Edward Roozenburg: ECB-gids is nuttig kompas, maar geen complete kaart

29 juli 2025

Door Edward Roozenburg, Service Line Lead IT Risk en Informatiebeveiliging, Probability & Partners

De Europese Centrale Bank (ECB) heeft deze maand haar definitieve gids gepubliceerd over het uitbesteden van clouddiensten aan derde partijen: de ‘ECB Guide on outsourcing cloud services to cloud service providers’. De timing is uitstekend te noemen: met de implementatie van DORA en de geopolitieke spanningen, die de kwetsbaarheid van digitale infrastructuur blootleggen, is guidance over cloudrisico’s meer dan welkom.

De gids biedt een overzicht van goede praktijken voor effectief risicobeheer bij cloud outsourcing voor banken. Hoewel deze dus expliciet van toepassing zijn bij banken, geeft dit ook stof tot nadenken voor andere financiële instellingen die onder DORA vallen zoals pensioenfondsen en asset managers. Veel van deze goede praktijken zijn al bekend uit DORA: denk aan het uitvoeren van een risicobeoordeling voorafgaand aan outsourcing, het opstellen van een exit strategie, het regelen van auditrechten, het beheersen van sub-outsourcing, en het continu monitoren van de prestaties en risico’s van ICT-dienstverleners. Deze elementen zijn expliciet opgenomen in DORA en dus wettelijk verplicht.

Maar de ECB geeft op sommige punten een meer geconcretiseerde praktische toepassing. Zo adviseert de gids om interne governance te versterken door bijvoorbeeld een specifieke functionaris verantwoordelijk te maken voor cloudrelaties. Dit zou natuurlijk niet alleen bij banken een goed initiatief zijn, maar ook bij de andere financiële instellingen. Ook wordt in lijn met DORA aanbevolen om monitoring te ondersteunen met prestatie-indicatoren, risicorapportages en periodieke evaluaties. De gids maakt in de definitieve versie expliciet onderscheid tussen wat DORA vereist en wat de ECB als best practice ziet, wat de toepasbaarheid in de praktijk vergroot.

Proportionaliteit

Een sterk punt van de gids is de verduidelijking van het proportionaliteitsbeginsel. DORA benoemde dit principe met maar weinig uitwerking. Maar deze gids gaat daarin wat verder. Niet elke bank hoeft dezelfde diepgang in risicobeheer toe te passen. De ECB adviseert om de aanpak af te stemmen op de aard, schaal en complexiteit van de organisatie én op het risicoprofiel van de uitbestede dienst. Dat betekent bijvoorbeeld dat een kleine vermogensbeheerder die een standaard boekhoudapplicatie in de cloud gebruikt, kan volstaan met een beknopte risicoanalyse en beperkte contractuele waarborgen. Een grote systeembank die klantgegevens of betalingsverkeer uitbesteedt aan een hyperscaler, moet daarentegen diepgaande due diligence uitvoeren, uitgebreide auditrechten bedingen en scenario’s voor exit en migratie uitwerken. De gids biedt hiermee een werkbaarder kader voor proportioneel toezicht, zonder afbreuk te doen aan de kernprincipes van risicobeheersing.

DORA plus

Wat voegt de gids nog meer toe aan DORA? Naast de eerder genoemde governance-aanbevelingen biedt de gids ook guidance over documentatievereisten, interne verantwoordingsstructuren en het belang van praktische uitvoering van bestaande verplichtingen. Zo wordt geadviseerd om cloudrelaties te beheren met behulp van prestatie-indicatoren, risicorapportages en regelmatige evaluaties. Deze elementen zijn ook in DORA wel benoemd, maar worden in deze gids gepresenteerd als best practices op basis van toezichtservaring van de ECB.

Geopolitiek

De gids komt op een moment waarop geopolitieke spanningen – van cyberdreigingen tot sancties – de afhankelijkheid van een handvol cloudproviders problematisch maken. In de column van Pim Poppe over geopolitieke risico’s zijn de actuele geopolitieke verhoudingen en de consequenties voor de financiële sector goed beschreven.

De Europese financiële sector is sterk afhankelijk van Amerikaanse aanbieders zoals AWS, Microsoft Azure en Google Cloud. Dankzij deze Amerikaanse dominantie is de digitale zelfstandigheid in Europa beperkt. Dit leidt tot geopolitieke kwetsbaarheid. Wat gebeurt er bijvoorbeeld als Azure niet meer toegankelijk is? Of als Office in Europa van de één op de andere dag niet meer wordt ondersteund als gevolg van Amerikaanse wetgeving in een handelsoorlog? Kunnen we dan nog terugvallen op de contractuele afspraken met Microsoft?

De ECB adviseert daarom om concentratierisico’s expliciet mee te nemen in de risicobeoordeling en om exitstrategieën klaar te hebben. In een wereld waarin de digitale infrastructuur een geopolitiek speelveld kan zijn, is de mogelijkheid om soepel over te kunnen schakelen naar andere cloudproviders, in bijvoorbeeld Europa, een goede beheersmaatregel. Dit leidt tot de wens bij banken, maar ook bij andere financiële instellingen om eenvoudig over te kunnen stappen naar een Europese cloudprovider. Sommige instellingen hanteren wellicht nu al een multi-cloudstrategie waarmee ze hun afhankelijkheid van een single cloud beperken.

Toch laat de gids op dit punt ruimte liggen. Een belangrijk thema bij overstap naar een andere cloudprovider, is interoperabiliteit tussen cloudproviders. Dat wil zeggen dat er goede mogelijkheden zijn om data, applicaties en diensten soepel te verplaatsen tussen verschillende cloudomgevingen zonder ingrijpende technische of contractuele obstakels. Om over te kunnen stappen van cloudprovider, is het zinnig dat gegevens op een standaard wijze beschikbaar zijn voor overdracht. Maar in de praktijk lopen instellingen vaak tegen incompatibele standaarden aan. Juist in een tijd waarin flexibiliteit belangrijk is, is dit een gemis. Banken en ook andere financiële instellingen hebben behoefte aan richting op dit vlak omdat dit een vereiste is om het concentratierisico concreet te kunnen aanpakken.

Guidance over hoe hiermee om te gaan – bijvoorbeeld via standaardisatie of tooling voor data-portabiliteit – ontbreekt. Nu moeten financiële instellingen zelf nadenken over standaarden die ze daarvoor willen hanteren en kan elke instelling zelf een standaard kiezen. Dit leidt tot verscheidenheid aan vereisten die klanten aan cloudproviders stellen. Het zou goed zijn om daar eenheid in aan te brengen, zoals ook eenheid is aangebracht door de Europese wetgever in de USB-C poort als de standaard voor mobiele telefoons. Guidance vanuit de ECB zou al een eerste stap naar meer uniformiteit kunnen zijn.

Waardevol

De ECB-gids is een waardevolle aanvulling op DORA. Ze biedt praktische handvatten, verduidelijkt proportionaliteit en helpt banken om cloudrisico’s onder geopolitieke druk beter te beheersen. Maar voor thema’s als interoperabiliteit moeten instellingen nu zelf nadenken. Aanvullende guidance en misschien zelfs wetgeving zouden hierbij kunnen helpen. Wel draagt deze gids uiteraard bij aan het verder beveiligen tegen IT-risico’s. En dat is mooi!