Organisaties die AI willen inzetten op een duurzame manier, moeten dus niet alleen kijken naar waar ze de modellen draaien (bijvoorbeeld in groene cloudregio’s), maar ook naar welke modellen ze kiezen, hoe vaak ze inference uitvoeren, en of resultaten lokaal kunnen worden gecached in plaats van elke keer opnieuw berekend.

Van verspilling naar voorspelling

De kracht van AI ligt in het vermogen om te voorspellen en bij te sturen. In plaats van reactief managen, kun je met AI anticiperen op verbruik, vervuiling en belasting. En dat gaat verder dan alleen IT. Zo worden er inmiddels AI-systemen ingezet om duurzaamheidsdoelen te monitoren, ESG-rapportages te automatiseren, of milieueffecten van supplychains in kaart te brengen. Wat dat betreft is AI niet alleen een technologisch hulpmiddel, maar ook een bestuursinstrument.

Dat AI ook zélf veel energie verbruikt, kan niet worden gebagatelliseerd. De opmars van generatieve modellen de laatste paar jaar heeft het energieverbruik van sommige cloudomgevingen verdubbeld. Zonder duidelijke strategie dreigt AI meer problemen te veroorzaken dan op te lossen. Daarom is er steeds meer aandacht voor AI-governance, waarbij duurzaamheid wordt meegenomen in de keuze, inrichting en toepassing van AI-systemen. Bedrijven als IBM, SAP en Capgemini bieden inmiddels tools en frameworks om AI duurzaam en ethisch verantwoord te implementeren.

AI als groene versneller – als je het goed aanpakt

AI is niet per se een vijand te zijn van duurzaamheid. Sterker nog: mits goed ingezet kan het een katalysator zijn voor efficiëntere, slimmere en energiezuinigere IT-processen. Maar dat vereist wél de nodige visie. Niet elke AI-oplossing draagt bij aan een groenere toekomst. De kunst is om te kiezen voor toepassingen die het energieverbruik helpen reduceren in plaats van vergroten. En daarbij hoort ook de bereidheid om niet alles te automatiseren ‘omdat het kan’, maar juist te kijken naar wat écht waarde toevoegt.

Tijdens MSP Global 2025, waar ChannelConnect als mediapartner bij betrokken is, krijgen bezoekers een bijzondere inkijk in het denken van cybercriminelen. Jesse Tuttle, ooit actief als hacker onder de naam Hackah Jak en jarenlang gevolgd door de FBI, vertelt hoe zijn pad hem van de underground van IRC-kanalen en bulletin boards naar een rol in defensie en nationale veiligheid bracht. Zijn levensverhaal maakt duidelijk hoe dun de lijn kan zijn tussen nieuwsgierige verkenning en criminele activiteit, maar laat vooral zien hoe diepgeworteld de motivatie van hackers is en waarom het zo belangrijk is om die psychologie te begrijpen.

Tuttle benadrukt dat er niet één type hacker bestaat. Hacktivisten gebruiken digitale aanvallen om maatschappelijke thema’s op de kaart te zetten, cybercriminelen organiseren zich als een bedrijf met duidelijke structuren en winstdoelen, en statelijke actoren opereren vanuit geopolitieke belangen. Wat al deze groepen met elkaar gemeen hebben is hun volharding en wendbaarheid. Ze hebben altijd een plan B en C klaar, passen zich sneller aan dan veel organisaties kunnen bijbenen en laten zich niet afschrikken door de beveiligingsmaatregelen die vandaag gangbaar zijn.

Kijk verder dan de techniek

Voor managed service providers is het volgens Tuttle essentieel om verder te kijken dan de techniek. Firewalls, monitoring en patchmanagement blijven belangrijke bouwstenen, maar wie echt wil begrijpen waar de risico’s liggen, moet zich verdiepen in de beweegredenen van aanvallers. Veel aanvallen beginnen niet met een technische kwetsbaarheid, maar met social engineering of phishing. Het psychologische spel gaat vooraf aan de inzet van malware of een zero-day en kan alleen worden doorzien als je je inleeft in de tegenstander. Dat betekent ook dat msp’s niet moeten vertrouwen op standaarddreigingsbeelden. Ook een mkb-klant zonder directe geopolitieke relevantie kan slachtoffer worden, bijvoorbeeld via een supply chain-aanval of als springplank naar een groter doelwit.

Tuttle roept daarom op om te leren denken als een hacker. Dat betekent het simuleren van aanvallen vanuit het perspectief van de aanvaller in plaats van alleen de eigen infrastructuur, het analyseren van de motivatie achter een doelwitkeuze, het herkennen van gedragspatronen die een aanval kunnen aankondigen en het altijd rekening houden met misleiding en afleidingsmanoeuvres. Voor hem is dit geen theoretische oefening, maar een noodzakelijke aanvulling op bestaande securitypraktijken. Alleen door aanvallers echt te begrijpen kunnen msp’s een cultuur van veerkracht en wendbaarheid ontwikkelen die past bij het huidige dreigingslandschap.

Gedrag en motivatie

Zijn bijdrage aan MSP Global laat zien dat cybersecurity niet alleen draait om technologie, maar ook om inzicht in menselijk gedrag en motivatie. Voor msp’s biedt dat een kans om hun klanten beter te beschermen en de eigen rol in het ecosysteem verder te versterken. ChannelConnect volgt als mediapartner dit gesprek van dichtbij en brengt de lessen van experts als Tuttle bij het Nederlandse kanaal onder de aandacht.

Bron: MSP Global