COLUMN
Afhankelijkheid is het nieuwe veiligheidsrisico
Dimitri van Zantvliet
Directeur Cybersecurity NS | NS CyberSecurity (NSCS)
Als CISO van een van de grootste vitale infrastructuren in Nederland lees ik veel rapporten over digitalisering, innovatie en veiligheid. Het Rapport Wennink blijft hangen, juist omdat het cybersecurity niet benadert als een technisch of juridisch detail, maar positioneert waar het thuishoort: in het hart van veiligheid en weerbaarheid. Dat is een ongemakkelijke, maar noodzakelijke verschuiving.
Jarenlang hebben we digitale veiligheid behandeld als iets dat je ‘op orde’ brengt. Een norm, een audit, een vinkje. Ondertussen hebben we stap voor stap onze digitale ruggengraat uitbesteed. Cloud, rekenkracht, platforms, data-analyse en steeds vaker ook AI-capaciteit zijn in handen van partijen buiten Europa. Efficiënt, schaalbaar en goedkoop, tot het dat niet meer is. Dan blijkt dat afhankelijkheid geen abstract risico is, maar een strategisch gegeven.
Digitale soevereiniteit wordt vaak uitgelegd als een ideologisch streven: minder Big Tech, meer Europa. Het Rapport Wennink maakt duidelijk dat dit te oppervlakkig is. Het gaat niet om ‘eigen spullen’, maar om handelingsvermogen. Kunnen we blijven functioneren als geopolitieke spanningen oplopen? Kunnen vitale sectoren zoals energie, mobiliteit, zorg, overheid doorwerken als digitale ketens onder druk komen te staan? En wie bepaalt dan de voorwaarden?
Cybersecurity speelt hierin een sleutelrol. Niet als verdedigingslaag achteraf, maar als voorwaarde voor strategische autonomie. Zonder sterke cybersecuritytechnologie, zonder eigen kennis en zonder innovatiekracht, blijven we afhankelijk van anderen om onze digitale veiligheid te organiseren. Dat is een paradox: we willen soeverein zijn, maar besteden onze weerbaarheid uit.
Vanuit de CISO-community zie ik dagelijks wat dat betekent in de praktijk. CISO’s in vitale sectoren balanceren tussen continuïteit, compliance en geopolitieke realiteit. Zij moeten risico’s managen die niet alleen technisch zijn, maar ook juridisch, economisch en strategisch. De vraag ‘is dit veilig?’ is steeds vaker verbonden met ‘van wie is dit?’ en ‘onder welk recht valt dit?’. Dat is geen academische discussie, maar dagelijkse realiteit.
Resilience betekent meer dan herstelvermogen. Het betekent vooruitdenken, investeren en keuzes maken
Het Rapport Wennink benoemt terecht dat Europa achterloopt op het gebied van cybersecuritytechnologie en digitale infrastructuur. Dat maakt ons kwetsbaar in een tijdperk van hybride dreiging, waarin digitale verstoring een volwaardig machtsmiddel is geworden. Cyberaanvallen, afhankelijkheden in softwareketens, druk op cloudtoegang of rekenkracht; het zijn instrumenten geworden in geopolitiek, niet alleen in criminaliteit.
Resilience betekent in dat licht meer dan herstelvermogen. Het betekent vooruitdenken, investeren en keuzes maken. Het vraagt om structurele investeringen in digitale infrastructuur, Europese alternatieven en cybersecurity-innovatie. Niet om alles zelf te willen doen, maar om wederkerige afhankelijkheden te creëren. Afhankelijkheid op zichzelf is niet het probleem; eenzijdige afhankelijkheid wel.
Wat mij aanspreekt in het rapport is dat het impliciet ook een bestuurlijke boodschap afgeeft. Cybersecurity is geen kostenpost en geen rem op innovatie. Het is een vorm van nationale en economische veiligheidsinfrastructuur. Net zo essentieel als energie, water of fysieke mobiliteit. Wie daar niet in investeert, koopt op korte termijn rust en op lange termijn kwetsbaarheid.
Voor CISO’s betekent dit een veranderende rol. Niet alleen bewaker van normen en incidenten, maar strategisch gesprekspartner over autonomie, resilience en lange-termijnwaarde. Voor bestuurders en beleidsmakers betekent het dat digitale veiligheid niet langer kan worden gedelegeerd of geoutsourcet zonder regie.
Digitale soevereiniteit is geen einddoel, maar een continu proces. Het vraagt om realisme, samenwerking en moed om te investeren waar de opbrengst niet altijd direct zichtbaar is. Resilience ontstaat niet door hopen dat het goed gaat, maar door voorbereid te zijn als het misgaat.
De vraag die we ons moeten stellen is daarom niet of we ons deze investeringen kunnen veroorloven. De echte vraag is of we het ons kunnen veroorloven om afhankelijk te blijven. 