Cloud-moe? Waarom 'Control First' de nieuwe strategische norm is - een waarschuwing van DNB en AFM

woensdag, 29 oktober 2025 (09:27) - Banken.nl

In dit artikel:

Toezichthouders DNB en AFM zetten financiële instellingen onder druk om hun afhankelijkheid van een klein aantal niet-Europese hyperscalers kritisch te heroverwegen. Recent signalen laten zien dat blindelings aan publieke clouds vasthouden een systeemrisico kan opleveren: één storing, cyberincident of geopolitieke maatregel bij een grote cloudprovider kan meerdere banken en verzekeraars tegelijk raken en zo de stabiliteit van het financiële stelsel bedreigen.

Als gevolg verschuift de IT-strategie in de sector van puur “cloud first” naar meer on-premise en hybride oplossingen. Deze beweging is niet nostalgisch, maar bedoeld om juridische zeggenschap, datasoevereiniteit en compliance beter te borgen — verplichtingen die ook door Europese regels zoals DORA en de AVG steeds nadrukkelijker worden opgelegd. Besturen moeten nu aantoonbaar kunnen maken waar data staat, wie er toegang toe heeft en onder welke jurisdictie infrastructuur valt.

Concentratie bij een paar leveranciers vergroot kwetsbaarheid en kan leiden tot vendor lock-in en onvoorspelbare kosten (bijvoorbeeld door schaalverbruik, licentie-upgrades of data-egress-fees). On-premise en hybride opstellingen bieden daarentegen meer directe controle over cybersecurity, encryptie, netwerksegmentatie en totale kosten van eigendom, iets wat CFO’s en CIO’s weer meer waarderen.

Praktisch betekent dit dat organisaties hun IT-regie opnieuw moeten inrichten: duidelijke exit-strategieën, diversificatie van leveranciers en een “control first”-mentaliteit. Europese software en lokale oplossingen kunnen helpen innovatie te combineren met onafhankelijke beheersbaarheid, zonder volledige afhankelijkheid van externe hyperscalers.

Kortom: de sector beweegt van snelheid en schaalbaarheid als primaire doelen naar een balans waarbij bestuurbaarheid, compliance en digitale autonomie even zwaar wegen. Voor raden van bestuur vraagt dat lef, langetermijnvisie en concrete maatregelen om systeem- en concentratierisico’s actief te mitigeren.