Digitale Soevereiniteit is een voorwaarde voor groei, innovatie en veiligheid.
Het is geen nieuws, de wereld digitaliseert in een hoog tempo. Ook in Nederland vormt de digitale infrastructuur de basis onder vrijwel alle vitale en commerciële processen. Wij zijn een van de belangrijkste internetknooppunten van Europa en zelfs de wereld. En wij zijn een internationale hub voor dataopslag en digitale doorvoer. Daarbij is onze samenleving en economie buitengewoon open.

Dat alles bezorgt ons veel welvaart. Maar tegelijkertijd maakt het ook dat wij extra kwetsbaar zijn voor digitale verstoringen, cyberaanvallen en geopolitieke druk, bijvoorbeeld via afhankelijkheid van buitenlandse cloud providers en technologische machtsblokken.
Andere tijden
Mede door deze digitale verknoping leven we niet langer in de relatief veilige en stabiele wereld van de afgelopen decennia. En waar samenwerking en specialisatie ooit werden gezien als motoren voor gezamenlijke welvaart, wordt verwevenheid nu beschouwd als kwetsbare afhankelijkheid.

Digitale systemen, data en algoritmes zijn het nieuwe strijdtoneel. Kunstmatige intelligentie maakt deze dreiging sneller, slimmer en schaalbaarder. Denk aan deep fakes, geautomatiseerde phishing en gepersonaliseerde desinformatie. Het Internet of Things vergroot het aanvalsoppervlak. Iedere nieuwe technologie brengt weer nieuwe kwetsbaarheden met zich mee.
Verstoringen
Het aantal cyberincidenten is sinds 2020 meer dan verzevenvoudigd. Dreigingen zijn steeds meer met elkaar verweven. Zo hebben alle Nederlandse grootbanken dezelfde cloud provider en werken de meeste bedrijven met dezelfde kleine groep providers, leveranciers en platforms.

Dus als er binnen dit soort ecosystemen iets gebeurt, kan er een domino-effect ontstaan. Een cyberaanval kan leiden tot verstoring van vitale processen, economische schade, maatschappelijke onrust en zelfs escalatie van internationale conflicten. Dus terecht dat de roep om digitale soevereiniteit op alle niveaus steeds luider wordt.
Digitale soevereiniteit
Digitale soevereiniteit betekent volgens mij dat een land, organisatie of individu controle en zeggenschap heeft over zijn digitale infrastructuur, data, technologie en de bijbehorende besluitvorming. Het gaat om het vermogen om onafhankelijk, veilig en in lijn met eigen waarden en belangen te opereren in het digitale domein. Het is een voorwaarde voor economische groei, innovatie, privacybescherming, nationale veiligheid en het waarborgen van publieke waarden op alle niveaus in onze maatschappij. 
Kwetsbare verantwoordelijkheid
Gezien dit grote belang is in Europese regelgeving (zoals de NIS2-richtlijn en DORA) opgenomen dat bestuurders en toezichthouders persoonlijk aansprakelijk kunnen worden gesteld voor falende IT-beheersing. Deze regels schrijven expliciet voor dat bestuurders onder andere de cyberbeveiligingsmaatregelen moeten goedkeuren, toezicht moeten houden op de implementatie ervan en ervoor moeten zorgen dat aan alle verplichtingen wordt voldaan. Die verantwoordelijkheid ligt expliciet bij het gehele bestuur, niet slechts bij één bestuurder die IT in portefeuille heeft en ook niet alleen bij de IT-afdeling of een externe partij.
Aan de slag
Alle bestuurders en toezichthouders moeten zich hiervan nadrukkelijk bewust zijn. Dat lijkt een open deur, maar de urgentie van dit onderwerp wordt nog altijd onderschat of raakt ondergesneeuwd door andere prioriteiten. Aan de slag: breng digitale afhankelijkheden en risico’s in kaart, denk aan: supply chain, cloud, data, en software. Ontwikkel scenario’s rond de kernonzekerheden. Niet omdat dit voorspellingen zijn, maar omdat het voorstellingen zijn van wat er zou kunnen gebeuren.

Bedenk per scenario wat de beste preventie- en mitigatiestrategie is. Maak gebruik van friendly hackers om zwakke plekken te vinden en crisis te simuleren. Implementeer en rapporteer volgens internationale standaarden (IDRS). Betrek het eerste, tweede en derde lijnmanagement in alles. Werk samen in ecosystemen om kennis en ervaring te delen. Investeer in kennisontwikkeling, opleiding en het aantrekken van digitaal talent.

En zorg dat er een sterke management lijn is op het gebied van IT-beheersing, digitale betrouwbaarheid en compliance, als onderdeel van de derde lijn. Eén - de IT-auditor - die onafhankelijk oordeelt en rechtstreeks praat met het bestuur om intern beleid, processen en controls structureel te monitoren en te versterken.