Afhankelijkheid van ICT-platformen: een dubbele wake-up call
Blog
Op 20 oktober jl. kreeg de financiële sector een dubbele wake-up call over de ICT-risico’s die kunnen voortvloeien uit de toenemende afhankelijkheid van niet-Europese ICT-dienstverleners, in het bijzonder de grote Amerikaanse cloud serviceproviders.
Op deze dag publiceerden de AFM en DNB hun rapport ‘Digitale afhankelijkheid in de financiële sector’ (het ‘Rapport’), waarin zij de risico’s van deze toenemende afhankelijkheid bespreken. Gelijktijdig vond een ongekende storing plaats bij het Amerikaanse Amazon Web Services (‘AWS’), de wereldwijde marktleider in cloud services, die de bedrijfsvoering van haar klanten raakte, waaronder financiële ondernemingen in de Verenigde Staten en het Verenigd Koninkrijk.
Deze samenloop van omstandigheden is illustratief voor de urgentie van de door de AFM en DNB gesignaleerde ICT-risico binnen de financiële sector.
Het belangrijkste risico dat de AFM en DNB signaleren in het Rapport is de toenemende concentratie van ICT-diensten die worden uitgevoerd door een kleine groep niet-Europese en voornamelijk Amerikaanse cloud serviceproviders. Hierdoor is een zeer sterke afhankelijkheid ontstaan. Hoewel de AFM en DNB onderkennen dat substantiële vermindering van deze afhankelijkheid op korte termijn niet realistisch is, wijzen zij financiële ondernemingen op de maatregelen die getroffen kunnen worden om deze afhankelijkheidsrisico’s te mitigeren.
De AFM en DNB bespreken daarbij tevens de recente wijzigingen in het regelgevend kader, waaronder de EU Digital Operational Resilience Act (‘DORA’), die Europese financiële ondernemingen verplicht om op uniforme en deugdelijke wijze hun ICT-risico’s te inventariseren en te beheersen. Daarnaast benoemen de AFM en DNB ook zaken die in Europees verband geregeld moeten worden. Ook geven de AFM en DNB aan dat zij zelf drempels in regelgeving kunnen identificeren, die in de weg kunnen staan aan het inschakelen van lokale Europese ICT-dienstverleners. Hieronder bespreken wij de belangrijkste aandachtspunten uit het Rapport.
De financiële sector is gebouwd op ICT-diensten
Financiële ondernemingen bouwen de ruggengraat van hun organisatie grotendeels met dezelfde IT-platformen van de grote Amerikaanse cloud serviceproviders (ook wel hyperscalers genoemd). In een NRC-interview van 19 oktober 2025, waarin de AFM en DNB ingaan op deze risico’s en hun rapport aankondigen, wijst DNB-directeur toezicht Steven Maijoor er ook op dat Israëlische aanbieders van cybersecuritysoftware en Indiase ICT-dienstverleners een belangrijke rol vervullen voor de financiële sector.
Alle financiële ondernemingen gebruiken bij hun bedrijfsprocessen in meer of mindere mate externe ICT-diensten. Dit is enerzijds gedreven door efficiëntie, kostenreductie en aansluiting bij klantbehoeften, en anderzijds door de wens om de toenemende complexiteit van ICT- en cyberrisico’s te laten beheren door gespecialiseerde ICT-dienstverleners. Door factoren zoals hoge redundancy (het beschikken over dubbele of meervoudige infrastructuur) en geografische spreiding zouden cloud serviceproviders beschikbaarheid van data en ICT-diensten beter of goedkoper kunnen waarborgen dan financiële ondernemingen zelf.
Een belangrijke aanleiding voor het Rapport is het huidige gure geopolitieke klimaat, in combinatie met de toenemende afhankelijkheid van Amerikaanse ICT-dienstverleners. Daarnaast kan de dominantie van Amerikaanse AI-platformen in de toekomst leiden tot nog verdergaande afhankelijkheid van Amerikaanse ICT-dienstverleners. Voorts signaleren de AFM en DNB een specifiek risico dat deze afhankelijkheid kan worden misbruikt om geopolitieke doelen te bereiken.
Verhouding tot bestaande regelgeving
DORA, die sinds 17 januari 2025 van toepassing is, adresseert ICT-risico’s op uniforme wijze voor een groot deel van de financiële ondernemingen in de Europese Unie. Door de verplichte ICT-informatieregisters wordt per financiële onderneming de afhankelijkheid van interne en externe ICT-processen inzichtelijk en worden ook op macroniveau de concentratierisico’s inzichtelijk. Concentratie van kritieke ICT-diensten bij enkele (systeemrelevante) ICT-dienstverleners kan resulteren in systeemrisico’s. De stabiliteit van het financiële stelsel wordt dan afhankelijk van de robuustheid en beschikbaarheid van externe ICT-diensten, welk risico nogmaals pijnlijk werd onderstreept door de uitval van kritieke diensten bij financiële ondernemingen ten gevolge van de storing bij AWS.
DORA is een gedetailleerd en verstrekkend regelgevingspakket. Deze rechtstreeks werkende verordening beoogt uniforme beheersing van ICT-risico’s in de financiële sector en reguleert diverse aspecten, waaronder governance, risicobeoordelingen, contractuele bepalingen en basaal toezicht op systeemrelevante ICT-dienstverleners. Ten aanzien van dit laatste punt lijkt DORA al kort na inwerkingtreding tekort te schieten. DORA bevat namelijk wel een aanzet om onder specifieke voorwaarden de systeemrelevante ICT-dienstverleners onder enige mate van EU-toezicht te brengen. Echter, de AFM en DNB menen dat DORA in haar huidige vorm ontoereikend is om systeemrisico’s en geopolitieke risico’s te ondervangen. De AFM en DNB zien concrete mogelijkheden om het DORA-toezichtkader voor (niet-Europese) kritische ICT-dienstverleners te verbeteren. Zo stellen de AFM en DNB dat de EU DORA op dit punt zou moeten evalueren en waar nodig nadere guidance zou moeten overwegen. Daarnaast zou op termijn ook overwogen kunnen worden om een dwingendrechtelijk toezichtkader te implementeren voor kritieke IT-dienstverleners. Overigens is het rechtstreekse toezicht op kritieke IT-dienstverleners uniek voor DORA. Andere EU-toezichtregelgeving blijft doorgaans beperkt tot regels voor financiële ondernemingen zelf.
Overigens signaleren de AFM en DNB ook andere gebieden waar DORA mogelijk onbedoelde consequenties heeft. Volgens sommige financiële ondernemingen en ICT-dienstverleners, kan DORA leiden tot verschraling van het aanbod van ICT-dienstverleners, waardoor het concentratierisico wordt vergroot. Dit komt met name doordat sommige kleine ICT-dienstverleners niet aan DORA kunnen of willen voldoen, en dus hun dienstverlening aan cliënten in de financiële sector staken.
Daarnaast kan DORA ertoe leiden dat financiële ondernemingen het aantal ICT-diensten dat zij afnemen beperken, om zo hun administratieve druk onder DORA te verlagen. Ook deze prikkel kan volgens de AFM en DNB leiden tot een groter concentratierisico. Tegelijkertijd kan een reductie in het aantal (kritieke) ICT-diensten en ICT-dienstverleners ook resulteren in een overzichtelijker en beter beheersbaar ICT-landschap voor een financiële onderneming. De AFM en DNB zouden er dus ook op bedacht moeten zijn dat het realiseren van vereenvoudiging en meer overzicht een bewuste strategie kan zijn en op zich een gerechtvaardigd doel dient dat in lijn is met de doelstelling van DORA.
Systeemrisico’s
Door concentratie van activiteiten bij enkele ICT-dienstverleners zijn concentratie- en (ICT-)systeemrisico’s ontstaan. Een storing bij één ICT-dienstverlener kan meerdere instellingen tegelijk raken. Dit werd goed geïllustreerd door de grote storing bij AWS. Hoewel deze storing zich, aldus AWS, voordeed in zijn geografische eenheid US-EAST-1 Region, ondervonden wereldwijd AWS-klanten technische problemen. Financiële ondernemingen uit het Verenigd Koninkrijk zoals Lloyds Bank, Halifax en Bank of Scotland, maar ook cryptobeurs Coinbase en apps zoals Snapchat, Duolingo, Pokémon GO, Roblox, Alexa en Ring deurbellen, kregen hierdoor te maken met storingen in hun beschikbaarheid en dienstverlening. Zo konden rekeninghouders van een aantal Engelse banken enige uren online geen toegang krijgen tot hun rekening en zelfs met rekeningtoegang geen betalingen uitvoeren.
Mogelijke risicobeheersingsmaatregelen
De AFM en DNB concluderen dat financiële ondernemingen deze geopolitieke risico’s en systeemrisico’s onderkennen en doorgaans intensief ICT-risicomanagement daarop uitvoeren. Financiële ondernemingen kunnen aanvullende maatregelen nemen om deze risico’s (gedeeltelijk) te mitigeren, door bijvoorbeeld het opstellen van exitplannen en exitstrategieën, het in kaart brengen van het ICT-landschap en het nastreven van een multivendorstrategie, waarbij financiële ondernemingen niet al hun ICT-diensten afnemen van één ICT-dienstverlener.
De AFM en DNB onderkennen echter ook dat er momenteel nog onvoldoende gelijkwaardige alternatieven van Europese ICT-dienstverleners zijn en dat er drempels zijn om over te stappen, waardoor het risico van vendor lock-in op de loer ligt. Bij gebrek aan dergelijke alternatieven is een afname van de afhankelijkheid van Amerikaanse ICT-dienstverleners op korte termijn niet reëel.
De AFM en DNB achten het van strategisch belang dat deze afhankelijkheid op termijn wel wordt verminderd. Het vergroten van de Europese digitale autonomie vergt echter acties op Europees niveau, waarbij wordt gewezen op de oplossingen die in het Draghi-rapport zijn geformuleerd. Daarnaast zou een EU-toezichthouder specifiek voor clouddiensten mogelijk beter werken dan de huidige gefragmenteerde EU-aanpak, waarbij meerdere toezichthouders, zowel binnen als buiten de financiële sector, zich mede bezighouden met cloud serviceproviders.
Hoewel de Europese bedrijfsonderdelen van Amerikaanse hyperscalers zogenoemde datasoevereiniteitsoplossingen aanbieden, is het de vraag in hoeverre dergelijke (vaak duurdere en minder flexibele) organisatorische, operationele en juridische maatregelen bescherming bieden tegen staatsinmenging. Desondanks zullen financiële ondernemingen moeten kunnen uitleggen welke maatregelen zij hebben genomen om te waarborgen dat hun data soeverein en veilig zijn.
De AFM en DNB wijzen ook op de mogelijkheid voor financiële ondernemingen om encryptiesleutels in de eigen ICT-omgeving te beheren en deze niet door cloud serviceproviders te laten beheren, om zo data in de cloud beter te beschermen tegen onbevoegde toegang daartoe door overheden. Dit ondervangt echter niet de systeemrisico’s die kunnen voortvloeien uit uitval van systemen of dataverlies. Ook kunnen financiële ondernemingen maatregelen overwegen die de portabiliteit van hun data en processen in cloudapplicaties verhogen, waardoor deze eenvoudiger kunnen worden overgeheveld naar andere aanbieders of teruggenomen in eigen beheer.
Financiële ondernemingen kunnen, al dan niet gezamenlijk, dreigingsscenario’s ontwikkelen, met een focus op ontwrichtende scenario’s, en op basis daarvan tests uitvoeren op hun (interne en externe) ICT-processen. Dit kan leiden tot beter inzicht in de opties die resteren in een crisisscenario. Ook kunnen financiële ondernemingen efficiënter dreigingsinformatie uitwisselen en – met inachtneming van geldende mededingingsregels – meer gezamenlijk optrekken bij het contracteren van ICT-diensten. De AFM en DNB zijn bereid om op deze onderwerpen een faciliterende rol te spelen. De AFM en DNB zullen zich in hun (DORA-)toezicht in het bijzonder focussen op de voorbereidingen van financiële ondernemingen op ontwrichtende scenario’s en bieden aan, waar nodig, de samenwerking tussen verschillende financiële ondernemingen en ICT-dienstverleners ten behoeve van deze scenarioanalyses te faciliteren.
_w500.png)