Op papier compliant, in de praktijk kwetsbaar

De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van NIS2, geschreven in een totaal andere geopolitieke realiteit dan zijn voorganger. Terwijl Donald Trump opnieuw in het Witte Huis zit en vicepresident Vance Europa publiekelijk de maat neemt over onze militaire en digitale defensie, worden kabels op de bodem van de Oostzee met regelmaat doorgesneden. Tegelijkertijd geeft de Amerikaanse CLOUD Act hun autoriteiten toegang tot data bij Amerikaanse providers, ongeacht waar die fysiek zijn opgeslagen. Het dwingt tot realisme, elke buitenlandse jurisdictie die via leveranciers grip krijgt op onze publieke systemen, vormt inmiddels een wezenlijk risico.

Tot februari 2022 importeerde Europa op grote schaal goedkoop Russisch gas. Het werkte, het was beschikbaar, en het leek voor altijd. De Krim, Salisbury, waarschuwingen uit Oost-Europa, niets veranderde aan de pijpleidingen. Achteraf vragen we ons af hoe we zo naïef konden zijn. Het antwoord is ongemakkelijk simpel. Zolang iets werkt, kijk je niet naar wat je weggeeft.
Diezelfde redenering hanteren we rondom onze digitale infrastructuur. De hyperscalers werken betrouwbaar, alles is geïntegreerd, en strategische autonomie is een term uit beleidsbrieven geworden. Oftewel, we wachten tot het ook hier gaat stormen, om ons pas dan af te vragen hoe we zo naïef konden zijn.

De geest van de wet

In de praktijk zie ik echter wat er gebeurt zodra de Cbw concreet op tafel komt. Bestuurders vragen om een gap assessment, een actielijst, een audit. Daarmee dreigt de wet een papieren oefening te worden. Neem zorgplichtmaatregel zeven, die gaat over ketenrisico's. Lees je hem letterlijk, dan zie je SOC2-rapporten. Lees je hem in de geest van de wet, dan zie je de existentiële vraag of jouw organisatie kan blijven functioneren wanneer een geopolitieke breuk je hoofdleverancier afsluit. Dat is de vraag die ertoe doet.

Nu is volledige onafhankelijkheid van de Amerikaanse cloud een fata morgana, dat is binnen een redelijke termijn simpelweg onhaalbaar. Het doel moet daarom niet totale soevereiniteit zijn, maar de optie tot ontkoppeling. Denk aan architecturen die portabel zijn, contracten met werkende exit-clausules, en workloads zonder vendor lock-in. Je eet zo'n olifant immers in hapjes.

Dat dit geen theoretische exercitie is, bewijst de praktijk. De Belastingdienst koos in oktober 2025 voor Microsoft 365, maar deed dat mét een gereduceerde on-premises terugvaloptie en een contractuele termijn van negen maanden om alles over te zetten zodra er een Europees alternatief beschikbaar komt. Dat is geen perfect verhaal, maar wel werkbaar en concreet. Precies zó voer je een wet uit in de geest.

Natuurlijk, de Cbw is overgespecificeerd op sommige plekken en onderbedeeld op andere en het toezicht moet zich nog bewijzen. Maar het is wel het instrument dat we nu hebben en we hebben het hard nodig. Wie nu puur compliance organiseert, is over twee jaar in orde op papier, maar vogelvrij in de praktijk. Wie de komende maanden daarentegen gebruikt om minder vast te zitten aan één leverancier en workloads portabel te maken, doet het werk dat ertoe doet op de dag dat het misgaat. En die dag komt.