Cyberwetgeving groeit uit tot een geopolitiek strijdtoneel. Regeringen en toezichthouders sturen met regels de stroom van data, clouddiensten en AI‑systemen. In de EU, de VS en China verscherpen wetten dit jaar de eisen aan beveiliging en soevereiniteit. Dit raakt ook Nederland, waar organisaties zich moeten voorbereiden op NIS2, DORA en de Europese AI‑verordening en de gevolgen voor overheid en bedrijfsleven.
EU stuurt op soevereiniteit
De Europese Commissie bouwt aan digitale soevereiniteit met een pakket aan wetten. De NIS2‑richtlijn vergroot de cybersecurity‑plicht voor essentiële en belangrijke sectoren, van energie tot zorg. Lidstaten moeten NIS2 uiterlijk op 18 oktober 2024 hebben omgezet, op het moment van schrijven. ENISA, het EU‑agentschap voor cyberveiligheid, werkt aan richtsnoeren en best practices.
De AI‑verordening (AI Act) zet een risicogebaseerd kader voor algoritmen, met striktere regels voor hoog‑risico systemen. Dit raakt overheden en kritieke aanbieders die AI inzetten voor bijvoorbeeld identificatie of infrastructuur. De verordening vult de AVG aan met verplichtingen voor data‑kwaliteit, documentatie en toezicht. Voor de Nederlandse overheid betekent dit extra toetsing bij inkoop en gebruik van AI.
Daarnaast brengt de Cyber Resilience Act (CRA) producteisen voor digitale componenten. Leveranciers moeten basisbeveiliging leveren, kwetsbaarheden snel verhelpen en updates beschikbaar houden. Dit vergroot de druk op softwareketens en open‑source‑componenten. De overgangsperiode loopt meerdere jaren, maar leveranciers moeten nu al hun kwetsbaarhedenbeheer op orde brengen.
VS en China zetten druk
Buiten Europa duwen grote machten in dezelfde arena. De Amerikaanse CLOUD Act geeft, onder voorwaarden, toegang tot data bij Amerikaanse aanbieders, ook als die data in de EU staan. Dat botst soms met de AVG en zorgt voor complexe contracten en technische maatregelen. Bedrijven kiezen vaker voor versleuteling met Europese sleutels en dataminimalisatie.
China hanteert een strikt regime met de Cybersecurity Law, Data Security Law en PIPL. Deze wetten beperken data‑export en verplichten security reviews voor gevoelige data. Voor internationale bedrijven vergroot dit de kans op conflicterende verplichtingen. Het gevolg is meer segmentatie van IT‑landschappen per regio.
De geopolitieke spanning verplaatst zich zo naar normen, certificering en cloudarchitectuur. Blokken zetten eigen standaarden neer en bevorderen “lokale” infrastructuur. Dit beïnvloedt inkoop, interoperabiliteit en de keuze van leveranciers. Nederlandse organisaties moeten daarom expliciet afwegen welk rechtsgebied hun datastromen raakt.
Regels bepalen cloudkeuze
In Europa wordt gewerkt aan de EU Cloud certificering (EUCS) onder de Cybersecurity Act. In de discussies staat de vraag centraal of “immuniteit” voor niet‑EU‑wetgeving vereist moet zijn. Datatieke eisen zouden de keuze voor Amerikaanse hyperscalers beperken, tenzij zij soevereine opties bieden. Op het moment van schrijven is de definitieve tekst nog niet vastgesteld.
Grote aanbieders reageren met soevereine diensten. Microsoft lanceerde de EU Data Boundary, Google Cloud biedt Sovereign Controls, en AWS kondigde de European Sovereign Cloud aan. Deze diensten beloven dat data en sleutels in de EU blijven en dat operationele toegang wordt beperkt. Voor publieke instellingen en vitale sectoren kan dit de AVG‑ en NIS2‑risico’s verlagen.
In Nederland kijken gemeenten, ziekenhuizen en onderwijsinstellingen naar eisen voor data‑lokalisatie en sleutelbeheer. Contracten bevatten vaker clausules over extraterritoriale toegang en incidentmelding. Ook wordt vaker gekozen voor Europese managed security‑diensten. Dit moet aantoonbaarheid richting toezichthouders zoals de Autoriteit Persoonsgegevens versterken.
Meldplichten nemen fors toe
NIS2 scherpt de meldplichten voor ernstige incidenten aan. Organisaties moeten processen hebben voor detectie, rapportage en communicatie. DORA doet daar in de financiële sector nog een schep bovenop, met testen, weerbaarheids‑eisen en toezicht op cruciale ICT‑dienstverleners. In Nederland krijgt DNB een centrale rol bij de toepassing van DORA.
De tijdlijnen worden ook strakker en formeler. SOC‑teams moeten sneller classificeren, forensische data veiligstellen en passende updates geven. Dit vraagt om heldere runbooks, leveranciersafspraken en back‑upkanalen voor communicatie. Zonder voorbereiding lopen organisaties juridische en operationele risico’s.
NIS2 vereist een vroegtijdige melding binnen 24 uur, een update binnen 72 uur en een eindrapport binnen een maand na een ernstig incident.
Encryptie en sleutelbeheer worden sleutelfactoren om rechtsconflicten te beperken. End‑to‑end‑versleuteling met EU‑sleutels en strikte toegangscontrole helpen bij AVG‑naleving. Tegelijk groeit de druk op zichtbaarheid: organisaties moeten detectie en logging uitbreiden zonder privacy te schenden. Dat vraagt een zorgvuldige balans tussen dataminimalisatie en dreigingsinformatie.
Nederlandse impact en aanpak
Voor Nederlandse organisaties is de combinatie van AVG, NIS2, DORA, de AI‑verordening en straks de CRA bepalend. Begin met een kaart van vitale processen, datastromen en toeleveranciers. Leg vast welke wet per proces geldt en wie de verantwoordelijke is. Betrek vroegtijdig het NCSC en sectorale CERT’s voor richtlijnen.
Technisch zijn drie keuzes cruciaal: encryptie met Europese sleutelbewaring, strikte identity‑toegang en gescheiden log‑opslag. Contractueel gaat het om jurisdictie, subverwerkers en incidentmeldingen binnen de NIS2‑termijnen. Organisatorisch vraagt dit heldere rolverdeling tussen CISO, privacy‑officer en juridische functie. Leveranciers moeten aantonen hoe zij aan EUCS‑ en CRA‑eisen gaan voldoen.
Voor de overheid en semipublieke sector is inkoop het stuurmiddel. Neem “Europese AI‑verordening gevolgen overheid” en NIS2‑rapportage op als harde gunningscriteria. Vraag leveranciers om technische soevereiniteitsmaatregelen en onafhankelijke audits. Zo wordt cyberwetgeving geen last, maar een leidraad voor veilig en verantwoord digitaliseren.
