Als CISO van een van de grootste vitale infrastructuren in Nederland lees ik veel rapporten over digitalisering, innovatie en veiligheid. Het Rapport Wennink blijft hangen, juist omdat het cybersecurity niet benadert als een technisch of juridisch detail, maar positioneert waar het thuishoort: in het hart van veiligheid en weerbaarheid. Dat is een ongemakkelijke, maar noodzakelijke verschuiving.
Jarenlang hebben we digitale veiligheid behandeld als iets dat je ‘op orde’ brengt. Een norm, een audit, een vinkje. Ondertussen hebben we stap voor stap onze digitale ruggengraat uitbesteed. Cloud, rekenkracht, platforms, data-analyse en steeds vaker ook AI-capaciteit zijn in handen van partijen buiten Europa. Efficiënt, schaalbaar en goedkoop, tot het dat niet meer is. Dan blijkt dat afhankelijkheid geen abstract risico is, maar een strategisch gegeven.
Digitale soevereiniteit wordt vaak uitgelegd als een ideologisch streven: minder Big Tech, meer Europa. Het Rapport Wennink maakt duidelijk dat dit te oppervlakkig is. Het gaat niet om ‘eigen spullen’, maar om handelingsvermogen. Kunnen we blijven functioneren als geopolitieke spanningen oplopen? Kunnen vitale sectoren zoals energie, mobiliteit, zorg, overheid doorwerken als digitale ketens onder druk komen te staan? En wie bepaalt dan de voorwaarden?
Cybersecurity speelt hierin een sleutelrol. Niet als verdedigingslaag achteraf, maar als voorwaarde voor strategische autonomie. Zonder sterke cybersecuritytechnologie, zonder eigen kennis en zonder innovatiekracht, blijven we afhankelijk van anderen om onze digitale veiligheid te organiseren. Dat is een paradox: we willen soeverein zijn, maar besteden onze weerbaarheid uit.
Vanuit de CISO-community zie ik dagelijks wat dat betekent in de praktijk. CISO’s in vitale sectoren balanceren tussen continuïteit, compliance en geopolitieke realiteit. Zij moeten risico’s managen die niet alleen technisch zijn, maar ook juridisch, economisch en strategisch. De vraag ‘is dit veilig?’ is steeds vaker verbonden met ‘van wie is dit?’ en ‘onder welk recht valt dit?’. Dat is geen academische discussie, maar dagelijkse realiteit.
Het Rapport Wennink benoemt terecht dat Europa achterloopt op het gebied van cybersecuritytechnologie en digitale infrastructuur. Dat maakt ons kwetsbaar in een tijdperk van hybride dreiging, waarin digitale verstoring een volwaardig machtsmiddel is geworden. Cyberaanvallen, afhankelijkheden in softwareketens, druk op cloudtoegang of rekenkracht; het zijn instrumenten geworden in geopolitiek, niet alleen in criminaliteit.
Resilience betekent in dat licht meer dan herstelvermogen. Het betekent vooruitdenken, investeren en keuzes maken. Het vraagt om structurele investeringen in digitale infrastructuur, Europese alternatieven en cybersecurity-innovatie. Niet om alles zelf te willen doen, maar om wederkerige afhankelijkheden te creëren. Afhankelijkheid op zichzelf is niet het probleem; eenzijdige afhankelijkheid wel.
Wat mij aanspreekt in het rapport is […]
Dimitri van Zantvliet is Directeur Cybersecurity bij de NS. Het hele artikel is hier te lezen
