De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) luiden de noodklok: de financiële sector leunt te zwaar op een klein aantal, veelal niet-Europese, IT-leveranciers. Die concentratie vergroot de kans dat een storing, sanctie of cyberincident bij één leverancier direct voelbaar is bij meerdere instellingen tegelijk. Het gezamenlijke persbericht en het onderliggende rapport schetsen zowel de korte- als langetermijnopgave: nu voorbereiden op ontwrichtende scenario’s en tegelijk werken aan meer Europese digitale autonomie.
Waarom afhankelijkheid van hyperscalers en niet-Europese IT-leveranciers een systeemrisico is
Door de sterke digitalisering draaien kernprocessen, van transactieverwerking tot klantinteractie en risicobeheer, op cloudplatformen, SaaS-applicaties en (generatieve) AI-diensten van een handvol mondiale aanbieders. Omdat veel instellingen dezelfde leveranciers en infrastructuur gebruiken, stapelen operationele risico’s zich op tot systeemniveau: één incident kan in de keten meerdere partijen treffen en de continuïteit van het stelsel onder druk zetten. De toezichthouders benoemen vendor lock-in, gedeelde infrastructuur en complexe onderaannemersketens als belangrijke risicofactoren.
Korte termijn: concrete maatregelen om digitale weerbaarheid te vergroten
Het rapport benadrukt dat de sterke afhankelijkheid op korte termijn een gegeven is. Daarom moeten instellingen aantoonbaar kunnen uitleggen welke keuzes zij maken om data soeverein en veilig te houden, en tegelijk de impact van verstoringen minimaliseren. In de praktijk betekent dit onder meer scenario-denken en ketentesten met leveranciers, het herzien van sleutelbeheer (bijvoorbeeld encryptiesleutels in eigen beheer), het toepassen van open standaarden en containerisatie om leveranciersonafhankelijk te kunnen draaien, en het ontwijken van single-vendor keuzes waar dat verantwoord kan.
Lange termijn: routekaart naar Europese digitale autonomie en minder vendor lock-in
Voor structurele risicoreductie is verbreding van het Europese aanbod nodig. De kernboodschap: verminder de afhankelijkheid van niet-Europese IT-dienstverleners door volwaardige Europese alternatieven te ontwikkelen en te gebruiken zodra die beschikbaar zijn. Dat vraagt een gecoördineerde Europese aanpak, gericht op innovatiekracht, schaal en het overwinnen van de ‘first-mover disadvantage’. Daarbij horen ook Europese (generatieve) AI-toepassingen die financieel inzetbaar zijn zonder nieuwe lock-ins te creëren.
Implicaties voor bestuurders, CIO’s en CISO’s: van beleid naar uitvoerbare keuzes
Voor bestuur en audit-/risicocommissies verschuift het gesprek van “is de cloud veilig?” naar “hoe borgen wij leveranciersonafhankelijkheid, datalocatie en exit-strategie?”. Neem datapunten op in risicorapportages: actualiteit van herstelplannen per kritieke dienst, contractuele exit-clausules, sleutelbeheer, delen van infrastructuur met concurrenten en testresultaten van ketensimulaties. Voor CISO’s en CTO’s vraagt dit om architectuurkeuzes die flexibiliteit vergroten, zoals container-gebaseerde workloads, multi-region-ontwerp, en het bewaken van open interfaces. De toezichthouders moedigen instellingen aan om samen met leveranciers en autoriteiten dreigingsscenario’s te ontwikkelen en ‘real-life’ ketentests uit te voeren.
Relevante context: publieke discussie en praktijkobservaties
Ook buiten de officiële publicaties groeit de aandacht voor concentratierisico’s. Vakmedia signaleren dat de dominantie van enkele hyperscalers, de stap naar volledige cloudstacks bij één aanbieder en de toegenomen verwevenheid van leveranciersketens het incidentoppervlak vergroten. Die context onderstreept het pleidooi voor weerbaarheid nu en autonomie later.
Wat betekent dit voor organisaties buiten de financiële sector?
Hoewel het rapport zich richt op de financiële sector, gelden de lessen breder. Iedere organisatie die kritieke processen uitbesteedt aan een beperkt aantal platformen krijgt te maken met vergelijkbare risico’s: concentratie, afhankelijkheid en geopolitieke kwetsbaarheid. Werk aan een portfolio-strategie met expliciete exit-paden, dataminimalisatie bij derden en aantoonbare controle over sleutels en identiteiten. Verbind dit aan uw compliance-kaders (bijv. NIS2, DORA) en uw eigen business-continuïteitsdoelstellingen.
Practische vervolgstappen die u morgen kunt starten
Begin met een korte, feitelijke inventarisatie: welke bedrijfskritieke processen leunen op welke leveranciers, in welke regio’s staan data en sleutels, en hoe snel kunt u overschakelen bij een verstoring? Leg per kritieke dienst herstel-RTO/RPO (Recovery Time Objective / Recovery Point Objective) vast, inclusief ketenafspraken met leveranciers. Valideer ten minste jaarlijks uw ketenveronderstellingen met geplande testen en betrek leveranciers actief bij het oefenen. Maak daarnaast expliciete keuzes voor open standaarden en interoperabiliteit, zodat u lock-ins beperkt en sneller kunt schakelen wanneer Europese alternatieven volwassen worden.
Digitale autonomie vraagt om keuzes
De boodschap van AFM en DNB is helder: vergroot nu de digitale weerbaarheid en investeer tegelijk in de voorwaarden voor Europese alternatieven. Dat is geen eenmalig project maar een doorlopend strategisch thema dat technologie, risico, inkoop en governance verbindt. Wie vandaag scherpe architectuur- en leverancierskeuzes maakt, koopt morgen wendbaarheid en continuïteit.
In dit kader is het zinvol de overheidsprioriteiten voor digitale weerbaarheid en autonomie mee te nemen. Lees bijvoorbeeld de Nederlandse Digitaliseringsstrategie: versterking van digitale weerbaarheid en autonomie, waarin de beleidslijn rondom digitale weerbaarheid en autonomie wordt samengevat. Of check de samenhang tussen één nationale cyberorganisatie, NIS2 en governance-eisen voor de praktische gevolgen in de dagelijkse operatie.
Het volledige rapport kunt u downloaden onderaan deze pagina https://www.dnb.nl/algemeen-nieuws/persbericht-2025/afm-en-dnb-waarschuwen-voor-systeemrisico-s-financiele-sector-door-digitale-afhankelijkheid
