HRIF.EU roept financiële instellingen op: herzie nú – onder DORA – de risico’s en verlaat Amerikaanse clouds

• Lees hier de open brief hier.

De oproep van HRIF.EU sluit aan bij de Algemene Rekenkamer’s rapport ‘Het Rijk in de Cloud’ van 15 januari 2025, het whitepaper van de Dutch Cloud Community (DCC) whitepaper ‘Digitale Soevereiniteit’ dat op 13 februari 2025 werd overhandigd aan staatssecretaris Zsolt Szabó en op de WRR’s geopolitieke analyse uit juli 2024: het rapport: The Netherlands in a fragmented world order.

Amsterdam Trade Bank toonde al het reële risico

In de briefing aan CEOs van Europese financiële instellingen verwijst HRIF.EU naar de Amsterdam Trade Bank (ATB) zaak van 2022. Hierin toonde zich al het kernscenario dat in de praktijk kan ontstaan. Deze in Nederland gevestigde bank met links naar gesanctioneerde Russische eigenaren verloor toegang tot Microsoft-cloudservices door Amerikaanse sancties. Let wel: onder EU-regels stonden die personen niet op een EU-sanctielijst. Microsoft nam echter het zekere voor het onzekere en de curatoren van de bank moesten via de rechter de toegang tot systemen en data afdwingen.

Inmiddels is duidelijk dat op het gebied van sanctie-regelgeving de VS een volstrekt eigen en willekeurige koers gaat varen, waar de rechtsstaat er weinig toe doet. Veelzeggend was in dit verband dat de VS via Presidentieel decreet, de leden en ondersteuners van het Internationale Strafhof op de sanctielijst zetten. Dit betekent dat wraak en macht hier belangrijker zijn dan de internationale rechtsprincipes.

Onze eerdere analyse hierover laat zien dat in zo’n situatie financiële instellingen in Europa er goed aan doen een eigen koers te gaan varen. Er zal kritisch bekeken moeten worden wat vanuit Europees en grondrechtelijk perspectief gewenst is. Dit betekent een breuk in het beleid: we moeten dan ook niet langer alles kopiëren wat de VS doet, maar ons van de VS los maken, richting strategische autonomie.

Die noodzaak van een ander beleid is ook in het Financieel Dagblad te vinden. Een commentaar over AI-ontwikkelingen op 13 februari 2025 luidt met zoveel woorden:

Wie nu blind kiest voor Amerikaanse oplossingen, moet zich bewust zijn van de bedrijfsmatige en geopolitieke risico’s. Terwijl de VS ‘Buy American’ prediken, moet Europa vaker durven kiezen voor ‘Buy European’. Dat betekent Europese alternatieven steunen. Niet om Amerikaanse bedrijven uit te sluiten, maar juist om voor de langere termijn serieuze marktwerking en concurrentie te behouden.

DORA vereist nieuwe risico-weging en maatregelen

HRIF.EU heeft, in vervolg op een suggestie van Bert Hubert daartoe, een nadere analyse gemaakt van de manier waarop de recent van kracht geworden Europese regelgeving over digitale weerbaarheid de Europese financiële instellingen verplicht om hun risico-weging te herijken. In de open brief en het briefing paper worden de belangijkste elementen en overwegingen op een rij gezet.

Ook in de Nederlandse situatie komt een duidelijk gevoel van urgentie naar boven. De Algemene Rekenkamer meldt dat 67% van essentiële overheidsdiensten geen risicobeoordeling heeft, terwijl meer dan 50% afhankelijk is van hyperscalers onder de CLOUD Act, een risico dat de DCC en WRR ook benadrukken. Natuurlijk moet ook worden erkend dat Amerikaanse providers zoals Microsoft en AWS ook bestuurlijk een vorm van collectieve zekerheid bieden: als iedereen het doet, dan zal het wel kloppen. Verder kunnen schaalvoordelen en technische betrouwbaarheid een rol spelen.

HRIF.EU stelt in elk geval vast dat het in DORA opgenomen toezicht raamwerk voor bedrijfskritische toeleveranciers van diensten in feite is geschoeid op de aanname dat die derde partijen uit niet-EU gebieden zich a priori netjes aan de Europese regels willen houden en willen meewerken met Europese toezichthouder. Die aanname lijkt ons gezien de recente geopolitieke ontwikkelingen niet realistisch. Als Microsoft nog een keer de stekker uit een banksysteem trekt, verwachten we niet dat de toezichthouder met vaart dit kan/zal corrigeren.

Daarom roepen we Europese financiële instellingen met zoveel woorden op om hun feitelijk uitbestedingsbeleid aan bedrijfskritische derde partijen te herijken en ten minste de afhankelijkheid van de VS ook in de praktijk snel te verminderen.

Please urgently reconsider your non-EU outsourcing policies and, at a minimum, reduce your reliance on U.S. AML rules, sanctions, and US-service providers.

Wat betekent dit in de praktijk dan?

Bert Hubert’s weergave van het Nederlands debat, zoals gehouden bij het ‘Rondetafelgesprek Digitale Soevereiniteit Rijksoverheid’ is dat blind kiezen voor Amerikaans reële geopolitieke risico’s meebrengt. Hij benadrukte dat ook in een apart artikel eerder deze week: Nee je kan niet meer je overheid en maatschappij verhuizen naar Amerikaanse servers.

Deze geopolitieke realiteit betekent ook dat banken versneld invulling moeten geven aan de verplichtingen die ook in de DORA-Act staan. DORA vereist immers al dat er exit-plannen bestaan om te borgen dat je niet té afhankelijk wordt van derde partijen. Die plannen moeten dus versneld worden ingezet en mogelijk moeten nieuwe volledig Europese consortia of aanbieders worden opgericht.

Onze suggesties sluiten dan ook aan op de nu lopende Nederlandse discussie:

• Voer exitplannen uit: verschuif naar Europese cloud-aanbieders, zoals DCC’s ‘EU-standaard’, WRR’s strategische visie en de aanbevelingen van de Algemene Rekenkamer ook bepleiten.

• Verminder afhankelijkheid van Amerikaanse aanbieders en van Amerikaanse witwas- en sanctieregels en stel de EU-grondrechten centraal bij beoordelen van de passendheid van witwas en sanctie-regels

• Ontwikkel een EU-consortium voor bank- en datasystemen, passend bijvoorbeeld bij DCC’s ‘gebalanceerde multicloud’ aanpak.

• Pleit bij de Europese Commissie voor juridische immuniteit tegen extraterritoriale wetten, zoals de CLOUD Act.

Datasoevereiniteit is méér dan een compliance verplichting: het borgt juist de mensenrechten in het financiële verkeer

Het beschermen van gegevens en diensten tegen buitenlandse inmenging is een essentieel onderdeel van de bescherming van EU-burgers en bedrijven. Het is niet alleen een compliance verplichting, maar het borgt fundamentele mensenrechten. En onze suggesties sluiten ook aan bij de bredere strategische autonomieagenda van de EU na München.

Toch is de uitdaging aanzienlijk. Afstappen van gevestigde Amerikaanse providers zoals Microsoft en Amazon Web Services, die de cloudmarkt domineren, vereist middelen, planning en politieke wil. De Europese Toezichthoudende Autoriteiten (ESA’s) hebben in hun concept technische standaarden reeds gewezen op geopolitieke risico’s en het feit dat banken de kwetsbaarheid van niet-EU providers niet langer kunnen bagatelliseren.

Actie is nu nodig, we staan op een keerpunt!

Wij benadrukken in onze briefing dat Europese financiële instellingen niet op hun handen moeten gaan zitten en moeten wachten tot de openstaande lagere regelgeving (RTS: Regulatory Technical Standards) af zijn. De geopolitieke realiteit verandert immers sneller dan de Europese Commissie Regulatory Technical Standards kan vaststellen.

Voor CEO’s van Europese financiële instellingen is dus onze boodschap: pak dit onderwerp op board-niveau op, herzie de risico-inschattingen ten principale, werk de Business Impact Analyses bij en geef invulling aan de exit-strategieën.

Er is geen tijd te verspillen!

Lees onze volledige brief/briefing hier.