Digitale soevereiniteit is uitgegroeid tot een belangrijk politiek concept. Of het nu op EU-niveau is of zoals recent in Davos, de boodschap is duidelijk: Europa wil onafhankelijker worden, vooral als het gaat om kritieke technologie. In de praktijk blijft het echter vaak onduidelijk hoe die onafhankelijkheid kan worden gemeten. Uiteindelijk draait het niet om het buzzword, maar om de vraag of organisaties in de praktijk echt controle hebben over hun data, systemen en beveiligingsprocessen.
Het volgende praktijkvoorbeeld laat deze kloof duidelijk zien. Als onderdeel van een risicoanalyse wil een Europees bedrijf begrijpen welke beveiligingsrelevante data verzameld worden door de endpointtool die het gebruikt. Er zijn drie eenvoudige vragen: waar wordt de data verwerkt? Wie heeft er toegang? En welke mogelijkheden zijn er om aanpassingen te doen of op incidenten te reageren?
De antwoorden zijn onbevredigend. De documentatie is onvolledig, logdata wordt buiten Europa opgeslagen en individuele aanpassingen zijn nauwelijks mogelijk. Nog vóórdat er een beveiligingsincident plaatsvindt, wordt duidelijk dat er een gebrek aan controle is. Niet op technisch niveau, maar structureel.
Waarom het niet voldoende is om alleen maar te praten
Veel organisaties zijn op cruciale gebieden afhankelijk van niet-Europese leveranciers, zonder dat deze afhankelijkheden in het dagelijks werk direct zichtbaar zijn. Vaak worden ze pas duidelijk in een noodsituatie. Toch zijn de structurele tekortkomingen al eerder aanwezig.
Bij cloud- en hostingproviders wordt gegevensopslag vaak contractueel geregeld, maar de daadwerkelijke toegangsketen blijft onduidelijk. Updates en patches kunnen slechts in beperkte mate worden gecontroleerd, en support en incident response bevinden zich vaak buiten Europa. Bovendien maken complexe toeleveringsketens transparantie moeilijker, omdat rollen, verantwoordelijkheden en toegangsrechten niet volledig traceerbaar zijn.
Ook bij inkoopbeslissingen is deze onzekerheid steeds vaker realiteit. In een peiling onder IT-beslissers geeft 67 procent van de Nederlandse respondenten aan dat digitale soevereiniteit een belangrijke overweging is bij de keuze voor beveiligingsoplossingen. Ruim twee derde is van mening dat Europese bedrijven te afhankelijk zijn van buitenlandse technologie. En 66 procent van de Nederlandse respondenten maakt zich zorgen dat cybersecurityproducten die buiten de EU zijn ontwikkeld, onderhevig kunnen zijn aan toezichtwetten van andere jurisdicties.
Deze cijfers zijn geen momentopname, maar het resultaat van een jarenlange ontwikkeling. Veel IT-architecturen en inkoopmodellen zijn nog steeds gericht op internationale aanbieders. Hoewel Europa beschikt over sterke expertise op het gebied van IT-beveiliging, wordt daar, met name in kritieke infrastructuren, te weinig gebruik van gemaakt. Tegelijkertijd lijken juridische toegangsrechten vaak asymmetrisch. Europese bedrijven vallen onder buitenlandse jurisdicties, terwijl Europese regels slechts beperkt afdwingbaar zijn voor niet-Europese aanbieders. Bovendien bemoeilijken nationale verschillen het afstemmen van Europese regels en procedures, wat de vorming van een uniforme markt voor lokale partijen in de weg staat.
Hoewel de term “digitale soevereiniteit” politiek geladen is en controle suggereert, wordt deze in de praktijk niet altijd waargemaakt binnen het wereldwijd verbonden IT-ecosysteem. Het is effectiever om te focussen op het principe van strategische autonomie. Dit verwijst naar het aantoonbare vermogen om gegevens, systemen, processen en partners zodanig te beheren dat organisaties handelingsbekwaam blijven, zowel tijdens normale omstandigheden als tijdens crisissituaties.
Autonomie meetbaar maken: drie dimensies van controle
Strategische autonomie wordt concreet wanneer bedrijven duidelijke standaarden toepassen. In essentie zijn er drie dimensies van controle:
1. Vertrouwelijkheid: Doorslaggevend is wie technisch en juridisch toegang heeft tot gevoelige gegevens. Gegevensverwerking binnen Europa vormt hiervoor de basis. Even belangrijk zijn transparante toegangspaden en bescherming tegen toegang door niet-toegestane entiteiten en personen.
2. Integriteit: Bedrijven moeten kunnen traceren wie systemen wijzigt en volgens welke regels updates worden uitgevoerd. De controleerbaarheid van code, architectuur en beveiligingsfuncties is net zo relevant als inzicht in externe leveranciers en afhankelijkheden.
3. Beschikbaarheid: Is, en blijft, een organisatie in staat om te handelen tijdens een noodsituatie? Dit omvat veerkrachtige support en incident response binnen Europa, duidelijke escalatiepaden binnen het Europese wettelijke kader en de mogelijkheid om systemen ook onder crisisomstandigheden te blijven exploiteren.
Strategische autonomie kan alleen worden bereikt wanneer alle drie de dimensies samenwerken. Het is dus geen kenmerk van afzonderlijke technologieën, maar het resultaat van consistente architectuur- en inkoopbeslissingen. Daarom is het essentieel om vandaag al te beoordelen hoe robuust de autonomie van organisaties daadwerkelijk is. Dit betekent dat afhankelijkheden systematisch in kaart worden gebracht en langs deze drie dimensies worden geëvalueerd.
Europa moet autonomie gezamenlijk benaderen
De markt zal deze uitdagingen niet uit eigen beweging oplossen. Zolang aanbestedingen voornamelijk gebaseerd zijn op prijs en toeleveringsketens, en vertrouwen en controleerbaarheid onderbelicht blijven, zullen afhankelijkheden blijven bestaan. Daarom is een Europees kader nodig dat veiligheid en veerkracht systematisch beloont. Overheidsinstanties moeten meer nadruk leggen op vertrouwen en toeleveringsketens, Europese certificeringen wederzijds erkennen en het gebruik ervan verplicht stellen.
Een concreet voorbeeld zien we in Frankrijk. De Franse regering heeft aangekondigd dat zij Microsoft Teams en Zoom in overheidsinstanties zal vervangen door een eigen, in Frankrijk ontwikkeld videoconferentieplatform, dat tegen 2027 in alle ministeries en departementen moet worden ingevoerd. Deze stap maakt deel uit van een strategie om de controle over kritieke digitale infrastructuur terug te winnen en om beveiliging en vertrouwelijkheid steviger te verankeren in de Europese context van publieke communicatie.
Om effectief te zijn, moeten dergelijke regels in heel Europa compatibel zijn. Anders blijft Europa een lappendeken van individuele initiatieven, terwijl niet-Europese aanbieders hun structurele voordelen behouden. Wanneer gemeenschappelijke standaarden worden erkend, ontstaan er de facto Europese normen.
—
Over de auteur
Grégoire Germain is medeoprichter en CEO van HarfangLab. Voordat hij het bedrijf in 2018 oprichtte, werkte hij meer dan twintig jaar bij het Franse Ministerie van Defensie, waar hij een sleutelrol speelde in de opbouw en uitbreiding van de cyberdivisie. Als voormalig marineofficier bekleedde hij diverse leidinggevende functies, gespecialiseerd in communicatiesystemen en inlichtingen.
Vervolgens trad hij in dienst bij Thales als directeur Cyberdefensie, waarna hij zich richtte op het ondernemerschap om een Europese aanpak voor cyberbeveiliging te ontwikkelen.
Grégoire is afgestudeerd aan de Marineacademie en heeft een master in natuurwetenschappen en een MBA van HEC Paris.