Laatst zat ik met de CISO van een middelgrote gemeente. Zijn team had net de inventarisatie afgerond: 142 applicaties die op een of andere manier RSA of ECC gebruiken. Handmatig omzetten naar post-quantum crypto? Zijn schatting was 3 jaar, 4 FTE. Het bestuur vond dat te duur. Dus gebeurde er niks.

Exact dát probleem, te duur, te langzaam, te veel handwerk, adresseert nieuw onderzoek van Li, Yu, Li, Zheng en He: Empirical Evaluation of Large Language Models for Migration of Code Fragments to Post-Quantum Cryptography (arXiv:2606.07341, juni 2026). Ze fine-tuneden GPT-4.1-mini op 800 paired codefragmenten, klassieke crypto naast PQC-equivalent, en de resultaten zijn opvallend goed.

De headline: 92,5% functionele correctheid over 6 cryptografische families. Dat is geen lab-experiment met 12 voorbeelden, het is een systematische evaluatie van een praktische migratiepipeline. De AI weet niet alleen dat RSA naar ML-KEM moet, maar begrijpt ook de API-verschillen, parameter-aanpassingen, en veiligheidscontext die een naïeve find-and-replace zou missen.

Wat me opviel: de foutmarge heeft een patroon

De 7,5% die fout gaat, is niet willekeurig. Het paper documenteert dat failures clusteren rond twee scenario's:

Cryptografische context-afhankelijkheid, waar de veiligheidsaanname van de migratie afhangt van hoe de crypto ingebed is in het omliggende protocol. Een TLS-wrapper migreren naar ML-KEM is triviaal, maar een custom key-agreement protocol met timing constraints vereist meer dan syntactische vertaling.
Niet-standaard crypto-patronen, legacy code die RSA gebruikt op manieren die nooit in de train set verschenen: exotische padding schema's, hybride encryptie zonder standaard API, pre-NIST PQC experimenten.

Dit is géén argument tégen AI-assisted migratie. Het is een argument dat de AI het handwerk reduceert van 100% naar 7,5%, en dat die 7,5% de kritische 7,5% is.

De NIS2-klok tikt

De Cyberbeveiligingswet (NIS2-implementatie) treedt 1 juli 2026 in werking. Artikel 21 vereist dat essentiële entiteiten "state-of-the-art" beveiligingsmaatregelen treffen. Crypto-agility, het vermogen om cryptografische primitieven te roteren zonder operatieverstoring, is daar een essentieel onderdeel van.

NIST heeft de PQC-standaarden gepubliceerd (ML-KEM, ML-DSA, SLH-DSA). Het NCSC adviseert Nederlandse organisaties om nu te beginnen met migratieplanning. En "harvest now, decrypt later" is geen theoretisch risico: versleutelde data die vandaag onderschept wordt, kan over 5-10 jaar met quantum-computers ontsleuteld worden.

Dus de vraag is niet óf je moet migreren, maar hoe je het praktisch uitvoerbaar maakt binnen de budget- en tijdsdruk van een overheidsorganisatie. Dit paper geeft een antwoord: AI doet het grootste deel van het werk. Jouw crypto-specialisten reviewen alleen die 7,5%.

Concreet: wat betekent dit voor Nederlandse organisaties?

De implementatie van PQC raakt niet alleen techniek, maar ook compliance onder meerdere regimes:

BIO2 (Baseline Informatiebeveiliging Overheid 2), Hoofdstuk 8, technologische beveiligingsmaatregelen, vereist actuele cryptografische standaarden. De Rijksoverheid verwacht dat organisaties een PQC-migratieplan hebben.
NIS2/Cyberbeveiligingswet, Article 21 zorgplicht: "state-of-the-art" beveiliging. De Autoriteit Consument & Markt (ACM) en RDI handhaven dit. Geen PQC-plan = aantoonbaar niet state-of-the-art.
AVG artikel 32, Passende technische maatregelen. Als quantum-aanvallen voorzienbaar zijn (en dat zijn ze), is RSA-2048 zonder migratieplan onvoldoende.

Voor een middelgrote gemeente met 100-200 applicaties betekent dit:

Zonder AI: 2-4 FTE, 18-36 maanden, kosten €300K-€700K
Met AI-assisted migratie: 1-2 FTE (reviewfase), 8-12 maanden, kosten €150K-€350K

Het verschil? De AI elimineert het repetitieve handwerk. De overgebleven 7,5% is de specialistische review, precies het soort werk waar je wél een crypto-specialist voor wilt betalen.

De governance-valkuil

Hier komt de DjimIT-take: deze tooling creëert een nieuw compliance-risico. Als 92,5% geautomatiseerd wordt, wie verifieert dan dat de 7,5% foutmarge niet in productie belandt?

Drie eisen voor verantwoorde AI-assisted PQC-migratie:

Cryptografische review op alle AI-output. Elke gemigreerde functie moet door een menselijke crypto-specialist beoordeeld worden, niet steekproefsgewijs, maar integraal. De AI is een productiviteits-tool, geen autoriteit.
Testframework met crypto-aware assertions. Standaard unittests checken functionele correctheid maar niet cryptografische veiligheid. Je hebt testvectoren nodig die specifiek controleren of de PQC-implementatie correct is: key-encapsulation roundtrips, signature-verificatie met bekende publieke sleutels, negative tests tegen klassieke aanvalspatronen.
Audit trail per gemigreerde functie. NIS2 artikel 21 vereist aantoonbaarheid. Elke gemigreerde functie moet traceerbaar zijn: originele code → AI-voorstel → menselijke review → testresultaten → acceptatie. Een simpele git blame op de AI-commit is niet voldoende.

DjimIT Revenue Angle

De markt voor PQC-compliance groeit snel. Nederlandse overheidsorganisaties hebben geen crypto-specialisten in dienst, ze huren die in. Het AI-assisted migratiemodel creëert een consulting-product:

Fase	Dienst	Potentieel
Inventarisatie	Crypto-asset discovery + risico-classificatie	€8K-€15K
Migratie-executie	AI-pipeline opzetten, draaien, valideren	€15K-€25K
Compliance-audit	PQC-migratie audit voor NIS2/BIO2/AVG	€10K-€18K
Governance-kader	PQC-beleid + crypto-agility framework	€8K-€12K

Een volledig traject: €40K-€70K. Voor de 50+ organisaties die onder NIS2 als "essentieel" vallen: een markt van €2-3,5 miljoen in de komende 2-3 jaar.

Dit paper maakt de case: AI-assisted PQC-migratie is niet alleen technisch haalbaar, het is de enige economisch realistische route voor organisaties die nu nog niet zijn begonnen. Wie wacht op volledig handmatige migratie, wacht tot het te laat is.

Paper: Li, Yu, Li, Zheng & He, "Empirical Evaluation of Large Language Models for Migration of Code Fragments to Post-Quantum Cryptography", arXiv:2606.07341, juni 2026.

NIS2/Cyberbeveiligingswet: inwerkingtreding 1 juli 2026. Registratieplicht essentiële entiteiten.

Zie ook: AI Agents Under EU Law: de eerste complete compliance-blauwdruk, voor de bredere regulatory context.

Wat me opviel: de foutmarge heeft een patroon

De 7,5% die fout gaat, is niet willekeurig. Het paper documenteert dat failures clusteren rond twee scenario's:

Cryptografische context-afhankelijkheid, waar de veiligheidsaanname van de migratie afhangt van hoe de crypto ingebed is in het omliggende protocol. Een TLS-wrapper migreren naar ML-KEM is triviaal, maar een custom key-agreement protocol met timing constraints vereist meer dan syntactische vertaling.
Niet-standaard crypto-patronen, legacy code die RSA gebruikt op manieren die nooit in de train set verschenen: exotische padding schema's, hybride encryptie zonder standaard API, pre-NIST PQC experimenten.

Dit is géén argument tégen AI-assisted migratie. Het is een argument dat de AI het handwerk reduceert van 100% naar 7,5%, en dat die 7,5% de kritische 7,5% is.

De NIS2-klok tikt

Concreet: wat betekent dit voor Nederlandse organisaties?

De implementatie van PQC raakt niet alleen techniek, maar ook compliance onder meerdere regimes:

BIO2 (Baseline Informatiebeveiliging Overheid 2), Hoofdstuk 8, technologische beveiligingsmaatregelen, vereist actuele cryptografische standaarden. De Rijksoverheid verwacht dat organisaties een PQC-migratieplan hebben.
NIS2/Cyberbeveiligingswet, Article 21 zorgplicht: "state-of-the-art" beveiliging. De Autoriteit Consument & Markt (ACM) en RDI handhaven dit. Geen PQC-plan = aantoonbaar niet state-of-the-art.
AVG artikel 32, Passende technische maatregelen. Als quantum-aanvallen voorzienbaar zijn (en dat zijn ze), is RSA-2048 zonder migratieplan onvoldoende.

Voor een middelgrote gemeente met 100-200 applicaties betekent dit:

Zonder AI: 2-4 FTE, 18-36 maanden, kosten €300K-€700K
Met AI-assisted migratie: 1-2 FTE (reviewfase), 8-12 maanden, kosten €150K-€350K

Het verschil? De AI elimineert het repetitieve handwerk. De overgebleven 7,5% is de specialistische review, precies het soort werk waar je wél een crypto-specialist voor wilt betalen.

De governance-valkuil

Hier komt de DjimIT-take: deze tooling creëert een nieuw compliance-risico. Als 92,5% geautomatiseerd wordt, wie verifieert dan dat de 7,5% foutmarge niet in productie belandt?

Drie eisen voor verantwoorde AI-assisted PQC-migratie:

Cryptografische review op alle AI-output. Elke gemigreerde functie moet door een menselijke crypto-specialist beoordeeld worden, niet steekproefsgewijs, maar integraal. De AI is een productiviteits-tool, geen autoriteit.
Testframework met crypto-aware assertions. Standaard unittests checken functionele correctheid maar niet cryptografische veiligheid. Je hebt testvectoren nodig die specifiek controleren of de PQC-implementatie correct is: key-encapsulation roundtrips, signature-verificatie met bekende publieke sleutels, negative tests tegen klassieke aanvalspatronen.
Audit trail per gemigreerde functie. NIS2 artikel 21 vereist aantoonbaarheid. Elke gemigreerde functie moet traceerbaar zijn: originele code → AI-voorstel → menselijke review → testresultaten → acceptatie. Een simpele git blame op de AI-commit is niet voldoende.

DjimIT Revenue Angle

De markt voor PQC-compliance groeit snel. Nederlandse overheidsorganisaties hebben geen crypto-specialisten in dienst, ze huren die in. Het AI-assisted migratiemodel creëert een consulting-product:

Fase	Dienst	Potentieel
Inventarisatie	Crypto-asset discovery + risico-classificatie	€8K-€15K
Migratie-executie	AI-pipeline opzetten, draaien, valideren	€15K-€25K
Compliance-audit	PQC-migratie audit voor NIS2/BIO2/AVG	€10K-€18K
Governance-kader	PQC-beleid + crypto-agility framework	€8K-€12K

Een volledig traject: €40K-€70K. Voor de 50+ organisaties die onder NIS2 als "essentieel" vallen: een markt van €2-3,5 miljoen in de komende 2-3 jaar.

Paper: Li, Yu, Li, Zheng & He, "Empirical Evaluation of Large Language Models for Migration of Code Fragments to Post-Quantum Cryptography", arXiv:2606.07341, juni 2026.

NIS2/Cyberbeveiligingswet: inwerkingtreding 1 juli 2026. Registratieplicht essentiële entiteiten.

Zie ook: AI Agents Under EU Law: de eerste complete compliance-blauwdruk, voor de bredere regulatory context.

92,5% van je crypto-migratie kan AI doen — wat betekent die resterende 7,5% onder NIS2?

Wat me opviel: de foutmarge heeft een patroon

De NIS2-klok tikt

Concreet: wat betekent dit voor Nederlandse organisaties?

De governance-valkuil

DjimIT Revenue Angle

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

NSA: MCP is Geen Security Boundary — Bouw een Zero Trust Control Plane

Perplexity's Bumblebee — de supply-chain scanner die elke developer endpoint checkt

Agentic AI is geen LLM met tools — OWASP herdefinieert het dreigingsmodel

92,5% van je crypto-migratie kan AI doen — wat betekent die resterende 7,5% onder NIS2?

Wat me opviel: de foutmarge heeft een patroon

De NIS2-klok tikt

Concreet: wat betekent dit voor Nederlandse organisaties?

De governance-valkuil

DjimIT Revenue Angle

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

NSA: MCP is Geen Security Boundary — Bouw een Zero Trust Control Plane

Perplexity's Bumblebee — de supply-chain scanner die elke developer endpoint checkt

Agentic AI is geen LLM met tools — OWASP herdefinieert het dreigingsmodel