Uw cloudafhankelijkheid is nu een gereguleerd risico. De meeste bedrijven kunnen de hunne niet eens zien.

Wat is er werkelijk veranderd?

Jarenlang was de cloudvraag praktisch: welke leverancier, tegen welke prijs. Het European Technological Sovereignty Package van 2026, en de Cloud and AI Development Act daarbinnen, verandert de vraag. Het introduceert een soevereiniteitskader met vier niveaus dat beoordeelt hoe onafhankelijk uw infrastructuur is van een enkele buitenlandse leverancier. Waar uw systemen draaien, en wie er uiteindelijk de controle over heeft, is nu een gereguleerde zaak, niet langer alleen een architectuurkeuze.

Het komt niet alleen. Het landt boven op DORA, NIS2, de Data Act en de AI Act, elk met hun eigen verplichtingen rond continuiteit, beveiliging en verantwoording. Voor een bedrijf dat in Europa actief is, ontstaat zo een complianceomgeving waarin concentratie op een enkele hyperscaler niet langer alleen handig is. Het is een gedocumenteerde blootstelling.

Waarom kunnen de meeste bedrijven hun eigen blootstelling niet zien?

Omdat de afhankelijkheid verborgen ligt. Weinig organisaties zijn op een manier afhankelijk van een enkele cloud die zij op een enkele pagina kunnen overzien. De werkelijke afhankelijkheid loopt door managed services, compliancetooling, de AI-systemen die zij hebben ingevoerd, analyticsplatforms, identiteitsinfrastructuur en ontwikkelpijplijnen, waarvan er vele stilletjes herleidbaar zijn tot dezelfde een of twee leveranciers.

Dus als een bestuur vraagt of het bedrijf zou kunnen blijven draaien wanneer de belangrijkste leverancier uitvalt of als niet-compliant wordt beoordeeld, luidt het eerlijke antwoord meestal dat niemand het in kaart heeft gebracht. Dat is de leemte die de nieuwe regels op het punt staan bloot te leggen, en de leemte die DORA gereguleerde ondernemingen nu al verplicht te dichten.

Wat zou een serieus bedrijf nu moeten doen?

Breng de afhankelijkheidsketen in kaart voordat een toezichthouder of een storing dat voor u doet. Bepaal welke kritieke functies herleidbaar zijn tot een enkele leverancier, waar u geen geteste failover heeft, en waar een soevereiniteitsniveau u buitenspel zou zetten. Dit is geen oproep om de hyperscalers de rug toe te keren. Het is een oproep om precies te weten wat u zonder hen zou doen, en om dat te kunnen aantonen.

Veerkracht ging altijd al over de afhankelijkheid die u niet kunt vervangen. De nieuwe regels maken die afhankelijkheid simpelweg tot iets dat u nu moet zien, documenteren en verdedigen. De bedrijven die haar vroeg in kaart brengen, behandelen de deadlines als routine. De bedrijven die wachten, ontdekken de vorm van hun afhankelijkheid op het slechtst denkbare moment.

Lees hierna: Waarom verhoogt AI de prijs van hardware die je nooit hebt gekocht?  ·  Waarom is de grootste kostenpost van AI nu een maandelijkse huurrekening?