AI-governancelandschap na het Executive Order
Beginner18 min lezenBijgewerkt op 2026-03-15
Het Amerikaanse AI-governancelandschap na de intrekking van Executive Order 14110: wat verloren ging, wat overblijft, en hoe dit de praktijk van AI-red-teaming en de bredere regelgevingsomgeving beïnvloedt.
Het regelgevingslandschap voor AI in de Verenigde Staten verschoof dramatisch tussen oktober 2023 en januari 2025. Deze verschuiving begrijpen is essentieel voor AI-red-teamers -- niet omdat red-teamen een overheidsmandaat vereist, maar omdat de regelgevingsomgeving bepaalt waar organisaties prioriteit aan geven, wat ze financieren en bemensen. Wanneer verplichte vereisten vrijwillige richtsnoeren worden, verandert de vraag naar beveiligingstests dienovereenkomstig.
Bidens Executive Order 14110: wat het vaststelde
Achtergrond
Op 30 oktober 2023 ondertekende president Biden Executive Order 14110, getiteld "Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence." Het was tot dat moment de belangrijkste Amerikaanse federale actie op het gebied van AI-veiligheid.
Belangrijkste bepalingen
Het executive order was uitgebreid en omvatte tientallen richtlijnen verspreid over meerdere agentschappen. De bepalingen die het meest relevant zijn voor AI-red-teaming en veiligheid waren onder meer:
| Bepaling | Verantwoordelijk agentschap | Relevantie voor red-teamen |
|---|---|---|
| Veiligheidstesten voor dual-use foundation models | Commerce / NIST | Mandateerde direct red-teamen en veiligheidsevaluatie |
| Rapportagedrempels | Commerce | Verplichtte ontwikkelaars om de resultaten van veiligheidstesten te rapporteren voor modellen die compute-drempels overschrijden |
| NIST-AI-veiligheidsnormen | NIST | Gaf opdracht tot ontwikkeling van normen en benchmarks voor AI-veiligheidstesten |
| Richtsnoeren voor red-teamen | NIST | Riep specifiek op tot ontwikkeling van red-teamrichtsnoeren en best practices |
| Watermerken en herkomst | Commerce | Gaf opdracht tot ontwikkeling van normen voor het identificeren van door AI gegenereerde content |
| Bescherming van kritieke infrastructuur | DHS / sectorspecifieke agentschappen | Verplichtte beoordeling van AI-risico's voor kritieke infrastructuur |
| Biologisch en chemisch risico | HHS / DHS | Mandateerde evaluatie van het potentieel van AI om te helpen bij het creëren van biologische of chemische dreigingen |
| Cyberbeveiligingstoepassingen | NSA / CISA | Gaf opdracht tot het gebruik van AI voor cyberverdediging terwijl offensieve AI-risico's worden beheerst |
De compute-drempel
Een van de meest ingrijpende bepalingen was de compute-rapportagedrempel:
| Type model | Drempel | Globaal equivalent (ten tijde van het EO) |
|---|---|---|
| Algemene foundation models | 10^26 FLOP | Ruwweg GPT-4-schaal en hoger |
| Biologische sequentiemodellen | 10^23 FLOP | Lagere drempel die hoger risico weerspiegelt |
Ontwikkelaars die modellen boven deze drempels trainden, waren verplicht om:
- De federale overheid te notificeren voordat de training begint
- De resultaten van veiligheidstesten, waaronder red-teamen, met de overheid te delen
- Te rapporteren over het potentieel voor misbruik van het model op gebieden als cyberbeveiliging, biologische wapens en verstoring van kritieke infrastructuur
De rol van NIST
Het executive order plaatste NIST in het centrum van de standaardisatie van AI-veiligheid, met de opdracht om:
- Richtsnoeren te ontwikkelen voor red-teamen en veiligheidsevaluatie van AI-systemen
- Benchmarks te creëren voor het testen van de veiligheid en beveiliging van AI-systemen
- Normen vast te stellen voor transparantie en verantwoording van AI-systemen
- Met internationale normalisatie-instellingen te coördineren over AI-veiligheid
NIST reageerde door voort te bouwen op zijn bestaande AI Risk Management Framework (AI RMF) en werk te starten aan AI-veiligheidsspecifieke richtsnoeren. Dit werk was in volle gang toen het executive order werd ingetrokken.
De intrekking: januari 2025
Wat er gebeurde
Op 20 januari 2025 trok de inkomende regering-Trump Executive Order 14110 in als onderdeel van een bredere reeks executieve acties op de eerste ambtsdag. De intrekking ging gepaard met een nieuw executive order gericht op het "wegnemen van barrières voor Amerikaanse AI-innovatie."
Wat verloren ging
De intrekking trof onmiddellijk verschillende categorieën van vereisten:
| Categorie | Status vóór intrekking | Status na intrekking |
|---|---|---|
| Verplichte veiligheidstesten voor frontier-modellen | Vereist voor modellen boven compute-drempel | Geen federale vereiste |
| Overheidsrapportage van trainingsplannen en resultaten van veiligheidstesten | Vereist | Niet langer vereist |
| Mandaat voor NIST-veiligheidsnormen | NIST kreeg opdracht bindende normen te ontwikkelen | NIST zet vrijwillig werk voort maar met verminderde urgentie en scope |
| Richtsnoeren voor red-teamen | NIST kreeg opdracht officiële richtsnoeren te ontwikkelen | Richtsnoeren blijven als vrijwillige hulpbronnen |
| Watermerknormen | Commerce kreeg opdracht te ontwikkelen | Verminderde prioriteit |
| Agentschapsspecifieke AI-beoordelingen | Vereist bij meerdere agentschappen | Stilgelegd of gedeprioriteerd |
Wat overblijft
Niet alles ging verloren met de intrekking. Verschillende bronnen van AI-veiligheidsvereisten en -prikkels blijven bestaan:
| Bron | Type | Status |
|---|---|---|
| Vrijwillige industrietoezeggingen | Zelfregulering | Nog van kracht voor ondertekenaars (maar vrijwillig) |
| NIST AI RMF | Vrijwillig framework | Nog beschikbaar en onderhouden |
| Wetgeving op staatsniveau | Bindende wet (verschilt per staat) | Actief en uitbreidend |
| EU AI Act | Bindende verordening (voor EU-markt) | Volledig van kracht; van toepassing op Amerikaanse bedrijven die EU-gebruikers bedienen |
| Sectorspecifieke regelgeving | Regels van federale agentschappen | Sommige agentschappen (FDA, NHTSA, SEC) handhaven AI-gerelateerde vereisten binnen hun bestaande bevoegdheid |
| FTC-handhaving | Consumentenbeschermingswet | De FTC behoudt de bevoegdheid om op te treden tegen misleidende of oneerlijke AI-praktijken onder bestaande consumentenbeschermingswetgeving |
| Contractuele vereisten | Business-to-business | Zakelijke klanten vereisen steeds vaker AI-veiligheidstesten als inkoopvoorwaarde |
Vrijwillige toezeggingen: de toezeggingen aan het Witte Huis
Achtergrond
In juli 2023 -- vóór EO 14110 -- verkreeg de regering-Biden vrijwillige toezeggingen van grote AI-bedrijven (Amazon, Anthropic, Google, Inflection, Meta, Microsoft, OpenAI). Deze toezeggingen omvatten:
| Toezegging | Scope | Handhaving |
|---|---|---|
| Intern en extern red-teamen vóór deployment | Alle frontier-modellen | Zelf-gerapporteerd; geen externe verificatie |
| Veiligheidsinformatie delen met overheid en peers | Veiligheidskritieke bevindingen | Vrijwillige openbaarmaking |
| Investeren in cyberbeveiliging voor modelgewichten | Modelbeveiliging | Zelf beheerd |
| Watermerktechnologie ontwikkelen | Door AI gegenereerde content | Zelf beheerd |
| Publiekelijk rapporteren over modelcapaciteiten en -beperkingen | Transparantie | Model cards en system cards |
| Maatschappelijke risico's onderzoeken | Bias, eerlijkheid, maatschappelijke impact | Zelf-gestuurd onderzoek |
Huidige status
Deze toezeggingen blijven technisch gezien van kracht -- bedrijven deden vrijwillige toezeggingen, en de intrekking van EO 14110 trekt vrijwillige toezeggingen niet in. Echter:
- Er is geen mechanisme om deze toezeggingen af te dwingen
- Er zijn geen sancties voor niet-naleving
- Sommige bedrijven zijn transparanter over hun praktijken geweest dan andere
- De toezeggingen werden gedaan in een ander politiek klimaat en kunnen worden gedeprioriteerd
AI-wetgeving op staatsniveau
Het lappendekenlandschap
Met beperkte federale actie zijn de Amerikaanse staten de primaire binnenlandse bron van AI-regelgeving geworden. Begin 2026 omvat het landschap:
| Staat | Wetgeving | Belangrijkste bepalingen | Relevantie voor red-teamen |
|---|---|---|---|
| Colorado | SB 21-169 (AI Act, van kracht 2026) | Vereist impactbeoordelingen voor "high-risk" AI-systemen; ontwikkelaars moeten testen op algoritmische discriminatie | Creëert direct testvereisten voor AI-systemen die in ingrijpende beslissingen worden gebruikt |
| Californië | Diverse wetsvoorstellen (SB 1047 met veto getroffen, andere in behandeling) | SB 1047 zou veiligheidstesten voor grote modellen hebben vereist; latere wetgeving behandelt nauwere AI-kwesties | Voortdurende wetgevende activiteit; de meeste significante AI-wetsvoorstellen op staatsniveau ontstaan hier |
| Illinois | AI Video Interview Act; bredere wetgeving in behandeling | Vereist openbaarmaking en toestemming voor AI bij werving | Sectorspecifieke testimplicaties voor AI-wervingstools |
| New York City | Local Law 144 | Vereist bias-audits voor geautomatiseerde tools voor werkgelegenheidsbeslissingen | Creëert specifieke bias-testvereisten |
| Texas | Texas AI Advisory Council; wetgeving in behandeling | Adviesorgaan dat AI-regelgeving bestudeert; wetgeving in ontwikkeling | Toekomstige vereisten waarschijnlijk |
| Connecticut | AI Act (in behandeling) | Brede AI-transparantie- en verantwoordingsvereisten | Indien aangenomen, zou testverplichtingen creëren |
De Colorado AI Act in detail
De Colorado AI Act (SB 21-169) is de meest uitgebreide AI-regelgeving op staatsniveau in de VS en verdient specifieke aandacht:
| Vereiste | Detail | Impact op red-teamen |
|---|---|---|
| Impactbeoordeling | Ontwikkelaars en deployers van AI met hoog risico moeten impactbeoordelingen uitvoeren | Creëert vraag naar gestructureerde AI-risicobeoordeling |
| Discriminatietesten | Moet testen op algoritmische discriminatie op basis van beschermde kenmerken | Vereist expertise in bias- en eerlijkheidstesten |
| Transparantie | Moet bekendmaken wanneer AI wordt gebruikt in ingrijpende beslissingen | Red teams moeten testen of openbaarmakingsmechanismen correct werken |
| Risicobeheer | Moet risicobeheerprogramma's implementeren | Creëert een doorlopende behoefte aan beveiligings- en veiligheidstesten |
| Ingangsdatum | 1 februari 2026 | Vereisten zijn nu actief |
De EU AI Act: het belangrijkste resterende framework
Waarom de EU AI Act ertoe doet voor Amerikaanse red teamers
Zelfs zonder Amerikaanse federale mandaten blijft de EU AI Act een significante aanjager van AI-veiligheidstesten:
- Extraterritoriale scope: Van toepassing op elk AI-systeem dat in de EU wordt gebruikt, ongeacht waar de ontwikkelaar is gevestigd
- Grote Amerikaanse AI-bedrijven bedienen EU-gebruikers: Alle grote aanbieders van frontier-modellen moeten voldoen
- Specifieke testvereisten: AI-systemen met hoog risico vereisen conformiteitsbeoordelingen die veiligheids- en beveiligingstesten omvatten
- Sancties: Boetes tot 35 miljoen EUR of 7% van de wereldwijde jaaromzet voor de ernstigste overtredingen
EU AI Act-vereisten relevant voor red-teamen
| Vereiste | Artikel | Verband met red-teamen |
|---|---|---|
| Risicobeheersysteem | Art. 9 | Moet testen op bekende en voorzienbare risico's omvatten |
| Datakwaliteit en -governance | Art. 10 | Trainingsdata moet worden getest op bias- en kwaliteitsproblemen |
| Technische documentatie | Art. 11 | Moet de testmethodologie en -resultaten documenteren |
| Transparantie en informatie | Art. 13 | Systeemcapaciteiten en -beperkingen moeten worden getest en gedocumenteerd |
| Menselijk toezicht | Art. 14 | Human-in-the-loop-mechanismen moeten op effectiviteit worden getest |
| Nauwkeurigheid, robuustheid, cyberbeveiliging | Art. 15 | Vereist direct adversarial robuustheidstesten |
| Monitoring na het op de markt brengen | Art. 72 | Doorlopende monitoring en testen na deployment |
Voor een gedetailleerde behandeling van EU AI Act-compliancetests, zie EU AI Act-compliancetests.
Impact op het beroep van AI-red-teamer
Vóór EO 14110 (vóór oktober 2023)
| Aspect | Status |
|---|---|
| Aanjagers van de vraag | Vrijwillige veiligheidsinspanningen, concurrentiële differentiatie, aansprakelijkheidszorgen |
| Wie red teamers inhuurde | Primair frontier-AI-labs (interne teams) |
| Standaardisatie | Minimaal; ad-hocbenaderingen |
| Rapportagevereisten | Geen (federaal); sommige sectorspecifiek |
| Loopbaanpad | Opkomend; geen vastgestelde roldefinities |
Tijdens EO 14110 (oktober 2023 - januari 2025)
| Aspect | Status |
|---|---|
| Aanjagers van de vraag | Federaal mandaat (voor frontier-modellen) + alle eerdere aanjagers |
| Wie red teamers inhuurde | Frontier-labs, overheidscontractanten, complianceadviesbureaus |
| Standaardisatie | NIST ontwikkelde actief normen en richtsnoeren |
| Rapportagevereisten | Vereist voor modellen boven compute-drempel |
| Loopbaanpad | Groeiend; federale onderschrijving legitimeerde het vakgebied |
Na de intrekking (januari 2025 - heden)
| Aspect | Status |
|---|---|
| Aanjagers van de vraag | EU AI Act-compliance, staatswetgeving, ondernemingsrisicobeheer, vrijwillige toezeggingen |
| Wie red teamers inhuurde | Frontier-labs (voortgezet), EU-gerichte bedrijven, gereguleerde sectoren, ondernemingen met AI-risicoprogramma's |
| Standaardisatie | NIST-werk gaat door maar in een lager tempo; OWASP, MITRE leveren community-gedreven normen |
| Rapportagevereisten | Geen (federaal); staats- en EU-vereisten zijn selectief van toepassing |
| Loopbaanpad | Gevestigd maar minder door de overheid gesteund; in toenemende mate private sector en compliancegedreven |
Huidige stand van de Amerikaanse AI-regelgeving (begin 2026)
Federaal niveau
| Entiteit | Huidige AI-houding | Implicaties |
|---|---|---|
| Witte Huis | Pro-innovatie; minimale prescriptieve veiligheidsvereisten | Geen nieuwe federale AI-veiligheidsmandaten verwacht op korte termijn |
| Congres | Meerdere wetsvoorstellen ingediend maar beperkte voortgang | Tweepartijdige interesse in AI-wetgeving maar geen uitgebreid wetsvoorstel dat snel zal worden aangenomen |
| NIST | Zet AI RMF en veiligheidswerk voort als vrijwillige hulpbronnen | Normen beschikbaar maar niet verplicht |
| FTC | Actief op het gebied van AI-gerelateerde consumentenbeschermingshandhaving | Kan misleidende AI-praktijken aanpakken onder bestaande bevoegdheid |
| FDA | Behoudt bevoegdheid over AI in medische hulpmiddelen | Sectorspecifieke AI-vereisten gaan door |
| SEC | Gericht op AI-gebruik in financiële diensten | Bestaande financiële regelgeving is van toepassing op AI-gedreven beslissingen |
| DOD | Actieve AI-ethiek- en testprogramma's | Militaire AI-tests hebben een aparte governancestructuur |
Het spectrum van vrijwillig vs. verplicht
De huidige Amerikaanse benadering kan worden gekenschetst als:
More Mandatory More Voluntary
│ │
│ EU AI Act State Laws Sector Regs NIST RMF Industry Pledges
│ (binding, (binding, (binding, (voluntary (voluntary,
│ extraterr.) state-level) sector-spec.) framework) self-enforced)
│ │
└──────────────────────────────────────────────────────────────┘
De VS is op federaal niveau naar het vrijwillige uiteinde van dit spectrum verschoven, terwijl staatswetgeving en EU-vereisten in specifieke contexten bindende beperkingen opleggen.
Wat dit betekent voor beoefenaars
Voor AI-ontwikkelaars
| Situatie | Richtlijn |
|---|---|
| EU-gebruikers bedienen | Moet voldoen aan EU AI Act-vereisten, waaronder veiligheidstesten |
| Actief in Colorado | Moet vanaf februari 2026 voldoen aan de Colorado AI Act |
| Bouwen voor gereguleerde sectoren (gezondheidszorg, financiën) | Sectorspecifieke vereisten zijn nog van toepassing |
| Frontier-modellen bouwen | Geen federaal mandaat, maar vrijwillige toezeggingen en marktverwachtingen zijn van toepassing |
| Enterprise AI-tools bouwen | Toenemende klantvereisten voor veiligheidsdocumentatie en -testen |
Voor red teamers
| Situatie | Richtlijn |
|---|---|
| Frontier-modellen evalueren | Dezelfde methodologieën zijn van toepassing ongeacht de regelgevingsomgeving |
| Compliancegerichte engagementen | Weet welke regelgeving van toepassing is op de specifieke situatie van de klant |
| Scope-discussies | Regelgevingseisen (EU, staat) kunnen helpen scope en budget te rechtvaardigen |
| Rapportage | Kader bevindingen in termen van toepasselijke normen (NIST AI RMF, OWASP LLM Top 10, MITRE ATLAS) |
| Loopbaanontwikkeling | Bouw expertise op in zowel technisch red-teamen als regelgevingsframeworks |
Voor organisaties
- Ga er niet van uit dat "geen federaal mandaat" "geen vereiste" betekent -- staatswetten, EU-regelgeving en sectorspecifieke regels zijn nog van toepassing
- Vrijwillig is niet optioneel voor reputatie -- organisaties die veiligheidstesten overslaan, lopen merkrisico, aansprakelijkheidsblootstelling en potentieel verlies van zakelijke klanten
- Normen doen er nog steeds toe -- NIST AI RMF, OWASP LLM Top 10 en MITRE ATLAS bieden erkende frameworks om due diligence aan te tonen
- De regelgevingsslinger zwaait -- federale vereisten kunnen in een toekomstige regering terugkeren; nu capaciteit voor veiligheidstesten opbouwen voorkomt later geïmproviseer
Vooruitblik
Waarschijnlijke ontwikkelingen
| Ontwikkeling | Waarschijnlijkheid | Tijdlijn |
|---|---|---|
| Aanvullende AI-wetgeving op staatsniveau | Hoog | Doorlopend (2026-2027) |
| Federale AI-wetgeving (nauw, tweepartijdig) | Gemiddeld | 2026-2027 indien überhaupt |
| Uitgebreide federale AI-regelgeving | Laag (huidige regering) | Niet in de huidige termijn |
| EU AI Act-handhavingsacties | Hoog | Vanaf 2026 naarmate implementatiedata verstrijken |
| Uitbreiding van industriële zelfregulering | Hoog | Doorlopend |
| Internationale coördinatie over AI-normen | Gemiddeld | Doorlopend via G7, OESO, ISO |
Het normenlandschap
Zelfs zonder federale mandaten blijven normalisatie-organisaties AI-veiligheids- en testnormen ontwikkelen:
| Norm | Organisatie | Status | Relevantie |
|---|---|---|---|
| AI RMF 1.0 | NIST | Gepubliceerd | Vrijwillig risicobeheerframework |
| OWASP LLM Top 10 | OWASP | Gepubliceerd, regelmatig bijgewerkt | Industriestandaard kwetsbaarheidstaxonomie |
| MITRE ATLAS | MITRE | Gepubliceerd, regelmatig bijgewerkt | Kennisbank van adversarial aanvallen |
| ISO/IEC 42001 | ISO | Gepubliceerd | Norm voor AI-managementsysteem |
| ISO/IEC 23894 | ISO | Gepubliceerd | Richtsnoeren voor AI-risicobeheer |
| EU-geharmoniseerde normen | CEN/CENELEC | In ontwikkeling | Zullen vermoeden van conformiteit met de EU AI Act bieden |
Verder lezen
- EU AI Act-compliancetests -- Gedetailleerde behandeling van EU AI Act-vereisten en testmethodologie
- OWASP LLM Top 10 -- Industriestandaard kwetsbaarheidstaxonomie voor LLM-applicaties
- MITRE ATLAS -- Kennisbank van adversarial tactieken en technieken tegen AI-systemen
- NIST AI RMF & ISO 42001 -- Vrijwillige risicobeheerframeworks
Gerelateerde onderwerpen
- Cross-framework-mapping - Hoe verschillende regelgevings- en normenframeworks op elkaar aansluiten
- Constitutionele classificatoren - Verdedigingsbenaderingen die mogelijk voldoen aan regelgevende testvereisten
- Alignment Faking - Veiligheidsonderzoek dat regelgevingsdiscussies over modelevaluatie voedt
Referenties
- Executive Order 14110, "Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence" - The White House (October 30, 2023) - The original executive order establishing federal AI safety requirements
- "Revocation of Executive Order 14110" - The White House (January 20, 2025) - The executive action rescinding EO 14110
- Colorado SB 21-169, "Concerning Consumer Protections in Interactions with Artificial Intelligence Systems" - Colorado General Assembly (2021, amended 2024) - The most comprehensive US state-level AI regulation
- Regulation (EU) 2024/1689 (EU AI Act) - European Parliament and Council (2024) - The EU's comprehensive AI regulation
- NIST AI Risk Management Framework (AI RMF 1.0) - National Institute of Standards and Technology (2023) - The US voluntary framework for AI risk management
- "Voluntary AI Commitments" - The White House (July 2023) - The voluntary pledges from major AI companies
Knowledge Check
Welk van de volgende creëert na de intrekking van EO 14110 nog steeds een bindende wettelijke vereiste voor AI-veiligheidstesten die Amerikaanse AI-bedrijven raakt?