Digitale Soevereiniteit; het is toch gewoon politiek? (Deel 1)

Laptop with Government background representing Digital Sovereignty
Back to overview
Dit blog verkent het veranderende begrip Digitale Soevereiniteit in Europa. We laten zien hoe geopolitiek, EU-regelgeving, technologische afhankelijkheden en cybersecurity de autonomie van landen en organisaties beïnvloeden. Ook leggen we uit waarom organisaties hun IT-strategie moeten aanpassen om weerbaar en concurrerend te blijven in een landschap dat snel verschuift.
Published on 24 september 2025
Written by Maurice Mouw
Cloud Security

Introductie

Een pandemie, oorlog in Europa, oorlog in het Midden-Oosten en landen die elkaar bedreigen met tarieven vergroten de kans op handelsoorlogen, met wereldwijde impact. De coronapandemie aan het begin van dit decennium legde bloot hoe afhankelijk we zijn van goederen en diensten uit de hele wereld, en wat de gevolgen zijn van verstoringen in supply chains. Hoewel de beschikbaarheid van online services tijdens COVID-19 minder hard werd geraakt, had het wél impact op veel van de technologieën waarop die services leunen. De pandemie leidde bovendien tot interessante discussies over de afhankelijkheid van de Europese Unie van kritieke goederen en diensten wereldwijd.

Recente geopolitieke ontwikkelingen hebben de nadruk op onze Digitale Soevereiniteit vergroot. De invasie van Oekraïne is een evidente factor, maar vergeet niet dat staten ook hebben geprobeerd verkiezingen te beïnvloeden of kritieke infrastructuur te verstoren. De kernvraag is: hoe autonoom zijn we (of kunnen we zijn) als individu, bedrijf, natie of de EU in het bepalen van onze digitale strategieën? Digitale Soevereiniteit is overigens niet nieuw. Het is een overkoepelend begrip dat de focus probeert te leggen op autonomie van een actor, maar op welke gebieden (of misschien: op welke plek)?

We kunnen een aantal kernaspecten onderscheiden bij Digitale Soevereiniteit: data, technologie, competentie/kennis en hoewel (cyber)security eigenlijk door al deze aspecten heen loopt, ga ik sommige security-onderwerpen later apart behandelen. In dit blog wil ik deze aspecten en recente ontwikkelingen verder uitwerken. In een vervolgartikel wil ik dieper ingaan op de verschillende aspecten en waar je rekening mee moet houden bij het bepalen van de koers van je organisatie.

De ‘simpliciteit’ van Europa

We weten allemaal dat het Europees Parlement rekening moet houden met de (verschillende) belangen van de vele landen die het vertegenwoordigt. Dat maakt het vaak wat traag in het tempo van geopolitieke ontwikkelingen. Toch zijn de afgelopen tien jaar meerdere nieuwe ‘acts’ geïntroduceerd met verschillende doelen, maar met een gezamenlijke ambitie: de Europese “Digital Space” adresseren en onze Digitale Soevereiniteit versterken. Het is belangrijk om te begrijpen dat deze acts impact kunnen hebben op de operatie van je organisatie en kunnen vereisen dat je actie onderneemt.

Humorous illustrated map of Europe with exaggerated and stereotypical labels for different countries

Het Europees Parlement startte met de introductie van diverse acts, waaronder de Data Act, Digital Services Act (DSA) en de Cyber Security Act. De Data Act richt zich op fair gebruik en delen van data door individuen en bedrijven. De DSA probeert illegale en schadelijke activiteiten en de verspreiding van desinformatie op online platforms te beperken. De Cyber Security Act zet een certificeringsframework neer voor IT-producten, processen en services die in heel Europa worden erkend. Onderdeel van de EU-strategie is ook het aanpakken van skill gaps en tekorten via verschillende initiatieven. Niet onbelangrijk is de NIS2-richtlijn, die later uitgebreider aan bod komt.

Een recentere EU-initiatief is de AI Continent Initiative, onderdeel van de Cloud and AI development act. Deze act probeert uitdagingen rond de innovatiekloof met de VS en China te adresseren, de Europese concurrentiekracht in de AI- en Cloudmarkt te vergroten en security te versterken, terwijl de afhankelijkheid van serviceproviders buiten Europa wordt verkleind. Dit alles met als doel onze Digitale Soevereiniteit te verbeteren.

Wanneer nieuwe wetgeving wordt ingevoerd op basis van Europese acts of initiatieven, krijgt die vaak per land ook nog een extra “sausje”. Neem NIS2: de implementatie verschilt per EU-lidstaat, bijvoorbeeld in Duitsland (NIS2UmsuCG), Frankrijk (“Loi de programmation relative à la sécurité intérieure” – LPSR) of Italië (“decree no. 138, decreto legislativo 4” – huh!?!). Als je digitale diensten afneemt of levert in andere EU-landen is het belangrijk om te beseffen dat er ‘kleine’ verschillen kunnen zitten in de nationale wetgeving.

Maak je geen zorgen, het is maar data

Het belang van beschikbaarheid van data omvat back-ups, redundantie en disaster recovery. Het beveiligen van data (at rest en in transit, kijk bijvoorbeeld naar het “data theft” incidenttype), het opslaan en het transporteren van data: dit zijn bekende onderwerpen en (hopelijk) al onderdeel van je strategie. Maar wat betekent dit voor autonomie?

Voeg hier de dimensie van geopolitieke ontwikkelingen aan toe: als een staat besluit data in beslag te nemen, de stroom af te sluiten (bewust of onbewust) of zelfs internettoegang te beperken. Denk bijvoorbeeld aan de Amerikaanse Cloud Act, die cloud providers kan dwingen data te overhandigen—ook van Europese organisaties, zelfs als die data in Europa is opgeslagen. China kent vergelijkbare wetgeving, zie bijvoorbeeld Artikel 28 van de Cybersecurity Law.

Op basis van de beperkte informatie hierboven moeten deze scenario’s dus worden meegenomen. Is je data veilig? Kun je je business elders voortzetten als data op één locatie gecompromitteerd raakt? Welke strategie hanteer je en wat betekent dat voor business continuity? Zijn er alleen back-ups, of is er een architectuur die de beschikbaarheid van je service geografisch scheidt (over grenzen heen)? En dan zijn er nog de implicaties van regelgeving rond privacygevoelige klantdata, zoals GDPR in de EU.

Not invented here (syndrome)

Als engineers komen we in organisaties regelmatig het not invented here (NIH)-syndroom tegen. Vanuit nationaal of Europees perspectief zouden we NIH ook moeten meenemen bij het adopteren van nieuwe technologie, maar dan omgekeerd. Hopelijk geven de vorige paragrafen context voor “waarom” je vraagtekens moet zetten bij het uitbesteden van alles wat IT-gerelateerd is, zeker aan globale serviceproviders. Ik zeg niet dat je niet kunt of mag vertrouwen op mondiale providers of fabrikanten. Wél moet je nadenken: welke (kern)processen kunnen geraakt worden als je dat doet, en welk risico brengt dat mee?

Vragen die daarbij horen: is het lokaal (nationaal of EU) afkomstig, is het open source, en waar wordt de infrastructuur ontwikkeld? Het is essentieel om te begrijpen op welke technologie je organisatie draait, én op welke technologie je leveranciers draaien als je kritieke processen daarvan afhankelijk zijn. Een interessant voorbeeld is het tekort aan semiconductor chips, dat veel vendors raakte en levertijden beïnvloedde. Dit artikel laat zien hoe complex de supply chain is—en semiconductors zijn slechts één onderdeel van de vele IT-producten waar we op leunen. Kortom: het is onmogelijk om alles volledig te overzien bij het kiezen van technologie en providers. Maar je kunt wél risico’s mitigeren.

De almachtige Engineer (of developer)

Humorous meme showing different stereotypes of what an engineer does, contrasted with paperwork as the reality

De “IT-guy” die alles weet: de duizendpoot in de kelder die alles fixt. In de jaren 80 was dat misschien nog haalbaar, maar het IT-landschap is enorm gegroeid. We zijn afhankelijker geworden van IT en gebruiken het in veel meer toepassingen. Het tekort aan skilled workers—zeker in IT—is niet nieuw. Meerdere factoren dragen daaraan bij: technologie verandert snel, en er is steeds specialistischer kennis nodig om met het groeiend aantal technologieën om te gaan. Dat voedt ook het beeld van “minder skilled” engineers. Nieuwe domeinen, zoals AI, versterken dit effect. Tel daarbij op dat steeds meer bedrijven “gedwongen” zijn IT te adopteren om concurrenten voor te blijven. De vijver blijft kleiner in verhouding tot de vraag. Dit blog licht daar een aantal nuances van toe.

Dus: hoe kom je aan de juiste mensen, wie heb je nodig, en welk skill level is vereist? Recruit je nationaal, binnen de EU, wereldwijd, of besteed je alles uit? Dit is misschien wel het lastigste. De mensen die je aanneemt (of juist niet) bepalen namelijk een groot deel van je IT-strategie. Ze kunnen een versneller zijn of juist een rem. Ze moeten begrijpen welke technologieën je organisatie gebruikt en hoe die je core business services beïnvloeden.

Ik ben secure, ik accepteerde het risico

De Europese Commissie presenteerde in 2020 een nieuwe cybersecurity strategie. Onderdeel daarvan is de NIS2-richtlijn. NIS2 gaat bepalen hoe bedrijven binnen de EU met cybersecurity om moeten gaan. In Nederland heet dit de Cyberbeveiligingswet. Op basis van NIS2 zijn extra sectoren toegevoegd die onder de wet vallen. Het is essentieel om te bepalen of deze wet voor jouw organisatie geldt en wat dit betekent voor je operatie.

Als NIS2 van toepassing is, moet je je organisatie registreren in het entity registry. Je moet een risicoanalyse doen van je cyber security posture en maatregelen implementeren om incidenten te voorkomen en erop te reageren. Het bestuur moet deze maatregelen goedkeuren en moet hiervoor ook worden opgeleid. En bij een incident moet je binnen 24 uur rapporteren aan een Computer Security Incident Response Team (CSIRT) en aan de toezichthouder.

Waarom dit in een blog over Digitale Soevereiniteit? Omdat cyber defence direct verbonden is met Digitale Soevereiniteit. Het goed beveiligen van je organisatie, en afhankelijk van je domein: kritieke infrastructuur van een land, bepaalt mede hoe “soeverein” je bedrijf, je land en Europa kan zijn. Cybersecurity niet op orde hebben leidt niet alleen tot omzetverlies, maar kan ook juridische consequenties hebben voor mensen binnen de organisatie, inclusief bestuurders.

In een (soevereine) nutshell

Veel aspecten in dit blog zijn onderwerpen die we (hopelijk) al kenden en al meenamen voordat de term Digitale Soevereiniteit populair werd. Digitale Soevereiniteit is vooral een term die risico’s benadrukt van afhankelijkheid van goederen en diensten uit andere delen van de wereld, maar die risico’s bestonden altijd al. De EU en natiestaten proberen nu sterker in te grijpen en sommige problemen te adresseren. Vanuit mijn perspectief zijn sommige aannames over globalisatie en stabiliteit van het vorige decennium niet langer vanzelfsprekend.

We moeten onze strategieën aanpassen aan deze veranderingen. Digitale Soevereiniteit kan daarbij fungeren als een “umbrella term” om die risico’s te adresseren. Deze eerste blog is bedoeld om een aantal complexiteiten te schetsen bij het definiëren van een IT-strategie met Digitale Soevereiniteit in het achterhoofd. In de volgende blog wil ik dieper ingaan op de verschillende aspecten en strategieën/overwegingen die helpen om de autonomie van organisaties te vergroten met name voor small to mid-sized organisaties.

Delen:
Delen:
Inhoudsopgave
Blijf op de hoogte
Door je in te schrijven voor onze nieuwsbrief verklaar je dat je akkoord bent met onze privacyverklaring.

Ready to improve your digital sovereignty?

jonah.sanderse
Jonah Sanderse

Let's talk!

info@sue.nl +31 345 656 666 LinkedIn

Ready to improve your digital sovereignty?

* required

By sending this form you indicate that you have taken note of our Privacy Statement.

Related articles

12.01.2026

Beyond the Hype: een strategische gids voor de adoptie van een Kubernetes container platform

Author: Bas Kraai
Cloud migratie Platform Engineering
10.12.2024

Agentic AI begrijpen: Narrow en General Intelligence uitgelegd

Author: SUE
Applicatie Modernisatie Data & AI Platform Engineering
08.12.2025

Van zero naar inzicht: hoe je start met observability met Elastic Cloud

Authors: Joost Lont, Ricky Latupeirissa
Cloud migratie Cloud Security Platform Engineering
Privacy Overview
This website uses cookies. We use cookies to ensure the proper functioning of our website and services, to analyze how visitors interact with us, and to improve our products and marketing strategies. For more information, please consult our privacy- en cookiebeleid.