Referenties en snelle naslag Regulatory Quick Reference Snelle naslag regelgeving Bijgewerkt op 2026-03-15 Quick reference voor AI-relevante regelgeving en frameworks zoals NIST AI RMF, ISO/IEC 42001, EU AI Act en sectorspecifieke vereisten.
Een verkorte naslag van de belangrijkste AI-governanceframeworks en regelgeving die relevant zijn voor AI-redteaming. Gebruik dit om snel te begrijpen welke frameworks van toepassing zijn, wat ze vereisen en hoe redteaming compliance ondersteunt.
Framework Type Jurisdictie Verplicht? Hoofdfocus NIST AI RMF Framework VS (wereldwijde invloed) Vrijwillig (maar steeds vaker gerefereerd) Risicobeheer voor betrouwbare AI EU AI Act Regelgeving EU (extraterritoriaal effect) Verplicht (gefaseerde implementatie) Risicogebaseerde AI-regelgeving ISO/IEC 42001 Standaard Internationaal Vrijwillig (certificeerbaar) Vereisten voor AI-managementsysteem OWASP LLM Top 10 Branchewijde richtlijn Wereldwijd Vrijwillig LLM-specifieke beveiligingsrisico's MITRE ATLAS Kennisbank Wereldwijd Vrijwillig Adversary TTPs voor AI/ML EO 14110 Executive Order VS Verplicht voor federale agentschappen Veilige, beveiligde en betrouwbare AI NIST AI 100-2 Richtlijnen VS (wereldwijde invloed) Vrijwillig Taxonomie van adversarial machine learning
Functie Doel Verbinding met redteaming GOVERN Beleid, rollen, verantwoording en cultuur voor AI-risicobeheer vastleggen Bevindingen van het red team informeren beleidsbeslissingen over acceptabele risicodrempels en governancevereisten MAP AI-risico's in context identificeren en begrijpen -- wie wordt geraakt, wat kan er misgaan Dreigingsmodellering door het red team draagt bij aan uitgebreide risico-identificatie en het in kaart brengen van het aanvalsoppervlak MEASURE AI-risico's beoordelen, analyseren en kwantificeren via testen en evaluatie Redteaming is een kernactiviteit van de Measure-functie -- het evalueert empirisch kwetsbaarheden in AI-systemen MANAGE Geïdentificeerde risico's prioriteren, behandelen en monitoren Bevindingen van het red team sturen de prioriteiten voor remediatie aan, en hertesten valideert dat risicobehandelingen werken
Het NIST AI RMF definieert zeven betrouwbaarheidskenmerken. Redteaming beoordeelt er direct meerdere van:
Kenmerk Definitie Relevantie voor red team Valide en betrouwbaar Systeem presteert zoals bedoeld onder verwachte en onverwachte omstandigheden Testen van onverwachte/adversarial input Veilig Systeem brengt geen mensenleven, gezondheid, eigendom of omgeving in gevaar Testen op het genereren van schadelijke output Beveiligd en veerkrachtig Systeem weerstaat ongeautoriseerde toegang en blijft functioneren onder aanval Kernfocus van redteaming Verantwoordelijk en transparant Werking van het systeem kan worden begrepen en uitgelegd Testen op het lekken van system prompts, uitlegbaarheid van beslissingen Uitlegbaar en interpreteerbaar Output van het systeem is begrijpelijk voor stakeholders Beoordelen of modelbeslissingen geauditeerd kunnen worden Privacy-versterkt Systeem beschermt de privacy van individuen Testen op PII-lekken, extractie van trainingsdata Eerlijk (bias beheerd) Systeem creëert geen onrechtvaardige effecten tussen groepen Testen op bias in modeloutput over demografieën
Risiconiveau Voorbeelden Vereisten Implicatie voor redteaming Onacceptabel Social scoring, real-time biometrische identificatie (met uitzonderingen), manipulatieve AI Verboden Niet van toepassing -- systeem kan niet worden uitgerold Hoog risico AI bij aanwervingsbeslissingen, kredietbeoordeling, rechtshandhaving, kritieke infrastructuur, onderwijs Verplicht risicobeheer, testen, documentatie, menselijk toezicht, transparantie Redteaming is essentieel om compliance met robuustheids- en cybersecurityvereisten aan te tonen Beperkt risico Chatbots, deepfake-generatoren Transparantieverplichtingen (AI-interactie kenbaar maken) Redteaming aanbevolen maar niet verplicht Minimaal risico Spamfilters, AI in games Geen specifieke vereisten Redteaming optioneel
GPAI-categorie Vereisten Relevantie voor redteaming Alle GPAI-modellen Technische documentatie, transparantie over trainingsdata, naleving van auteursrecht Documentatie van mogelijkheden en beperkingen van het model GPAI met systeemrisico (boven de rekendrempel)Modelevaluatie, adversarial testen, incidentrapportage, cybersecuritymaatregelen Verplichte adversarial tests -- redteaming is expliciet vereist
Datum Mijlpaal Augustus 2024 AI Act in werking getreden Februari 2025 Verboden op onacceptabel-risico AI van toepassing Augustus 2025 GPAI-bepalingen van toepassing Augustus 2026 Vereisten voor AI-systemen met hoog risico van toepassing Augustus 2027 Enkele hoog-risicocategorieën (bijlage I) volledig van toepassing
AI-systemen met hoog risico vereisen:
Documentatie van het risicobeheersysteem
Maatregelen voor datagovernance
Technische documentatie van het systeem
Registratie en logging
Transparantie en gebruikersinformatie
Maatregelen voor menselijk toezicht
Documentatie van nauwkeurigheid, robuustheid en cybersecurity
Resultaten van conformiteitsbeoordeling
ISO/IEC 42001 volgt de Annex SL-managementsysteemstructuur (vergelijkbaar met ISO 27001):
Clausule Onderwerp Belangrijke vereisten 4 Context De organisatie, stakeholders en scope van het AIMS begrijpen 5 Leiderschap Managementbetrokkenheid, AI-beleid, rollen en verantwoordelijkheden 6 Planning Risicobeoordeling, identificatie van AI-specifieke risico's, doelstellingen 7 Ondersteuning Middelen, competentie, bewustzijn, communicatie, documentatie 8 Werking Operationele planning, beheer van de AI-systeemlevenscyclus, overwegingen rond derden 9 Prestatie-evaluatie Monitoring, meting, interne audit, directiebeoordeling 10 Verbetering Afwijking, corrigerende actie, voortdurende verbetering
Controlegebied Voorbeelden van controles Verbinding met redteaming AI-beleid Beleid voor AI-impactbeoordeling, beleid voor verantwoordelijke AI Scope van het red team moet aansluiten op het AI-beleid van de organisatie AI-systeemlevenscyclus Ontwikkelproces, verificatie en validatie Redteaming als validatieactiviteit Databeheer Datakwaliteit, dataherkomst, biasbeheer Testen op datavergiftiging in training, data-extractie Monitoring van AI-systemen Prestatiemonitoring, anomaliedetectie Effectiviteit van monitoring valideren via testen Beheer van derden Leveranciersbeoordeling, contractvereisten Beoordelen van supply chain-risico's in AI-componenten
Aspect ISO 27001 ISO 42001 Scope Informatiebeveiliging AI-beheer Risicofocus Vertrouwelijkheid, integriteit, beschikbaarheid AI-specifieke risico's (bias, veiligheid, transparantie, beveiliging) Controles Annex A-informatiebeveiligingscontroles Annex A AI-specifieke controles + Annex B-richtlijnen Relatie Fundament voor IT-beveiliging Bouwt voort op 27001; verwijst ernaar voor beveiligingscontroles Certificering Breed gevestigd Nieuwer; groeiende adoptie
Gebied Vereiste Agentschap Veiligheidstesten Ontwikkelaars van krachtige AI moeten resultaten van veiligheidstests delen met de overheid Commerce (NIST) Redteaming NIST stelt richtlijnen op voor AI-redteaming NIST Standaarden Standaarden ontwikkelen voor AI-veiligheid en -beveiliging NIST Watermerken Standaarden ontwikkelen voor AI-contentauthenticatie en watermerken Commerce Privacy Impact van AI op privacy evalueren Diverse Gelijkheid Potentieel van AI om discriminatie te versterken aanpakken Diverse
Begeleidend document met taxonomie en terminologie voor adversarial machine learning:
Aanvalscategorie Definitie Evasion Manipuleren van input op inferentie-moment om misclassificatie te veroorzaken Poisoning Manipuleren van trainingsdata om modelgedrag te compromitteren Privacy Informatie extraheren over trainingsdata of modelinternals Abuse AI-systemen gebruiken voor onbedoelde, schadelijke doeleinden
Sector Regelgeving/Framework AI-specifieke implicaties Gezondheidszorg HIPAA, FDA SaMD-richtlijnen Bescherming van PHI in AI-pijplijnen, classificatie als medisch hulpmiddel voor diagnostische AI, rapportage van bijwerkingen Financiën SR 11-7 (Model Risk Management), Fair Lending, SEC/FINRA Vereisten voor modelvalidatie, uitlegbaarheid voor kredietbeslissingen, toezicht op algoritmische handel Kritieke infrastructuur CISA-richtlijnen, sectorspecifieke standaarden Veerkrachtvereisten voor AI in energie/water/transport, verplichtingen voor incidentrapportage Overheid EO 14110, OMB-richtlijnen, FedRAMP Vereisten voor veiligheidstesten, geautoriseerde AI-use-cases, aanbestedingsstandaarden Onderwijs FERPA, AI-onderwijswetten op staatsniveau Bescherming van studentgegevens in AI-tutoring, bias in beoordelings-AI Werkgelegenheid NYC Local Law 144, EEOC-richtlijnen Bias-audit voor AI-wervingstools, kennisgevings- en openbaarmakingsvereisten
Hoe redteaming-activiteiten zich vertalen naar compliance-vereisten:
Redteaming-activiteit NIST AI RMF EU AI Act ISO 42001 Dreigingsmodellering MAP-functie Risicobeheersysteem (Art. 9) Clausule 6 (Planning) Kwetsbaarhedentesten MEASURE-functie Robuustheidstesten (Art. 15) Clausule 8 (Werking) Bias testen MEASURE-functie Non-discriminatie (Art. 10) Annex A (Databeheer) Penetratietesten MEASURE-functie Cybersecurity (Art. 15) Annex A + ISO 27001 Rapporten schrijven MANAGE-functie Technische documentatie (Art. 11) Clausule 7 (Documentatie) Verificatie van remediatie MANAGE-functie Conformiteitsbeoordeling (Art. 43) Clausule 9 (Prestatie-evaluatie) Continue monitoring MANAGE-functie Post-market monitoring (Art. 72) Clausule 9 (Monitoring)
Scenario Verplicht? Framework/Regelgeving AI-systeem met hoog risico in EU In de praktijk ja EU AI Act Art. 9, 15 GPAI met systeemrisico Expliciet ja EU AI Act Art. 55 Federale AI-uitrol in VS Sterk aanbevolen EO 14110, NIST AI RMF ISO 42001-certificering Deel van validatie ISO 42001 Clausule 8 AI in financiële dienstverlening (VS) Vereist volgens richtlijn SR 11-7, OCC-richtlijnen Gezondheidszorg-AI (FDA-gereguleerd) Vereist voor SaMD FDA pre-market-vereisten Elke AI die PII verwerkt Sterk aanbevolen GDPR Art. 25, 35 (DPIA)
Gerelateerde artikelen Regelgevings- & normenlandschap 2026 Uitgebreide mapping van het AI-regelgevingslandschap van 2026, waaronder EU AI Act-artikel 55, NIST AI RMF, MITRE ATLAS en OWASP Top 10 voor LLM's, met compliance-checklists, sanctiestructuren en regelgevingstijdlijnen.
Capstone: implementeer een AI-complianceframework Build a comprehensive AI compliance framework that maps security testing to regulatory requirements including the EU AI Act, NIST AI RMF, and ISO 42001.
EU AI Act: Uitgebreide analyse Uitgebreide analyse van de EU AI Act, waaronder risiconiveaus, verplichtingen en handhavingstijdlijn.
Capstone: simulatie van een compliance-assessment Conduct a simulated compliance assessment against EU AI Act, NIST AI RMF, and ISO 42001, producing a comprehensive gap analysis report.
EU AI Act-compliancetests EU AI Act-risicocategorieën, testvereisten voor AI-systemen met hoog risico, conformiteitsbeoordelingsprocedures en hoe red-teamen de EU AI Act-compliance ondersteunt.
Vorige
OWASP LLM Top 10 2025 Reference
Volgende
AI Incident Response Checklist