Tijdens de conferentie IT Reset 2025 kwamen IT-beslissingsnemers, academici en experts tot een heldere conclusie: de illusie van de oneindige schaalbaarheid in de cloud is voorbij, net als het onstuitbare optimisme rond AI. Het is tijd voor realisme en pragmatiek.
Wie in 2025 een IT-conferentie binnenwandelde, kreeg doorgaans een zoveelste lofzang op artificiële intelligentie. Maar tijdens IT Reset, de jaarlijkse conferentie van het Studiecentrum voor Automatische Informatieverwerking (SAI), klonk een heel andere toon. IT-professionals, bedrijfsleiders, academici en technologiekenners waren er niet specifiek op uit om pessimisme te prediken, wel om een duidelijk pleidooi te houden. Het is niet de technologie die faalt. Wel is de context waarin we die gebruiken op korte tijd fundamenteel veranderd.
Anders software bouwen
De reset die de sector moet maken, lijkt fundamenteler dan ooit: niet langer praten over wat kan, maar over wat moet, om organisaties weerbaar te houden in een hybride, hypergeconnecteerde en hypergereguleerde wereld. De meest ingrijpende verandering voltrekt zich in dat verband niet langer binnen de cloudstrategie van bedrijven, overheden en organisaties, maar in de kern van hun software-architectuur. De impact van artificiële intelligentie gaat verder dan de automatisering van de helpdesk: AI forceert een radicale verandering in de manier waarop we software bouwen.
De euforie rond AI maakt plaats voor realisme over minder rooskleurige scenario’s
Professor Tijl De Bie (UGent) opent de conferentie alvast met een realitycheck. ‘De lengte van de taken die generatieve AI autonoom kan uitvoeren, verdubbelt elke zeven maanden. Het maakt de impact van AI onmiskenbaar. Maar tegelijk is AI niet uniform intelligent. Modellen blinken almaar sterker uit in hun empathisch vermogen, maar kritische functies als redeneren en geheugen blijven achter. Daardoor is AI in sommige jobs al cruciaal, maar in andere nog niet.’
Agentic architectuur
Een technologische kloof dus, terwijl we volop naar het tijdperk van agentic AI evolueren. In dat tijdperk verschuift de rol van AI als voorspeller naar die van AI als actor die autonoom handelt. Davide Cioccia, oprichter van DCODX, een trainingsbureau voor security-architectuur, benadrukt dat die evolutie gevolgen heeft voor de architectuur zoals we die kennen. ‘De traditionele softwarestack met microservices vervelt tot een ‘mesh’ van AI-agents.’ Hij toont daarbij de evolutie van een monolithische architectuur naar API’s, vervolgens naar een eventgedreven architectuur, en nu dus naar de ‘agent mesh’. Natuurlijke taal vormt de lijm tussen al die systemen.
De keerzijde van de gewonnen efficiëntie is de toename aan risico’s. Ontwikkelaars importeren via AI-tools in één klap veel functionaliteiten, bijvoorbeeld door 400 regels code te vervangen door één library-import van amper twintig regels. Maar zo verliezen ze een stuk controle en vergroten ze het dreigingsoppervlak. Cioccia waarschuwt dat in de nieuwe top tien van grootste beveiligingsrisico’s voor webapplicaties, opgesteld door het Open Worldwide Application Security Project (OWASP), dreigingen als ‘supply chain failure’ en ‘mishandling of exceptional conditions’ hoogtij vieren. De toekomst ligt volgens hem in architecturen die zelfbewust, zelfsturend, zelfgenezend en zelfbeschermend zijn. CIO’s en CISO’s moeten de basis daarvoor nu al op orde brengen. ‘Het voorbije jaar zaten de grootste dreigingen vooral in falend toegangsbeheer en fouten in de configuratie van de beveiliging.’
De balans van digitale transformatie
Tegen het licht van die technologische stroomversnelling brengt Stijn Viaene, professor aan Vlerick Business School, de focus terug naar de organisatie en haar leiderschap. Volgens Viaene is digitale transformatie een precaire evenwichtsoefening waarbij het management de uitersten nauwlettend in de gaten moet houden. ‘Te veel denken leidt tot verlamming, maar blind handelen resulteert misschien in uitsterven’, waarschuwt hij.
Een cruciaal onderdeel in die oefening is hoe bedrijven omgaan met externe partijen. ‘In de huidige wereld moet je partnerschappen aangaan: je kan niet alles zelf doen. Met partners samenwerken is een strategische capaciteit’, stelt hij. ‘Maar er is een verschil tussen een partner en een leverancier: de essentie van een goed partnerschap draait ook om het delen van risico’s.’
Soevereiniteit
Behalve naar de risico’s voor de interne architectuur verschuift de blik ook naar externe dreigingen. En die zijn meer dan ooit technisch en geopolitiek van aard. De tijd dat IT-leiders zich konden verschuilen achter een pure cloudstrategie is voorbij, benadrukt Ron Tolido, intussen net op pensioen na een carrière als Executive VP van Capgemini. Hij pleit voor een slimme mix van clouds – en dan met name van soevereine clouds.
Chris Kubecka van HypaSec, een bedrijf dat training rond ethisch hacken organiseert, stelt het onomwonden: ‘Cybersecurity is uitgegroeid tot het fundament van onze nationale stabiliteit. We leven in een tijdperk van hybride oorlogsvoering, waarin de grens tussen digitaal en fysiek vervaagt. Aanvallen op kritieke infrastructuur, van maritieme havens tot nucleaire sites, zijn dagelijkse realiteit.’ Kubecka verwijst onder meer naar hoe ondoordachte outsourcing van vitale beveiligingsfuncties de nationale veiligheid van sommige landen direct ondergraaft. Ze haalt als voorbeeld de onzekerheid rond de datastromen tussen de EU en de VS aan.
Het brengt ons bij het heikele punt van de ‘vendor lock-in’. In een panelgesprek waarschuwt professor De Bie dat bedrijven dreigen vast te lopen in een ecosysteem van softwareleveranciers. Kubecka’s advies hierop is scherp: ‘De aankoopafdeling en de CISO hebben vaak heel andere objectieven. Toch moet je die verenigen.’ De enige maatstaf voor een gezonde relatie met leveranciers draait dan rond twee vragen: hoeveel controle houden bedrijven over hun eigen data en hoeveel verlies lijden ze wanneer ze offline gaan?
Harvest now, decrypt later
Alsof de gevaren nog niet groot genoeg zijn, loert een andere technologische doorbraak al om de hoek: kwantumcomputing. Behalve een onvoorstelbaar potentieel biedt kwantumcomputing namelijk ook een extra bedreiging voor de cyberveiligheid. De immense rekenkracht van kwantumtechnologie laat op termijn toe om de huidige, wijdverbreide encryptiemethoden te kraken. Ramsés Gallego, verbonden aan ISACA, de internationale beroepsvereniging voor IT governance, waarschuwt voor de imminente dreiging: ‘Scenario’s waarbij cybercriminelen en geopolitieke actoren nu al versleutelde data opslaan om die later met kwantumcomputing te ontcijferen, zijn geen sciencefiction.’
Gallego licht toe dat de migratie naar post-quantum cryptografie (PQC) meer dan een paar maanden werk zal vragen. ‘Amper zeven procent van de bedrijven begrijpt de post-quantum standaarden die het NIST (National Institute of Standards and Technology) formuleerde’, waarschuwt hij. De overgang naar post-quantum cryptografie vereist crypto agility: jarenlange inventarisatie, migratie en het inbouwen van de capaciteit om snel van versleutelingstechnologie te wisselen.
Visie en leiderschap
Het mijnenveld is dus groter dan ooit en dijt verder uit. De vraag voor de CEO, CIO en CISO is duidelijk: hoe stuur je een organisatie hierdoor? Professor Konstantinos Sergakis, hoogleraar kapitaalmarktrecht en corporate governance aan de Universiteit van Exeter, wijst op de juridische orkaan die over de sector raast. ‘De komende twee jaar worden cruciaal dankzij de ‘Digital Omnibus’ van de Europese Commissie: een totaalpakket dat de EU-wetgeving rondom AI, cybersecurity en gegevensdeling moet vereenvoudigen en harmoniseren.’
De CISO moet zijn organisatie door een almaar uitdijend mijnenveld sturen
Maar de timing en inhoud van het pakket blinken voorlopig uit in vaagheid. ‘Er is geen leidraad en de uitvoering blijft een sprong in het duister’, aldus Sergakis. ‘Het zorgt ervoor dat compliance nu vooral draait om het afvinken van lijstjes. Het is dus vooral schijnvertoon.’ Zijn advies? ‘Wacht niet op de politiek. Investeer in compliance, niet omdat het moet, maar omdat het competitief voordeel oplevert.’
Eigen roadmap
Het panel sloot af met een oproep tot actie voor Europese bedrijven. We zijn te vaak afnemers in plaats van producenten van IT. Wachten op de perfecte Europese regelgeving, die in de praktijk vaak vol lacunes zit, is geen optie. Bedrijven moeten het heft in eigen handen nemen door hun eigen agenda en roadmap uit te stippelen. ‘Ze staan er te weinig bij stil dat ze het wetgevende proces zelf mee vorm kunnen geven, want de Commissie kijkt naar hen’, stelt Sergakis. Die wetgeving kunnen bedrijven vervolgens in hun eigen voordeel inzetten. ‘Een duidelijke strategie die verder gaat dan louter compliance, levert voordeel op bij potentiële investeerders’, besluit Gallego.