De Rijksinspectie Digitale Infrastructuur (RDI) krijgt vanaf de tweede helft van 2026 toezicht op cloudserviceproviders. De Cyberbeveiligingswet brengt grote veranderingen met zich mee voor de cloudmarkt.
De cloudmarkt staat voor een fundamentele verschuiving. Vanaf de tweede helft van 2026 geldt de Cyberbeveiligingswet volledig voor cloudserviceproviders. Dit betekent dat de RDI, onderdeel van het Ministerie van Economische Zaken, niet langer alleen achteraf kan optreden bij incidenten, maar ook vooraf in gesprek gaat over risico’s en maatregelen.
Deze proactieve aanpak wordt noodzakelijk geacht door de exponentiële groei van cloudafhankelijkheid. Steeds meer organisaties zijn voor hun dagelijkse bedrijfsvoering volledig afhankelijk van clouddiensten. Tegelijkertijd neemt de cyberdreiging toe, waardoor betrouwbare en veilige clouddiensten belangrijker worden dan ooit.
Risicomanagement wordt kernverantwoordelijkheid
Cloudserviceproviders krijgen onder de nieuwe wet uitgebreide verantwoordelijkheden. Ze moeten hun risico’s in kaart brengen, passende maatregelen nemen en deze risico’s voortdurend beheersen. Het bestuur moet eventuele restrisico’s expliciet accepteren.
De RDI gaat vooral kijken naar de organisatie van het risicomanagement. Dit omvat niet alleen technische aspecten, maar ook de governance-structuur. Providers moeten aantonen dat ze hun cybersecurity serieus nemen op bestuursniveau.
Deze verscherpte eisen komen niet uit de lucht vallen. De toenemende digitalisering maakt cloudinfrastructuur tot een kritieke component van onze economie. Een storing bij een grote cloudprovider kan hele sectoren platleggen.
Ketenverantwoordelijkheid wordt cruciaal
Een belangrijk element van de nieuwe wetgeving is het concept van ketenverantwoordelijkheid. Cloudserviceproviders hebben zowel richting hun leveranciers als hun gebruikers verplichtingen.
Bij het kiezen van leveranciers moeten providers de risico’s goed in kaart brengen. Dit betekent due diligence op cybersecurity-aspecten van alle partners in de keten. Een zwakke schakel kan de hele keten compromitteren.
Richting gebruikers hebben providers een ondersteunende rol. Ze moeten hun gebruikers helpen om grip te houden op hun data en applicaties. Vooral belangrijk wordt dit als gebruikers zelf ook onder de Cyberbeveiligingswet vallen. Dan ontstaat een gezamenlijke verantwoordelijkheid voor cybersecurity.
Deze samenwerking wordt essentieel omdat cloudgebruikers vaak afhankelijk zijn van de beveiligingsmaatregelen van hun provider. Ze kunnen hun eigen security-posture niet los zien van die van hun cloudpartner.
Tip: NIS2 moet organisaties veiliger maken, maar lukt dat ook?