Wat het VK op 13 juli aanwees

De verandering oogt aan de oppervlakte stil en is eronder groot. Op 4 juli 2026 wees de Britse schatkist vier cloudleveranciers formeel aan als kritieke derden voor het Britse financiële stelsel, kondigde dit op 10 juli aan, en het toezicht trad op maandag 13 juli in werking. De genoemde entiteiten zijn Amazon Web Services EMEA SARL, Microsoft Ireland Operations Limited, Google Cloud EMEA Limited en Oracle Corporation UK Limited.

De bevoegdheid is nieuw, de zorg niet. Toezichthouders vrezen al jaren dat een handvol leveranciers inmiddels onder het grootste deel van het financiële stelsel ligt, maar tot de Financial Services and Markets Act 2023 konden zij alleen de banken, verzekeraars en betaalinstellingen bewaken, nooit de leveranciers waarvan die afhankelijk zijn. De wet schiep het regime voor kritieke derden juist om de leverancier rechtstreeks te bereiken.

Sinds maandag kunnen de drie toezichthouders gezamenlijk optreden. De Bank of England, de Prudential Regulation Authority en de Financial Conduct Authority kunnen nu informatie opvragen bij de vier leveranciers, hun operationele weerbaarheid beoordelen, tests tegen zware maar plausibele scenario's eisen, periodieke zelfevaluaties verlangen en meldingen ontvangen van elk ernstig incident dat door het Britse financiële wezen kan doorwerken.

Toezicht op uw leverancier is niet uw risico overnemen

De belangrijkste zin in de aankondiging is die welke niets overdraagt. Een aanwijzing is geen vergunning. De toezichthouders houden toezicht op de weerbaarheid van de diensten die deze leveranciers verkopen, zij certificeren de leveranciers niet en nemen het risico niet over. Als uw werklast uitvalt doordat een regio het begeeft, blijft de verantwoordelijkheid bij uw onderneming, die de leverancier, de architectuur en het herstelplan koos.

Sarah Breeden, onderdirecteur van de Bank voor financiële stabiliteit, benoemde de reden helder. Naarmate kritieke derden dieper in financiële instellingen verankerd raken, merkte zij op, kunnen zij nieuwe vormen van systeemrisico introduceren. Het regime probeert dat risico bij de bron te zien, niet het van de boeken van een enkele onderneming te schuiven.

Op dat onderscheid lezen eigenaren het nieuws verkeerd. Een aanwijzingskop klinkt als opluchting, alsof iemand groters nu de eigenaar van het probleem is. Het is andersom. De lat voor uw eigen leveranciersrisicobeheer, uw uitstapplan en uw concentratiekaart ging zojuist omhoog, want er is nu een onder toezicht staande norm waaraan uw eigen toezichthouder u kan meten.

Concentratie is nu een officiële categorie

Het diepere signaal is wat de staat nu heeft vastgelegd. Door vier in de VS gevestigde leveranciers als systeemkritisch aan te wijzen, heeft het VK formeel geregistreerd dat zijn financiële leidingwerk op een zeer klein aantal buitenlandse leveranciers draait. Dat is niet langer een dia in een risicocommissie, het is een aanwijzing met juridische kracht erachter.

Dezelfde logica is al van kracht aan de overzijde van het Kanaal. De Europese verordening digitale operationele weerbaarheid, bekend als DORA, schiep een vrijwel identiek toezichtregime voor kritieke ICT-derden, geleid door de Europese toezichthoudende autoriteiten. In Nederland stelt De Nederlandsche Bank vergelijkbare vragen, en een onderneming die aan beide zijden actief is, staat tegenover twee toezichthouders met dezelfde twee vragen: hoe geconcentreerd bent u, en kunt u weg.

Argumenten over soevereiniteit en multicloud houden hier op theoretisch te zijn. De reden om een beproefd pad buiten één hyperscaler te houden, rustte vroeger op principe en inkoopmacht. Ze rust nu ook op een weerbaarheidsnorm die een toezichthouder kan inspecteren, wat het interne gesprek van voorkeur naar naleving verschuift.

Wat te regelen voordat de toezichthouder vraagt

Behandel de aanwijzing als een deadline die u uzelf stelt. Breng in kaart welke van uw kritieke werklasten op welke van de vier leveranciers rusten, noteer de concentratie eerlijk en oefen de uitstap in plaats van die aan te nemen. Een herstelplan dat nooit tegen een zware maar plausibele storing is beproefd, is een document, geen vermogen, en dat is precies het gat dat een toezichthouder is opgeleid te vinden.

De ondernemingen die kalm ogen in een audit zijn die welke hun antwoord al kennen. Zij kunnen hun enkelvoudige faalpunten benoemen, voor elk een beproefde uitweg tonen en aantonen dat de raad de concentratie besprak voordat een toezichthouder die aankaartte. De aanwijzing schiep dat werk niet, zij maakte de afwezigheid ervan zichtbaar.