Stel je voor: een plotselinge uitval van een cloudprovider die diensten levert aan tientallen banken, pensioenfondsen en verzekeraars. Geldautomaten werken niet meer, transacties worden geweigerd, klantenservice ligt plat. Dit is geen doemscenario van een dystopische film, maar een reële zorg die toezichthouders inmiddels hardop uitspreken.

De Autoriteit Financiële Markten en DNB brengen met hun gezamenlijke signaal een onderbelicht risico aan het licht: de financiële sector is digitaal kwetsbaar. Die kwetsbaarheid komt voort uit een groeiende afhankelijkheid van een handjevol IT-leveranciers, vaak buiten Europa, die diep verankerd zitten in de dagelijkse processen van financiële instellingen.

Wat is het probleem?

De afgelopen jaren heeft de sector stevig ingezet op digitalisering. IT is schaalbaar, cloud is efficiënt, automatisering bespaart kosten. Maar ergens onderweg is er iets scheef gegroeid: instellingen bleken steeds vaker voor dezelfde leveranciers te kiezen, en juist daar zit het risico.

Want wat gebeurt er als er bij één zo’n leverancier een storing is? Of erger nog: als die partij doelwit wordt van een cyberaanval? Dat raakt niet één instelling, maar mogelijk tientallen tegelijk. Daarmee is het geen individueel probleem meer, maar een systeemrisico.

Toezichthouders zien het als hun taak om dit risico zichtbaar te maken. En hoewel het persbericht niet spreekt van concrete incidenten, is de waarschuwing glashelder: de afhankelijkheid van kritieke digitale infrastructuur vormt een bedreiging voor de stabiliteit van het financiële systeem.

Geopolitiek als risicofactor

Wat de zaak urgenter maakt, is de context waarin deze afhankelijkheid plaatsvindt. De geopolitieke spanningen nemen toe. Denk aan sancties, handelsoorlogen, strategische afkoppeling tussen blokken als de EU, VS en China. Digitale infrastructuur wordt daarbinnen een machtsmiddel.

Stel je voor dat een cloudprovider zich door geopolitieke druk moet terugtrekken uit Europa, of dat bepaalde diensten worden stopgezet door een sanctiepakket. Dan zitten instellingen met handen gebonden — data vast in gesloten systemen, dienstverlening abrupt onderbroken.

In de praktijk zien toezichthouders nu al dat instellingen worstelen met deze afhankelijkheden. Exitstrategieën ontbreken vaak. Ook zijn leverancierscontracten niet altijd ingericht op situaties waarin toegang tot data of systemen onder druk staat.

Wat verwachten AFM en DNB van instellingen?

De boodschap van de toezichthouders is tweeledig. Enerzijds gaat het om bewustwording: instellingen moeten de risico’s van hun digitale keten onderkennen. Anderzijds is het een oproep tot actie: ga testen, stel scenario’s op, breng de keten in kaart.

Men verwacht dat instellingen:

• scenario’s uitwerken voor uitval van kritieke leveranciers;

• actieve samenwerking zoeken met externe IT-partners over veerkracht en herstelplannen;

• risico’s delen met branchegenoten via platforms voor informatie-uitwisseling;

• contracten herzien op continuïteitsafspraken en data-toegankelijkheid.
  

Die verwachtingen zijn geen vrijblijvende adviezen. In het volgende deel bekijken we waarom niet, en hoe de wetgeving dit inmiddels ook formeel afdwingt.

Het juridisch kader: DORA en de verplichting tot digitale veerkracht

Wat veel instellingen zich niet altijd realiseren, is dat de juridische basis om actie te ondernemen al stevig is gelegd. De EU heeft met de Digital Operational Resilience Act (DORA) een verordening ingevoerd die vanaf januari 2025 geldt voor vrijwel alle financiële instellingen in Europa. En deze wet raakt exact aan de problematiek die AFM en DNB nu benoemen.

Wat regelt DORA?

DORA verplicht financiële instellingen om digitale risico’s structureel te beheren. Dat klinkt breed, en dat is het ook. De verordening legt onder meer verplichtingen op voor:

• risicobeheer van ICT-systemen;

• het melden van significante incidenten;

• testen van digitale weerbaarheid;

• beheer van derdepartij-risico’s (third-party risk management);

• naleving van eisen aan contracten met IT-dienstverleners.
  

DORA stelt dus dat instellingen hun volledige digitale keten moeten doorlichten. Welke leveranciers zijn er? Zijn datacenters geografisch gespreid? Wat zijn de fallback-scenario’s? Zijn hersteltermijnen contractueel vastgelegd?

Daarbij gaat het niet alleen om compliance, maar om veerkracht: kunnen blijven functioneren in het geval van digitale tegenslag.

Juridische relevantie van ketenafhankelijkheid

Kijken we naar de situatie waarin één leverancier meerdere instellingen bedient, dan is duidelijk dat dit onder de noemer valt van “systemische risico’s” — precies waarvoor DORA de regels verscherpt. De wet schrijft voor dat instellingen third-party risico’s expliciet moeten identificeren en beheersen.

Contractueel betekent dit: afspraken over data-eigenaarschap, toegang bij storingen, migratie bij exit, aansprakelijkheid, en hersteltermijnen.

Een belangrijke nuance hierbij: instellingen zijn verantwoordelijk voor de risico’s in de keten, ook al liggen die buiten hun eigen muren. Dat principe is vergelijkbaar met artikel 7:658 BW (werkgeversaansprakelijkheid) waarin risico’s bij de werkgever blijven, ook als de uitvoering elders plaatsvindt. Dat is in het ICT-domein niet anders.

Relatie met NIS2

De DORA-verordening werkt parallel aan de NIS2-richtlijn, die geldt voor essentiële en belangrijke entiteiten in sectoren zoals energie, transport en digitale infrastructuur. Ook banken en financiële instellingen vallen hieronder.

In de praktijk betekent dit dat instellingen naast DORA ook moeten voldoen aan de NIS2-eisen voor cybersecurity en incidentrespons. De overlap tussen beide kaders is geen toeval: ze zijn ontworpen om elkaar te versterken.

Wat betekent dit in de praktijk?

Veel instellingen werken al met strakke SLA’s, monitoringtools en leveranciersrapportages. Toch is dat vaak onvoldoende als de toeleveringsketen niet in kaart is gebracht of niet wordt getest.

In de praktijk is het raadzaam om:

• na te gaan welke systemen essentieel zijn voor continuïteit;

• per systeem de afhankelijkheid van externe leveranciers in kaart te brengen;

• periodieke ketentesten uit te voeren (met simulatie van storingen);

• bestuursrapportages in te richten waarin risico’s inzichtelijk en bespreekbaar worden.
  

Toezichthouders zullen in toezichtgesprekken expliciet vragen naar dit soort maatregelen. Niet alleen omdat het in de wet staat, maar ook omdat het publieke vertrouwen in het financiële systeem op het spel staat.

FAQs

Wat bedoelen AFM en DNB met digitale afhankelijkheid? Daarmee wordt bedoeld dat instellingen kritieke IT-processen hebben uitbesteed aan externe partijen, waardoor een verstoring bij die partij gevolgen heeft voor de instelling zelf én andere partijen in het systeem.

Waarom is dit een systeemrisico? Omdat meerdere instellingen dezelfde leverancier gebruiken. Een incident raakt dus niet individueel, maar breed, met impact op het gehele financiële stelsel.

Geldt dit alleen voor banken? Nee. DORA is van toepassing op banken, verzekeraars, beleggingsinstellingen, pensioenfondsen, en ook bepaalde fintechs en ICT-dienstverleners.

Moet ik als instelling afscheid nemen van niet-Europese leveranciers? Niet per se. Wel moeten keuzes inzichtelijk, uitlegbaar en contractueel geborgd zijn. Risicodiversificatie is belangrijk, maar het gaat om proportionaliteit.

Wat gebeurt er bij niet-naleving van DORA? Toezichthouders kunnen sancties opleggen, verhoogd toezicht instellen of herstelmaatregelen afdwingen. De exacte maatregelen verschillen per lidstaat, maar reputatieschade ligt altijd op de loer.

Bronnen

• DNB – Systeemrisico's door digitale afhankelijkheid (Persbericht)