computable

Dit liveblog is afgelopen.Er zijn nog geen liveblog-updates. Toon meer

Orderboek van Oracle explodeert, Sopra Steria breidt zijn datasoevereiniteitsoplossing uit, fintechstartup Dyme onderdeel van insurtechbedrijf Risk en cybersecurity betreedt sportveld. Dat zijn de onderwerpen van dit nieuwsoverzicht. Oracle spint garen bij Amerikaans ai-project Stargate Oracle heeft zijn orderboek zien exploderen tot vijfhonderd miljard dollar, mede dankzij het door president Trump gelanceerde Project Stargate. Dit nationale ai-programma voorziet in de bouw van datacenters in de VS en daarbuiten, bedoeld om technologische voorsprong en nationale veiligheid te waarborgen. De Amerikaanse leverancier van software en cloudtechnologie blijkt de eerste grote begunstigde: de cloudomzet steeg met meer dan driekwart naar achttien miljard dollar en moet de komende jaren doorgroeien tot 144 miljard. Beleggers reageerden enthousiast: het aandeel Oracle schoot 28 procent omhoog. Ook chipmakers, koelings- en netwerkleveranciers zoals Nvidia, TSMC en Cisco hopen mee te liften. In Nederland wordt uitgekeken naar mogelijke kansen voor ASML en ASM International. Sopra Steria voegt post-quantum-encryptie toe aan eigen Datasphere Sopra Steria heeft zijn data-soevereiniteitsoplossing Datasphere uitgebreid met hybride post-quantum-encryptie. De technologie combineert klassieke cryptografie met quantumbestendige algoritmen en moet organisaties beschermen tegen toekomstige dreigingen die voortvloeien uit de opkomst van quantumcomputers. Datasphere biedt al functies als data-labeling, encryptie en attribuutgebaseerde toegangscontrole binnen onder meer Microsoft Office. Met de toevoeging van post-quantumtechnologie voldoet de oplossing aan aanbevelingen van Nist en internationale standaarden, zoals die van de Navo. Volgens Sopra Steria-directeur Thierry Lempereur verstevigt de ontwikkeling de digitale soevereiniteit van klanten en maakt het een veilige overgang naar post-quantumbeveiliging mogelijk. Risk neemt fintech Dyme over De Amsterdamse fintechstartup Dyme komt in handen van insurtechbedrijf Risk, dat deels eigendom is van het Zweedse Söderberg & Partners. Dyme, bekend van het televisieprogramma Dragons’ Den en een van de grootste financiële apps van Nederland, heeft ruim 600.000 gebruikers die samen meer dan veertig miljoen euro op hun huishoudpotje bespaarden. Met de overname, waarvan de financiële details niet bekend zijn gemaakt, krijgt Risk toegang tot een jonge doelgroep en breidt Dyme zijn aanbod en internationale ambities uit, te beginnen in Duitsland. Het merk en managementteam blijven zitten waar ze zitten. Risk wil met Dyme’s technologie huishoudens helpen grip te krijgen op vaste lasten en betere keuzes te maken voor verzekeringen, abonnementen en energie. Cybersecurity maakt transfer naar voetbal en padel Niet alleen spelers, ook sponsors worden steeds slimmer gekozen. Zo haalt Girona FC een digitale keeper in huis. Of meer precies,  het Amerikaanse securitybedrijf WatchGuard als officiële cybersecuritypartner. De Spaanse club beschermt voortaan stadion, trainingscomplex en academie met realtime-dreigingsdetectie. Ondertussen kiest padelwereldkampioen Agustín Tapia voor Commvault. De Argentijn, de Mozart van Padel genoemd, prijkt dit seizoen met het logo van de data-protectiespecialist op zijn shirt. Zowel WatchGuard als Commvault benadrukken de parallellen: veerkracht, voorbereiding en snelle reactie zijn onmisbaar, of je nu een cyberaanval moet keren of een punt wil maken.

COLUMN – Het is de grote vraag: waar gaan we het de komende verkiezingen over hebben? Tijdens de vorige verkiezingen ging het vooral over asielzoekers, wat eigenlijk ‘vluchtelingen’ zijn (maar zo noemen we ze liever niet want dan wordt het wat ongemakkelijk). De grenzen dichtgooien, lost al onze problemen op. We kunnen dan weer in een huis wonen, het minimumloon gaat omhoog, de zorg is geen zorg meer en uiteraard verdwijnt het eigen risico van de zorgverzekering als sneeuw voor de zon. Sterker, bij je eerstvolgende doktersbezoek ontvang je een premie – zoveel geld zouden we overhouden als we de grenzen dicht zouden gooien. Meeuwen komen ook al schreeuwend aanvliegen Dat dit in Groot-Brittannië niet heeft geholpen en de problemen daar alleen nog groter heeft gemaakt, waren we even vergeten. Maar helaas, de grenzen dichtgooien is niet gelukt. Het enige wat dicht is gegooid, zijn een aantal deuren naar partijen onderling. Fatsoen De komende verkiezingen gaan vooral over fatsoen. Tenminste, voor een deel van de kiezers. Een niet eens heel klein deel heeft hier lak aan en wil nog steeds op een partij stemmen die niet voor niets een meeuw in haar logo heeft. Meeuwen komen ook al schreeuwend aanvliegen, vreten alles op, schijten alles eronder en vliegen weer weg. En verder gaan we het hebben over de onrechtvaardige hypotheekrenteaftrek, we gaan weer meer huizen bouwen, uiteraard een strenger asielbeleid en er zal ook wel vast iemand het woordje stikstof in de mond nemen. Daarnaast zal de SGP wel weer terug willen naar 1951 en gaat de Boeren Lobbie Partij weer haar best doen om cadeautjes aan haar leden uit te delen. Hier gaan we het dus allemaal over hebben tijdens de aanstaande verkiezingen. En dus niet over ict. Daar zijn we het blijkbaar allemaal over eens. Jacob SpoelstraJacob Spoelstra is columnist/stand-upcomedian. Kijk hier voor meer informatie.

Het van oorsprong Russische Nebius dat momenteel vanuit Amsterdam opereert en daar het internationale hoofdkwartier heeft, gaat op grote schaal ai-infrastructuur leveren aan Microsoft. Zelf spreekt dit techbedrijf dat voortkomt uit de ‘Russische Google’ Yandex, van een vijfjarige deal die vele miljarden dollar waard is. Volgens persbureau Reuters bedraagt de contractwaarde 17,4 miljard dollar tot 2031. Als Microsoft nog meer capaciteit voor de training en de uitrol van ai-modellen nodig heeft, kan dit bedrag oplopen tot 19,4 miljard dollar. Nebius dat aan de Amerikaanse techbeurs Nasdaq is genoteerd, zag de waarde van zijn aandelen dinsdag met liefst 41 procent opveren. Het bedrijf is nu meer dan negentig miljard dollar waard. Gpu’s Nebius heeft zich gespecialiseerd in ai-gerichte cloud-infrastructuur met gpu’s van Nvidia en eigen maatwerk-hardware en – software als basis. Het bedrijf staat bekend om de vele innovaties op gebied van cloudsecurity. Als eerste komt er capaciteit voor Microsoft beschikbaar in een nieuw datacenter dat Nebius in New Jersey uit de grond heeft gestampt. Extra capaciteit houdt het bedrijf achter de hand in Kansas City en op IJsland, terwijl ook wordt uitgebreid in Finland. Nebius bedient niet alleen Microsoft, maar speelt ook een sleutelrol bij de ondersteuning van Israëls geavanceerde tech-ecosysteem. Het bedrijf vormt de drijvende kracht achter het nationale supercomputer-project van Israël. De Israel Innovation Authority heeft Nebius daartoe in de arm genomen. Het pas in 2023 opgerichte Nebius heeft opmerkelijke successen geboekt na de grondige herstructurering van Yandex. Die reorganisatie was nodig na de vele geopolitieke verschuivingen met als dieptepunt de Russische inval in Oekraïne. Het bedrijf draait in hoge mate op jonge Russische wetenschappers die naar het Westen zijn gevlucht. Medeoprichter Arkady Volozh verhuisde overigens al in 2014 naar Israël. De topman van Nebius verwacht na de deal met Microsoft nog veel meer belangrijke langetermijncontracten met vooraanstaande ai-labs en big-tech-bedrijven te kunnen afsluiten. Volgens hem is dit nog maar het begin. ‘Deze deal helpt ons ook de groei van onze ai-cloud te versnellen in 2026 en daarna.’ Nebius heeft r&d-centra in Europa, Noord-Amerika en Israël. Grote concurrent is CoreWeave.

BLOG – ASM International is niet het type bedrijf dat voorbijkomt in de kwartaalcijfers van Nvidia of TSMC. Toch speelt deze Nederlandse multinational een sleutelrol in de race naar steeds kleinere, snellere en efficiëntere chips: halfgeleiderproductie waar laagjes atoom voor atoom worden neergelegd. Genoemde procedé heet atomic layer deposition – in de industrie kortweg ALD genoemd – en is wat ASMI groot maakte. En in het tijdperk dat eraan komt, het Angstrom-tijdperk, wordt die precisie geen luxe, maar noodzaak. Chips hebben altijd hun grenzen verlegd door kleiner en complexer te worden. De FinFET-architectuur, die ruim een decennium dienstdeed, is nu technisch aan het eind van zijn Latijn. De nieuwe ster aan het firmament heet Gate-All-Around (GAA), een transistor waarin het stroomkanaal niet aan één kant maar letterlijk aan alle kanten – boven, onder en opzij – wordt omarmd door de gate die het gedrag regelt. Dat levert schonere schakelingen op, minder lekstroom, en dus hogere prestaties met minder energieverbruik. Dat is nog maar het begin. Na GAA volgt de forksheet-transistor, een variant waarin p- en n-transistoren, normaal gesproken naast elkaar, gescheiden worden door een extreem smalle wand, zodat ze dichter op elkaar kunnen worden geplaatst. Het resultaat? Hogere dichtheid, zonder prestatieverlies. Een soort stedelijke verdichting op nanoschaal. En daarna? Dan komen we bij de complementary FET, oftewel CFET. Daarbij worden p- en n-transistoren niet meer naast, maar boven op elkaar gestapeld. Een complete omdraaiing van hoe chips tot nu toe zijn ontworpen. Dat is geen evolutie meer, dat is herscheppen. En dat vereist iets heel anders van de apparatuur die die structuren moet bouwen: perfect gelaagde materialen, zero foutmarge. Nanosheet Of het nu gaat om de precisie waarmee nanosheet-kanaaltjes worden bekleed in een gaa-structuur, of om het zorgvuldig groeien van afwisselende lagen silicium en germanium voor forksheet-opbouw, de ASMI’s tools zijn bij elke stap essentieel. Zonder hen geen werkende GAA, geen stapelbare CFET en geen Angstrom. Toch zakte de koers van ASMI eerder dit jaar stevig in. Orders vertragen, cycli keren. Maar wie alleen naar het kwartaal kijkt, mist het decennium. De echte waarde van ASMI zit niet in dit jaar, maar in de zekerheid dat iedereen straks ALD nodig heeft. En dat bijna niemand het zo goed kan als zij. Rob Koelmans, directeur MetaMicro Automatisering

Wat was de rol van het Franse bedrijf Eurofins in de hack van een van hun laboratoria: Clinical Diagnostics Nederland? Deel 6 over informatiebeveiliging in de zorg. ‘Begin juli is het netwerk van Clinical Diagnostics Nederland getroffen door een gerichte cyberaanval. Hierbij hebben hackers ongeautoriseerde toegang verkregen tot een deel van de IT-omgeving van Clinical Diagnostics NMDL en Clinical Diagnostics LCPL. Er zijn geen andere laboratoria binnen het netwerk van Clinical Diagnostics Nederland door dit incident getroffen,’ zo verwoordt het lab de enorme dataroof van privégegevens van honderdduizenden Nederlanders. Het Nederlandse lab is er één van de 950 die Eurofins exploiteert. De in Parijs genoteerde en snelgroeiende multinational verwerkt wereldwijd voor veel overheden heel veel data (zie kader). Hoe de ransomware-aanval heeft kunnen plaatsvinden is onduidelijk, daarover willen het lab en het moederbedrijf nog niks kwijt. Eurofins zegt wel hard te werken aan de eigen cybersecurity: ‘In 2024 is er een aanzienlijke inspanning geleverd om niet alleen gebruikers te scheiden, maar ook applicaties.’ Een proces dat dit jaar zou hebben doorgelopen. Ook over het al dan niet goed versleuteld zijn van al die data houdt men de lippen nog op elkaar. Twee andere vragen die al snel rondgingen wil men wel toelichten. Tijd tussen ransomware-aanval en bericht Het lab heeft zelf op haar website uitgelegd waarom er zoveel tijd zat tussen de hack en de bekendmaking: ‘Dat kwam doordat we eerst onze systemen veilig moesten maken, technisch en forensisch onderzoek hebben gedaan, de schade voor betrokkenen wilden beperken en de getroffen gegevens hebben onderzocht. Deze stappen waren nodig om goed te kunnen communiceren met de getroffen organisaties en personen.’ Verder zegt het lab een goede reden te hebben om zo veel gegevens op te slaan: ‘In de zorgsector is het wettelijk verplicht om medische gegevens en bijbehorende persoonsgegevens gedurende een bepaalde termijn te bewaren. Dit is nodig om goede zorg te kunnen leveren, bijvoorbeeld om eerdere onderzoeken of uitslagen te kunnen raadplegen en om te voldoen aan wettelijke administratie- en bewaarplichten.’ Bsn is een sleutel, waarom dan bewaard met de data erachter? Per persoon is er ontzettend veel data gestolen: van patiënten gaat het om naw, geslacht, geboortedatum, bsn, onderzoeksgegevens, testuitslagen, en van de zorgorganisatie die het onderzoek heeft aangevraagd om gegevens als naam instelling, naam zorgverleners, AGB-code, adres en contactgegevens. Een kwestie die veel wenkbrauwen deed fronsen is waarom zaken als naw, geslacht en geboortedatum samen met het bsn werden opgeslagen, terwijl die al achter het bsn schuilgaan. ‘Erkende zorgverleners in Nederland zijn wettelijk verplicht om het bsn van hun patiënten vast te leggen en te bewaren’, legt Maureen Veurman, woordvoerder van Clinical Diagnostics Nederland, uit aan Computable. ‘Ze gebruiken het bsn als ze gegevens over patiënten uitwisselen. Daarom zat het bsn ook in het lek bij Clinical Diagnostics. Met het nummer kunnen de onderzoeken aan de juiste personen worden gekoppeld.’ Niks gewijzigd Verder willen het lab en Eurofins niet veel kwijt, lopende het onderzoek. ‘Wij vinden het afschuwelijk dat dit incident heeft plaatsgevonden en beseffen dat dit bij betrokkenen veel zorgen en vragen oproept,’ zegt Veurman. ‘Wij bieden onze oprechte excuses aan voor het feit dat deze hack heeft kunnen plaatsvinden. Wij werken intensief samen met gespecialiseerde externe experts om de oorzaak van het incident en onze systemen nader te onderzoeken. Dat onderzoek vormt de basis voor eventuele nadere maatregelen.’ Het enige lichtpuntje bij de kwestie is wellicht dat er bij het lab waarschijnlijk geen gegevens zijn gewijzigd. Veurman: ‘voor zover bij ons bekend zijn de gegevens alleen ingezien en gekopieerd.’ De andere delen van deze miniserie zijn hier te vinden. Feiten en cijfers over EurofinsEurofins is een in Luxemburg gevestigde, in Brussel te contacteren en in Parijs genoteerde multinational met een beurswaarde van rond de 11 miljard euro. Het bedrijf heeft zo’n 63.000 werknemers en meer dan 950 laboratoria in meer dan 60 landen. Vlak voor de lab-hack rapporteerde het een halfjaaromzet van 3,6 miljard euro, een groei van 5,7 procent vergeleken met een jaar eerder. De winst voor belastingen (ebitda) bedroeg 810 miljoen euro, wat 7,0 procent hoger was. Sinds de beursgang in 1997 heeft het bedrijf een bijzonder hoog gemiddeld samengesteld jaarlijks groeipercentage (cagr) van meer dan 23 procent weten te halen. Het zit zo goed in de slappe was, dat het net besloten heeft om gebruikte locaties te kopen die het niet al bezit.In Nederland heeft het 35 vestigingen, veelal bv’s, ongeveer de helft laboratoria, waaronder acht in de zorgsector, zoals de gehackte in Rijswijk. Eurofins is een gewild doelwit van ransomware-aanvallen en datadieven, omdat het ontzettend veel medische, agrarische, milieu- en forensische (test)gegevens verzamelt. Zo werd in juni een Britse dochter getroffen door een ransomware-aanval, waarna de Britse politie de samenwerking met het bedrijf staakte. Het bedrijf zou er verantwoordelijk zijn voor meer dan de helft van het forensische werk, met jaarlijks meer dan 70.000 strafzaken. En zo waren er vaker dataproblemen bij het bedrijf.Desondanks is het bedrijf trots op de ontwikkeling van de eigen cybersecurity: ‘Eurofins heeft zijn Bitsight-score consistent verbeterd en blijft op een volwassen niveau. Een externe beoordeling van meer dan 200 cyberbeveiligingscontroles, uitgevoerd door CyberVadis, een beveiligingsbedrijf, gaf Eurofins een score van 952/1000 punten (tegen 817 in 2023), wat onze voortdurende inzet voor robuuste cyberbeveiligingspraktijken weerspiegelt.’ Het mitigeert het risico op ransomware-aanvallen en hacks door ’Strategische segmentatie van it-infrastructuur en -applicaties, het creëren van afzonderlijke netwerken om de veerkracht van het bedrijf te versterken en de verspreiding van IT-incidenten te beperken, implementatie van een robuust upgradeprogramma voor informatiebeveiliging dat de beveiliging binnen het gehele Eurofins-netwerk systematisch versterkt, exploitatie van een 24-uurs security operations centre (soc) dat verantwoordelijk is voor het monitoren en beantwoorden van meldingen van het siem-systeem, aangevuld met ids-implementatie, moderne edr- en webbeveiligingsmogelijkheden,’ en ook uitgebreide awareness-trainingen.

Digitalisering en innovatie staan bovenaan de vijf gebieden die Nederland meer productiviteit moeten brengen. Door mkb’ers te helpen digitaal te werken en een Nederlandse ai-fabriek te bouwen, kunnen bedrijven processen sneller, goedkoper en slimmer uitvoeren. Zo blijkt uit de 1e Productiviteitsagenda die het kabinet maandag presenteerde. Ook verlaging van de administratieve lastendruk is een belangrijk speerpunt, evenals betere financiering van bedrijven. Verder zoekt het kabinet het in meer onderwijs en in het leven lang ontwikkelen. En minder onzekerheid rond loondoorbetaling bij ziekte verlaagt risico’s voor ondernemers. Verder komt er een Productiviteitsraad. Deze geeft elk jaar concrete adviezen om Nederland productiever en dus welvarender te maken. Productiviteitsgroei Er moet snel wat gebeuren, want de vertraging in productiviteitsgroei is zorgwekkend volgens het kabinet. Tussen 1974 en 2013 nam de productie per gewerkt uur in Nederland gemiddeld met 1,5% toe. In de afgelopen 10 jaar bedroeg die groei nog maar 0,4%. Door deze stagnatie is onze economie bijna 100 miljard euro kleiner dan als de groei de laatste tien jaar 1,5% was gebleven. Dat staat gelijk aan vijf maal de jaarlijkse uitgaven aan defensie, en bijna twee keer de uitgaven aan onderwijs. Het beetje groei dat is overgebleven kwam doordat we meer uren hebben gewerkt. Maar door de vergrijzing van de bevolking kunnen we niet rekenen op veel meer extra gewerkte uren.  R&D Een land als België geeft relatief aanzienlijk meer uit aan R&D. Nederland zit op 2,2% van het bruto binnenlands product (bbp), België op 3,3%. Qua productiviteitsgroei torent België ook boven Nederland uit. Op de ranglijst van OESO-landen is Nederland van de vierde plaats naar plek 10 gezakt. Volgens minister Vincent Karremans (Economische Zaken) staat Nederland nu in het ‘rechterrijtje’. ‘Dat is niet goed,’ zei hij. ‘En het vooruitzicht is slechter.’  Voor grote ondernemingen draait productiviteitsverhoging om het blijven innoveren en concurreren op internationaal niveau. Dat kan via digitalisering, procesoptimalisatie of investeringen in R&D. Het kabinet wil dat Nederland bij de mondiale top blijft behoren. De voorliggende Productiviteitsagenda is de eerste in een jaarlijkse cyclus. Een woordvoerder van Economische Zaken verwacht dat samenstelling van de nieuwe Productiviteitsraad begon volgend jaar bekend zal zijn.

Zorgen over verzwaringen en artikel 18 De Tweede Kamer zit vol vragen over het wetsvoorstel Cyberbeveiligingswet (Cbw) die de Europese NIS2-richtlijn omzet in nationale regelgeving.  Zo’n 8.100 Nederlandse bedrijven en instellingen die gelden als essentiële of belangrijke entiteit, gaan daar straks onder vallen. Maar tal van aspecten vereisen een nadere verduidelijking van de regering. Ook zijn er de nodige twijfels, onder meer over de gekozen verzwaringen, zo blijkt uit het verslag van de vaste commissie voor Digitale Zaken dat op 8 september is vastgesteld.  Zwaardere eisen D66 vraagt welke onderdelen van de huidige nationale wetgeving tekortschieten en waarom zwaardere eisen dan de minimumeisen van de richtlijn nodig zijn. Gewezen wordt op de aanbevelingen van het Adviescollege Toetsing Regeldruk (ATR) die daar geen aanleiding toe ziet.  Ook wordt gevraagd te reageren op de kritiek die NLdigital heeft geuit op de onverwachte toevoeging van artikel 18.Volgens de it-branchevereniging geeft dat ministers vergaande bevoegdheden om het gebruik van it-leveranciers te verbieden. Ook VNO-NCW en MKB-Nederland hebben ernstige bezwaren. NLdigital waarschuwt dat deze toevoeging de aantrekkelijkheid van Nederland voor internationale techbedrijven schaadt. Deze toevoeging zou zich niet verhouden tot het streven naar een Europees gelijk speelveld. Het plotseling moeten vervangen van it-leveranciers kan ook leiden tot ernstige verstoringen in essentiële en belangrijke dienstverlening. Voor veel digitale infrastructuur zijn alternatieven niet zomaar beschikbaar. Migratietrajecten vergen jaren voorbereiding, aldus NLdigital. De uitbreiding van de zorgplicht zou ook niet passen binnen de NIS2-systematiek, die juist uitgaat van een risico-gebaseerde aanpak. Artikel 18 was niet opgenomen in eerdere consultatieversies van het besluit. De toevoeging is enkel onderbouwd in de memorie van toelichting, zonder wettelijke grondslag in de oorspronkelijke tekst. NLdigital stelt dat dit het zorgvuldige consultatieproces ondermijnt en zelfs de Raad van State wordt gepasseerd. De branchevereniging heeft een alternatief ontwikkeld, een herontwerp op basis van het Duitse model van ‘kritische componenten’. Ook over de kern van de richtlijn is discussie. Het CDA is benieuwd naar de reden voor de keuze om uit te gaan van minimumharmonisatie. Een van de problemen van de NIS1-richtlijn was juist dat er teveel verschillen tussen lidstaten ontstonden. De regering wordt gevraagd een compleet overzicht te delen van alle onderdelen van het wetsvoorstel die verder gaan dan de minimumeisen van de richtlijn. GroenLinks-PvdA wil weten welke problematische tegenstrijdigheden tussen de implementatie in lidstaten de komst van de NIS2-richtlijn rechtvaardigen.  Cyberbeveiliging Alle fracties die vragen hebben gesteld, onderschrijven de noodzaak van strengere en effectievere wetgeving op het gebied van cyberbeveiliging. Opvallend is dat de grote fracties van PVV en BBB niet de moeite hebben genomen om vragen in te dienen of opmerkingen te geven. En dat terwijl de Cyberbeveiligingswet een grote stelselherziening inhoudt. Omvangrijk is de uitbreiding van reikwijdte en verplichtingen. De Tweede Kamer maakt zich zorgen over de enorme vertraging bij de inwerkingtreding van de Cyberbeveiligingswet. Aanvankelijk ging het ministerie van Justitie en Veiligheid uit van het derde kwartaal van dit jaar. Maar nu hoopt minister David van Weel op het tweede kwartaal van 2026. GroenLinks-PvdA vindt dat Nederland veel te laat is met deze implementatie. Deze fractie vraagt of de vertraagde invoering gevolgen heeft voor de cyberveiligheid van Nederlandse entiteiten. De nodige onduidelijkheid bestaat er verder nog over de samenhang van de cyberbeveiligingswet met de CER-richtlijn (kritieke entiteiten) en DORA (Digital Operational Resilience Act, financiële sector). De leden van de GroenLinks-PvdA-fractie vinden het essentieel dat bestuursleden van entiteiten doordrongen zijn van het belang van cyberveiligheid. Deze leden constateren echter dat er in veel instanties te weinig interne kennis en kunde is op het gebied van it, wat bestuurlijk overleg over cyberveiligheid bemoeilijkt. De kennis over it en cyberveiligheid dient breed gedragen te worden. GroenLinks-PvdA ziet echter wel het risico dat de brede opleidingsverplichting de kennis kan verwateren.  Daarom zou het verstandig zijn als de NIS2-richtlijn de kans biedt voor besturen om één bestuurslid als eindverantwoordelijke op het gebied van it en cyberveiligheid aan te wijzen. Wellicht is het beter wanneer deze beschikt over diepere specialistische kennis, in plaats van dat alle bestuursleden enkel over algemene kennis beschikken.  Eindverantwoordelijkheid Volgens het wetsvoorstel worden de vakministers verantwoordelijk binnen hun sectoren. Maar de minister van Justitie en Veiligheid krijgt een centrale en coördinerende rol. GroenLinks-PvdA vraagt zich af of deze bewindsman dan niet beter ook eindverantwoordelijk kan worden voor alle sectoren. VVD en GroenLinks-PvdA vragen hoe de samenwerking tussen vakministers en de minister van Justitie en Veiligheid praktisch vorm krijgt. Overigens valt op dat de coördinerende staatssecretaris voor Digitalisering en Koninkrijksrelaties geen rol heeft in deze wet. GroenLinks-PvdA vraagt daar een verklaring voor. SP en ChristenUnie willen duidelijkheid over taakverdeling tussen ministers en zelfstandige bestuursorganen. Ook is het D66 en CDA niet duidelijk waarom onderwijsinstellingen onder de wet vallen, terwijl dit optioneel is in de EU-richtlijn. GroenLinks-PvdA vraagt waarom ziekenhuizen niet standaard worden aangewezen als essentiële entiteiten, ondanks hun cruciale rol. GroenLinks-PvdA wijst op het nut van een ‘cyberjaarverslag’ een gestandaardiseerd jaarlijks inzicht in de stand van de it en het voldoen aan digitale wetgeving.  Onder meer zorgverzekeraar CZ en ingenieursbureau Arcadis hebben dat al. 

BLOG – Veel organisaties zitten gevangen in vendor lock-in: ze zijn zo afhankelijk geworden van bepaalde cloudleveranciers, dat switchen praktisch onmogelijk is geworden. Dit soort scenario’s wil je als organisatie natuurlijk voorkomen. In deze blog onderzoeken we hoe je de risico’s van een te grote cloud-afhankelijkheid op een laagdrempelige manier kunt inschatten én welke stappen je kunt zetten om deze afhankelijkheden beter te beheersen. Anno 2025 is een groot deel van de bedrijven verweven met clouddiensten. Van e-mail en CRM tot boekhouding en back-up: steeds meer onderdelen van bedrijfskritische processen zijn uitbesteed aan externe partijen. Op zich is daar niets mis mee. Sterker nog, hyperscale cloudproviders (zoals AWS en Azure) leveren organisaties enorme voordelen op in termen van schaalbaarheid, innovatie en kostenbesparing. Het probleem: veel organisaties verliezen de controle over hun leveranciers en de afhankelijkheden. Ze weten niet meer precies waar ze van afhankelijk zijn en wat de gevolgen kunnen zijn bij een te grote afhankelijkheid. Recente ontwikkelingen – van geopolitieke spanningen tot strengere privacywetgeving – maken dit risico steeds zichtbaarder. Want wat doe je als leveranciers plotseling hun voorwaarden wijzigen, prijzen verhogen of bepaalde diensten stopzetten? Soevereiniteit: meer dan alleen nationaliteit Organisaties zoeken daarom steeds vaker naar alternatieven in de vorm van de ‘soevereine cloud’: een cloud-omgeving waarbij je meer controle houdt over je data en minder afhankelijk bent van buitenlandse leveranciers. Maar wat betekent dat eigenlijk precies? Is een Nederlands datacenter met Amerikaanse hardware bijvoorbeeld soeverein? En wat als de data in Europa staat, maar de metadata elders wordt verwerkt? Soevereiniteit is geen ja/nee-vraag, maar een spectrum. De ene organisatie wil alles binnen Europa houden, de andere accepteert Amerikaanse cloudproviders zolang de data maar lokaal blijft. Het gaat er dus vooral om welk niveau van afhankelijkheid acceptabel is voor jouw organisatie, en hoe kwetsbaar dat je maakt. De uitdaging: van bewustzijn naar actie In gesprekken met CIO’s van grote organisaties zie je wat dat betreft een herkenbaar patroon. Ze zijn zich bewust van de risico’s van een te grote afhankelijkheid, maar worstelen met het zetten van concrete stappen. Begrijpelijk ook: het gaat om complexe materie. Bovendien is het vaak lastig om budget vrij te maken voor het verkleinen van risico’s die zich mogelijk zullen voordoen. Tegelijkertijd investeren diezelfde organisaties wel systematisch in andere vormen van risicomanagement: noodaggregaten voor stroomuitval, back-upsystemen voor datauitval, en cybersecurity-maatregelen tegen digitale bedreigingen. Voor leveranciersafhankelijkheid ontbreekt die systematische aanpak vaak. Een praktische aanpak: begin met inventariseren Omdat dit gebrek aan een systematische aanpak tot echte risico’s leidt, is het goed om je te realiseren dat een complete cloud-exit meestal helemaal niet nodig is. Pak om te beginnen de leverancierslijst [Jv1] uit je administratie er eens bij en stel jezelf voor elke leverancier drie vragen: Kritisch proces? Heeft deze leverancier invloed op een bedrijfskritisch proces? En welke schade ontstaat concreet bij uitval? Denk hierbij aan operationele stilstand, forse migratiekosten, compliance-problemen zoals AVG-boetes, of reputatieschade. Directe impact? Kan deze leverancier op korte termijn de dienstverlening beëindigen of drastisch wijzigen? Acceptabel bedrijf? Is het voor jouw organisatie acceptabel om afhankelijk te zijn van dit bedrijf? Dit is een strategische afweging: welke wet- en regelgeving volgen ze? Hoe stabiel zijn ze in financieel en operationeel opzicht? En heeft je organisatie er vertrouwen in dat ze zorgvuldig omgaan met jullie data? Ook geopolitieke overwegingen spelen een rol. In welk land is de leverancier gevestigd, en welke politieke risico’s brengt dat wellicht met zich mee? Van analyse naar actieplan Op basis van de antwoorden is een gericht actieplan op te stellen. Gaat het om een kritisch proces bij een bedrijf dat niet acceptabel is voor jouw organisatie? Dit vraagt om directe actie. Hier zitten jouw grootste risico’s, dus het is verstandig om zo snel mogelijk naar een alternatief te zoeken. Gaat het om een kritisch proces bij een acceptabel bedrijf, maar met mogelijk directe impact? Je hebt minimaal een uitgewerkte exit-strategie nodig. Het bedrijf is weliswaar betrouwbaar, maar snelle veranderingen kunnen direct grote gevolgen hebben. Zorg dat je voorbereid bent op verschillende scenario’s. Betreft het een niet-kritisch proces en/of is er slechts indirecte impact? Je kunt dit risico waarschijnlijk accepteren. Houd de situatie wel in de gaten en evalueer periodiek of de omstandigheden zijn veranderd. Bewuste keuzes maken Het belangrijkste is dat je elke keuze bewust maakt. Misschien concludeer je dat een bepaalde internationale cloudprovider perfect past bij jouw situatie. Je werkt voor een groot bedrijf met goede relaties, de kans op problemen is klein, en je hebt vertrouwen in de stabiliteit. Of je besluit dat bepaalde workloads toch beter in een Nederlandse of Europese private cloud kunnen draaien, met een hybride strategie die het beste van beide werelden combineert. Ook dat is een valide keuze, zolang je maar weet waarom je ervoor kiest. Zeker voor vitale infrastructuur is een hybride strategie vaak de meest verstandige optie om risico’s te spreiden. De eerste stap: weten waar je staat Schaalbaarheid, innovatie en kostenefficiëntie: hyperscalers hebben ons zoals gezegd enorme voordelen gebracht. Die voordelen hoef je niet op te geven. Maar begin wel met inzicht: maak een overzicht van je belangrijkste leveranciers en analyseer systematisch je afhankelijkheden. Want pas als je weet waar je staat, kun je bewuste keuzes maken over waar je naartoe wil. Jochem van Lierop, chief technology officer Conclusion Mission Critical

In dit nieuwsoverzicht: GPUGate nieuwste cybercrimecampagne tegen West-Europa , TTNL en FIELDS groeien door, Noord-Holland investeert in vastgoed-ai, Copilot verbetert productiviteit niet echt, Protons Europese alternatief voor Zoom, Teams, Google Meet in bèta. GPUGate nieuwste cybercrimecampagne tegen West-Europa Het soc van Arctic Wolf heeft een nieuwe, complexe cybercrimecampagne ontdekt, die zich specifiek richt op de it-sector in West-Europa. Deze maakt gebruik van de repositorystructuur van GitHub in combinatie met betaalde plaatsingen op Google Ads om gebruikers naar een kwaadaardige download te lokken die gehost werd op een lookalike-domein. ‘Door een commit-specifieke link in de advertentie te plaatsen, lieten de aanvallers de download lijken alsof deze afkomstig was van een officiële bron, waardoor de gebruikelijke controle van gebruikers effectief werd omzeild,’ zo meldt het bedrijf. ‘De geleverde malware is uniek: de 128 MB Microsoft Software Installer omzeilt de meeste bestaande security sandboxes, terwijl een gpu-gated decryptieroutine de payload versleuteld houdt op systemen zonder een echte gpu. We hebben deze nieuwe aanvalstechniek ‘GPUGate’ genoemd.’ TTNL Group en FIELDS groeien door Het Utrechtse TTNL Group heeft Cisol uit Nieuwegein overgenomen, de service-provider van mission-critical it en managed services voor AIX, Linux, Kubernetes en Openshift. Het is de tweede overname van TTNL in een week. ‘Met een sterke focus op applicatiemodernisatie, migraties en het beheer van bedrijfskritische omgevingen, sluit de expertise naadloos aan,’ aldus de twee. Beide zitten nu in de portefeuille van het Nederlands-Duitse FIELDS, samen met onder andere AIOps en Erik Sterck. De investeerder wil zo voor de Utrechters ‘de positie als leider in de Europese it-industrie verder versterken, zowel via gerichte buy & build-initiatieven als door middel van organische groei-initiatieven.’ Noord-Holland investeert in vastgoed-ai Het Innovatiefonds Noord-Holland heeft 350.000 euro geïnvesteerd in de Haarlemse ai-startup Reavant, zo melden de twee. De nieuweling bouwt ‘ai-agents die de productiviteit van vastgoedteams verhogen bij het managen van assets en portefeuilles. Deze ai-agents werken samen met vastgoedprofessionals en automatiseren complexe workflows die traditioneel veel tijd en middelen kosten.’ De vastgoedsector zou nog altijd veel inefficiencies hebben, met veel handmatige processen, gefragmenteerde data en systemen. De nieuwe oplossing wil ai-agents gebruiken om documenten te analyseren, contractuele verplichtingen te bewaken en inzichten te genereren die helpen om de portefeuilleprestaties te maximaliseren. De investering is een converteerbare lening. Copilot verbetert productiviteit niet echt In het Verenigd Koninkrijk heeft de overheid drie maanden een proef gedaan met Microsofts M365 Copilot, maar die heeft ‘geen merkbare productiviteitswinst opgeleverd’, zo meldt The Register. ‘Sommige taken zijn versneld, maar andere zijn langzamer geworden vanwege een lagere kwaliteit van de output.’ De drie populairste taken waren het transcriberen of samenvatten van een vergadering, het schrijven van een e-mail en het samenvatten van schriftelijke communicatie. Wat opviel is dat ‘de M365 Copilot-gebruikers Excel-data-analyses langzamer voltooiden en met een slechtere kwaliteit en nauwkeurigheid dan niet-gebruikers.’ Verder zei 22 procent hallucinaties te hebben opgemerkt, 43 procent niet en 11 procent wist het niet zeker. Protons Europese alternatief voor Zoom, Teams, Google Meet in bèta Proton is in de testfase met een eigen Meet-versie, zo heeft het bedrijf aan Tweakers gemeld. ‘Proton Meet wordt momenteel in gesloten kring getest. Het is niet bekend hoelang de periode voor deze gesloten bèta gaat duren.’ De aanbieder wil echter nog geen publieke releasedatum delen. Het bedrijf speelt in op de groeiende behoefte aan Europese digitale soevereiniteit.

De overheid heeft grote behoefte aan ict’ers, maar wil externe inhuur terugdringen. Hoe staat dat ervoor bij diensten als Logius, SSC-IT en de Belastingdienst? Onder aanvoering van GroenLinksPvdA maakt de Tweede Kamer zich ernstig zorgen over het ict-werkgeverschap van de overheid. ‘Hoe gaan we ict-kennis opbouwen binnen de overheid als mensen niet eens binnen de overheid in vaste dienst komen?’, vroeg Barbara Kathmann (GroenLinksPvdA) zich onlangs tijdens een Kamerdebat af.  Cyberveiligheid ‘We betalen heel veel geld aan ict-talent, maar slagen er niet in om ze in vaste dienst te nemen. Als onze computers een keer kapot gaan, kan straks niemand ze meer repareren’, aldus Kathmann. Volgens haar maakt een blijvende afhankelijkheid van Big Tech en derde partijen de Nederlandse overheid nog kwetsbaarder. Vooral met het oog op de cyberveiligheid is dat geen prettig vooruitzicht. Kathmann pleit voor een meer centrale aanpak, ook als het gaat om de sturing van inhuur. ‘Dat kunnen we niet zomaar aan al die ministeries overlaten.’ Andere partijen maken zich ook druk over de inhuur. Zo vroeg de PVV zich af hoe het komt dat de externe inhuur van Logius en SSC-ICT niet is afgenomen en wat zij gaan doen om die dit jaar omlaag te krijgen.  Piekbelasting Volgens staatssecretaris Eddie van Marum die bij Binnenlandse Zaken en Koninkrijksrelaties (BZK) digitalisering in zijn portefeuille heeft, is externe inhuur soms noodzakelijk bij moeilijk vervulbare functies of bij piekbelasting. ‘De tekorten doen zich met name voor in domeinen als softwareontwikkeling, informatiebeveiliging, data-analyse, cloudbeheer en digitale architectuur. Ook de behoefte aan projectleiders en functioneel beheerders is groot, met name voor het realiseren van digitaliseringsprojecten bij de uitvoeringsorganisaties. De complexiteit van technologische ontwikkelingen, zoals die van generatieve ai, maakt dat nieuwe specialismen snel opkomen, waarvoor nu nog weinig aanbod is op de arbeidsmarkt.’ Algemene Rekenkamer Cijfers van de Algemene Rekenkamer laten zien hoe groot de afhankelijkheid is van externe inhuur voor ict. De percentages liegen er niet om. Binnen het ministerie van BZK is dat 22%, bij Logius 48%, bij DICTU 52% en bij SSC-ICT 34%. Reden voor Computable om in de cijfers te duiken. Bij een aantal grote agentschappen en ook bij de Belastingdienst en UWV blijkt wel een voorzichtig begin te zijn gemaakt om het percentage externe (it-)medewerkers terug te dringen. Maar gelet op de snelle groei van de personeelsomvang bij veel ministeries kan een licht dalend percentage nog altijd een absolute stijging van het aantal inhuurkrachten betekenen. Logius Logius, ontwikkelaar en beheerder van digitale voorzieningen als DigiD, MijnOverheid, Digipoort en eHerkenning, realiseerde een afname van het deel externe medewerkers van 52% in 2023 naar 48% begin 2025. Deze daling deed zich voor ondanks een toename van de hoeveelheid werkzaamheden.  Het streven is deze trend dit jaar voort te zetten naar 40%. ‘We koersen aan op verdere afname,’ zegt een woordvoerder. Onder meer het tegengaan van schijnzelfstandigheid, conform de strengere handhaving van de wet DBA (Wet Deregulering Beoordeling Arbeidsrelaties), levert resultaat op.  Gevraagd naar de bereidheid onder externen om in vaste dienst te gaan zegt de woordvoerder dat het afgelopen jaar sprake was van een positieve trend. Dit was mede ingegeven door het opdrogen van opdrachten door het handhaven van de wet DBA. ‘Geluiden in de organisatie laten wel horen dat één van de motieven om over stappen naar een vast dienstverband de werksfeer én benutten van vakmanschap is,’ voegt de woordvoerder toe.  Behalve de wet DBA spelen ook de noodzaak van bezuinigingen en de roep om eigen beleid mee. Ook zal Logius de inhuur beperken met het oog op de Roemer-norm die het aantal externen binnen de overheid aan banden legt. ‘Bovendien is vaste dienstbetrekking goedkoper dan inhuur. De wet DBA is een vliegwiel en helpt ons daarbij.’  Daarnaast is het effect te zien van het programma Make IT Work, waar Logius actief aan meedoet. In korte tijd worden kandidaten omgeschoold en ‘on the job’ opgeleid tot it’er. Ook zet Logius stagiairs en trainees in, in het geval van korte, afgebakende opdrachten.  Verder werken de ministeries van BZK en VRO (Volkshuisvesting en Ruimtelijke Ordening) met de aanpak Grip op Inhuur aan het verder terugdringen van de externe inhuur bij de departementen. Onderdeel hiervan is dat Logius een eigen plan opstelt hoe de inzet van externe medewerkers stapsgewijs wordt afgebouwd. SSC-IT Ook SSC-ICT (Shared Service Center ICT), een van de grootste ict-dienstverleners van en voor de Rijksoverheid, zegt het percentage externe inhuur in de afgelopen periode te hebben verminderd. Een verdere afbouw ligt in het verschiet. Ingehuurde zzp’ers die volgens de wet DBA als schijnzelfstandigen worden gezien, hebben de mogelijkheid gekregen om in dienst te treden bij SSC-ICT dan wel bij de leverancier. Dit droeg bij aan het afbouwen van het percentage externe inhuur, in combinatie met het werven van eigen medewerkers. SSC-ICT heeft nu een percentage extern ingehuurden van 27%. Het streven is dit percentage in de komende jaren verder af te bouwen waar mogelijk. SSC-ICT en ook Logius zijn zich ervan bewust dat het aannemen van schaars personeel in vaste dienst vaak om een snelle procedure en maatwerk vraagt. Binnen de overheid duren die sollicitatieprocedures soms langer. Beide organisaties werken aan een versnelling. Belastingdienst De Belastingdienst heeft eveneens afscheid moeten nemen van zzp’ers die waren te kwalificeren als schijnzelfstandigen. In die categorie waren per 1 januari 2024 238 zzp’ers actief waarvan 234 bij de Informatievoorziening-organisatie. Deze schijnzelfstandigen waren alle uiterlijk per 1 januari 2025 uitgestroomd. Externe flexibele arbeidscapaciteit wordt nu alleen ingevuld via uitzendkrachten en detachering. Voor specifieke werkzaamheden buiten dienstbetrekking blijft de inzet van zzp’ers mogelijk. Slechts een beperkt aantal zzp’ers (22 van de 238) die kwalificeerden als schijnzelfstandige, is in vaste dienst gekomen bij de fiscus. UWV UWV meldde eerder een aanwas van voormalige zzp’ers en andere externe krachten met specifieke it-kennis die bij deze uitvoeringsorganisatie in vaste dienst wilden treden. 

De opkomst van kunstmatige intelligentie (AI) wekte hoge verwachtingen in de wereld van softwaretesten. Zelflerende testsuites, automatisch gegenereerde testgevallen en voorspellende kwaliteitsmodellen klonken veelbelovend. Maar inmiddels is het tijd voor een realistische balans. Want hoewel AI op veel gebieden vooruitgang boekt, blijkt de daadwerkelijke impact op het testvak minder dan verwacht. De initiële belofte van AI binnen softwaretesten klonk verleidelijk. Machines die zelf tests genereren op basis van requirements of gebruikersgedrag. Algoritmen die regressietests optimaliseren op basis van risico. AI die onderhoud van testautomatisering grotendeels overbodig maakt. De verwachtingen: minder repetitief werk, snellere feedback en beter risicomanagement. Helaas bleef een fundamentele omslag in het softwaretesten uit. Waar testautomatisering vaak worstelt met onderhoud en stabiliteit, biedt AI zelden een structurele oplossing. De meeste AI-toepassingen in softwaretesten zijn sterk gericht op smalle domeinen: Visuele regressie via beeldvergelijking (zoals bij Applitools of Percy): nuttig, maar eerder een evolutie dan een revolutie. Testprioritering en flaky testdetectie binnen CI/CD: waardevol in de keten, maar weinig invloed op de teststrategie. Automatische updates van locators in UI testautomatisering: lijkt handig, maar kan regressie maskeren. Waarom blijft de impact op het softwaretesten uit? Een belangrijke oorzaak is dat testen meer is dan verificatie. Het is contextgedreven kwaliteitsdenken. Testen bevindt zich op het snijvlak van techniek, businesslogica en risico-inschatting. AI mist voor goede uitvoering het noodzakelijke domeinbegrip. Hierdoor blijft de kloof tussen belofte en praktijk bestaan. Op dit moment biedt AI vooral operationele ondersteuning in specifieke deelgebieden, zoals analyse van grote hoeveelheden logging en monitoringdata en door middel van slimme dashboards die trends in defecten of performance visualiseren. Natural language processing door LLM’s helpt bij requirementsanalyse, opstellen van testgevallen, structureren en opstellen van testrapportages en genereren van testautomatisering. Maar in deze context fungeert AI als assistent, niet als vervanger van de tester. Het verhoogt de efficiëntie, maar neemt zou geen verantwoordelijkheid over moeten nemen. Het is belangrijk dat de mens altijd betrokken blijft om de resultaten te interpreteren en bij te sturen. De werkelijke impact van AI zit niet in het automatiseren van het testvak, maar in het testen van AI zelf. Naarmate systemen vaker AI bevatten, van LLM’s tot voorspellende modellen, groeit de behoefte aan nieuwe testvormen. Traditioneel gaat softwaretesten uit van voorspelbare logica, terwijl AI-modellen patronen leren die vaak niet inzichtelijk of herhaalbaar zijn. Dit vraagt om nieuwe testvormen waarbij samenwerking nodig is met disciplines zoals data science, compliance en ethiek. Enkele voorbeelden van nieuwe testvormen die gebruikt kunnen worden bij het testen van AI zijn: Fairness testing: valideren of een model verschillende groepen juridisch en maatschappelijk eerlijk behandelt. Bias detectie: expliciete technische analyse van onbedoelde vooroordelen in het modelgedrag. Uitlegbaarheidsassessments: controleren of aan een eindgebruiker of toezichthouder uitgelegd kan worden hoe een AI-model werkt. Denk hierbij aan waarom het model een bepaalde beslissing heeft gemaakt, welke inputfactoren hiervoor bepalend waren en in hoeverre de uitleg betrouwbaar en herhaalbaar is. Robustness testing: kijken hoe een model reageert op onjuiste, incomplete of misleidende input. AI heeft het testvak niet overbodig gemaakt, maar dwingt wel tot reflectie en vernieuwing. De hype is er zeker, maar effectieve autonome test agents zijn er niet. In plaats van te wachten op een doorbraak, is het tijd om AI pragmatisch te benaderen: als hulpmiddel, niet als wondermiddel. Testers blijven onmisbaar voor de interpretatie, validatie en ethische beoordeling van softwarekwaliteit, juist als die software steeds slimmer wordt en ontwikkelaars steeds vaker gebruik maken van AI. Maak gebruik van ondersteunende tools, maar controleer de uitkomsten en blijf zelf aan het roer. Testers die nu leren AI-systemen te toetsen, zijn straks onmisbaar bij zowel innovatie als compliance. Auteur: Jeroen Mengerink werkt bij Polteq als testarchitect en trainer. Hij helpt organisaties softwarekwaliteit te verbeteren en is medeontwikkelaar van Quala, een tool die softwarearchitectuur koppelt aan kwaliteitsinformatie. Deze blog verscheen eerder op: https://www.polteq.com/nieuwsberichten/ai-in-softwaretesten-tussen-belofte-en-werkelijkheid/ 

Extra klanteisen hebben hun prijs De miljarden die SAP gaat investeren in de soevereine cloud zullen voor een deel neerslaan in Nederland. Computable sprak Martin Merz, president van SAP Sovereign Cloud, over de diverse smaken aan soevereiniteit. SAP neemt het voortouw bij het aanbod van diensten voor de soevereine cloud. Een investering van 20 miljard euro moet ervoor zorgen dat Europa digitaal onafhankelijker wordt van de VS. De nieuwe SAP Cloud Infrastructure wordt ook gehost vanuit datacenters in Nederland. Een deel van de investeringen die Europa’s grootste softwareleverancier doet in infrastructuur en personeel komt dus rechtstreeks ten goede aan Nederland. De Sovereign Cloud On-Site, de tweede nieuwe loot aan de boom van SAP, komt volgend jaar naar Nederland. Keuzemogelijkheden Diverse ‘smaken’ met ieder een eigen prijskaartje vergroten het aanbod en daarmee de keuzemogelijkheden. Er bestaat op dit gebied geen one-size-fits-all. Reden genoeg om Martin Merz, president van SAP Sovereign Cloud, aan de tand te voelen. Kan SAP volledig tegemoetkomen aan de hoge niveaus van soevereiniteit die de EU-lidstaten verlangen zowel operationeel, technisch en juridisch? Zijn onze data echt 100 procent beschermd tegen de grijpgrage handen van Amerikaanse geheime- en inlichtingendiensten?  Wat zijn de kostenplaatjes van SAP’s eigen cloudplatform (IaaS), gebouwd met open-source technologie en gehost in de datacenters van SAP? En hoe duur is de oplossing waarbij SAP zelf de technische infrastructuur beheert, maar deze wordt ondergebracht in een datacenter dat door de klant zelf wordt gekozen of beheerd? Misverstand Voordat Merz dieper op deze vragen ingaat, wijst hij op een veel voorkomend misverstand. Sommige klanten denken ten onrechte dat alle data straks naar de soevereine cloud moeten. Een aantal bedrijven en instellingen is op dit punt zelfs in paniek. Maar daar is allerminst een reden voor. Merz wist onlangs de directeur van een Berlijnse ijsfabriek gerust te stellen; zijn data hoeven niet naar een extra beveiligde cloud. Anders is het gesteld met overheden, inlichtingendiensten, bedrijven in de kritische infrastructuur en sterk gereguleerde industrieën. Defensie en luchtvaart moeten aan de hoogste eisen voldoen. Onlangs sloot SAP een contract af met de Duitse defensieleverancier Hensoldt. Overheden Voordeel voor SAP is dat het bedrijf al vele jaren ervaring heeft met klanten die heel specifieke eisen stellen, stelt Merz. Bovendien zijn de eisen die de overheden in de verschillende EU-lidstaten stellen, voor pakweg 95 procent identiek. Het Duitse ministerie van Binnenlandse Zaken zal als het om de basis gaat niet veel andere eisen stellen dan BZK in Den Haag. Ook qua certificaten valt het onderscheid mee.  Overheden kunnen zeer ver gaan met de autonomie. Delos Cloud, de extra veilige cloud-oplossing voor de Duitse publieke sector, is helemaal onafhankelijk. Het is een proxy bedrijf dat diensten aanbiedt die volledig voldoen aan lokale wetgeving en helemaal onafhankelijk van SAP opereren. Delos staat onder volledige controle van de Duitse overheid. Delos Cloud is de ultieme vorm van soevereiniteit.  Microsoft 365 Klanten kunnen volgens Merz ook gerust cloud-oplossingen zoals Microsoft 365 draaien op de nieuwe infrastructuur, de uitbreiding van SAP Sovereign Cloud. Hij ziet geen problemen met ‘software dependencies’. Online kantoorsoftware of andere veelgebruikte applicaties blijven gewoon doordraaien. Ook updates en onderhoud vormen geen probleem.  Merz is ook niet bang dat de behoefte aan strikte data-soevereiniteit afbreuk doet aan de vraag naar wereldwijde schaalbaarheid en interoperabiliteit. De jarenlange ervaring met grote multinationale klanten helpt hierbij. Global teams zijn alom vertegenwoordigd. Kosten SAP Cloud Infrastructure en SAP Sovereign Cloud On-Site zijn beslist geen niche-producten, aldus Merz. Er is een duidelijke behoefte aan een soevereine cloud. Bovendien is het een groeimarkt, wat de zware investeringen van SAP rechtvaardigt. Die investeringen moeten uiteraard wel worden terugverdiend. Bijvoorbeeld de hardening, het proces om software zo veilig mogelijk te gebruiken ofwel het verstevigen van systemen, kost geld.  Voor de ondersteuning van het nieuwe aanbod zijn bovendien lokale experts nodig en een breed pakket aan certificeringen. Wereldwijd heeft SAP hier al ruim 2.000 werknemers voor vrijgemaakt. Omdat SAP een omvangrijke internationale organisatie heeft, kan de softwareleverancier in verschillende landen de uitrol door lokale medewerkers laten doen. Hierbij kan worden voortgeborduurd op de huidige werkwijze waarbij technische en operationele medewerkers de handen ineenslaan en geïntegreerde teams vormen. Vaak werkt men al jaren samen. Uiteraard resteren er meerdere factoren die de kosten opdrijven, sterk afhankelijk van de specifieke eisen vanuit de klant. Merz vergelijkt het met de aanschaf van een gepantserde auto die speciaal is ontworpen om bescherming te bieden tegen aanvallen zoals kogels, explosies en fysieke impact. Kogelwerend glas, versterkte deuren en run-flat banden hebben hun prijs.  Soevereiniteitsrace Europa staat zeker niet op achterstand in de mondiale soevereiniteitsrace, stelt Merz. SAP heeft met de roadmap voor Europa aardig wat stappen gemaakt. De toekomst biedt meer regio’s, meer diensten en meer soevereiniteit. De business data cloud zal nog uitgebreider gebruik maken van ai.  Merz concludeert dat in betrekkelijk korte tijd al veel is bereikt. ‘Het meeste werk is al gedaan,’ zo besluit hij. ‘En het grote verschil met de concurrentie op gebied van enterprise software is dat we een ‘full stack’ bieden als het gaat om infrastructuur, platforms en software, terwijl er bovendien nog veel in de pijplijn zit.’ Soevereiniteit en security gaan hand in hand, stelt SAP. Het thema van strategische onafhankelijkheid staat eveneens centraal tijdens Cybersec Netherlands 2025, het evenement dat op 10 en 11 september plaatsvindt in Jaarbeurs Utrecht. Op 11 september zal Frank Breedijk, Chief Information Security Officer bij Schuberg Philis en mede-oprichter van het DIVD CSIRT, tijdens zijn keynote The IT Sovereignty Debate: Is it Bi-polar or on a Spectrum? uitgebreid ingaan op dit onderwerp. Het debat kent verschillende nuances. Zeggenschap over digitale middelen is geen alles-of-niets kwestie — het beweegt zich langs een continuüm, net zoals de mate waarin je bereid bent risico’s te accepteren. Inschrijven voor Cybersec Netherlands Inschrijven kan hier en is gratis.

De ene mega-hack volgt op de andere. De OM-hack was er zo een, vooral om de verstrekkende gevolgen voor de dagelijkse continuïteit van justitie. Wat ging er fout en wat kunnen we ervan leren? Computable sprak erover met cybersecurityspecialist Erik de Jong. Via een kwetsbaarheid in Citrix Netscaler kregen cybercriminelen toegang tot de systemen van het Openbaar Ministerie (OM). Wat er ingezien of gestolen was, was niet direct duidelijk. Maar omdat er sprake was van ongeoorloofde toegang, werd deze OM-hack zo ernstig gevonden, dat alles volledig offline ging. Waarom kon het fout gaan en hoe had het voorkomen kunnen worden? Computable vroeg het aan Erik de Jong, Chief Research Officer bij cybersecuritybedrijf Tesorion. Hoe kwamen ze binnen bij het OM? ‘De backdoor – de vermoedelijk misbruikte kwetsbaarheid – was een herhaalbaar maar onvoorspelbaar geheugenlek. Wat dan af en toe gelekt wordt van de server, dat kan ook een session-cookie zijn. Dus als je dat lek maar vaak genoeg activeert, dan komt er op een gegeven moment een session-cookie terug. Dat betekent dat de hacker dan niet alleen die gelekte data heeft, maar dat vanaf dat moment die session-cookie gebruikt kan worden om zo feitelijk toegang te krijgen, via Citrix NetScaler, tot het hele account dat bij die session-cookie hoort. Zo eenvoudig was het eigenlijk: als je eenmaal weet wat je moet doen om dat geheugenlek te triggeren, is het daarna niet zo moeilijk meer en gewoon een kwestie van vaak proberen en hopen dat je wat nuttigs terugkrijgt.’ Dus de schuld ligt bij Citrix? ‘Op het moment dat je software installeert, dan ga je akkoord met de terms and conditions. En daar staat gewoon in, het is ‘as-is’. Als het dan niet doet wat je wil, tja, dan heb je eigenlijk pech gehad. Daar is uiteraard wel discussie over. Want wanneer is er in welke mate een bepaalde verantwoordelijkheid voor de leverancier? Bijvoorbeeld om te zorgen dat patches er op tijd zijn, of dat die misschien wel automatisch geïnstalleerd kunnen worden. Dat zijn allemaal dingen die beter kunnen. Maar op papier gezien ligt het heel simpel: de verantwoordelijkheid ligt bij de eindgebruiker. Het is ook heel moeilijk als overheid dat te reguleren, want het is onmogelijk om foutloze software te maken. Langzamerhand komen er meer eisen voor leveranciers van hardware en software. Denk aan de Cyber Resilience Act, de Europese verordening die specifiek gericht is op het verbeteren van beveiliging van digitale producten en diensten.’ Had het OM dan beter andere software kunnen gebruiken? ‘Eigenlijk is dat niet de goede vraag. Tuurlijk kan je overstappen naar een concurrent, maar daar kunnen óók kwetsbaarheden in zitten. Dus de vraag die je jezelf moet stellen is: hoe maak ik mijn organisatie weerbaar? Als bestuurder en als beslisser moet je in een omgeving opereren waarin je aandacht besteedt aan wéten wat je hebt, daar begint het mee. Van al die zaken moet je op de hoogte blijven. En jezelf er vragen over stellen, zoals ‘moet ik op risico gebaseerde keuzes maken om patches te installeren’. Als dat als een goed proces draait, dan is de kans dat er wat fout gaat gewoon lager. Het kan nog steeds een keer fout gaan natuurlijk. Dus je moet ook zorgen dat je dat snel merkt en dan in actie komt: probeer zoveel mogelijk te voorkomen, maar monitor ook je infrastructuur. Kortom: preventie, detectie, response. De productkeuze is niet per se het probleem.’ Mensenwerk dus? ‘Precies, wij spreken altijd over ppt: people, process, technology. Eigenlijk geldt: regel je beveiliging onafhankelijk van je technologie. Dat gaat dus veel meer over mens en processen, dan over technologie. Dat is ook waar wij onze klanten over informeren: we proberen uiteraard te voorkomen dat er iets fout gaat, maar er kan altijd íets fout gaan en als dat gebeurt, dan moet je goed optreden. Daar komt weer het weten wat je hebt om de hoek kijken. Want als je niet eens weet wat je hebt, dan kan je daar ook geen beheersing op hebben. Je moet dus in kaart hebben gebracht welke assets je hebt, en uiteraard geldt dat ook voor je ict-leverancier./ Wanneer moet je cybersecurity in-house doen? ‘Voor de meeste organisaties die niet heel groot zijn is uitbesteden van de meeste zaken heel gangbaar, en ook de beste keuze. Die zullen niet in staat zijn om het beheer en de beveiliging van al die systemen zelf te doen, tenzij ze een serieuze ict-organisatie hebben. Het nadeel van uitbesteden is dat men er zelf niet zo veel verstand van heeft en dat men daarom niet zo goed weet of er goed bediend wordt. Dat is best lastig, je kan second opinions vragen natuurlijk. Maar het beste is ervoor te zorgen dat je iets van kennis in huis hebt, zodat je ook kan beoordelen of je een goede dienstverlening krijgt. Verder kan je het goed vergelijken met gewone beveiliging. Een organisatie gaat ook niet even zelf camera’s overal ophangen en zelf surveillanten en een 24/7 meldkamer optuigen. Dat besteed je uit. Ik denk dat je dat pas zelf kan gaan doen vanaf vijf- tot achtduizend man.’ Wat kan een organisatie voor beveiliging het beste intern doen? ‘Bottom line: je moet weten wat je hebt en dat moet je up-to-date houden. Dat is echt één van de belangrijkste maatregelen om te zorgen dat je het risico op een hack verkleint. En daarnaast, dat wat je niet kan tegenhouden, dat moet je gaan zien in je infrastructuur. Dus als beslisser moet je daarover nadenken: investeer ik voldoende in preventie, maar investeer ik ook in detectie en reageren. Als die een beetje in balans zijn, dan is je organisatie al een stuk weerbaarder. Want zolang je bedrijf aan internet hangt, blijft een hack een risico dat je elke dag kan overkomen. Alleen is dat iets wat toch vaak een beetje wegzakt in de operatie, omdat er gelukkig bij de meeste bedrijven niet vaak wat fout gaat. Het gevaar is dat je daar een beetje laks van wordt. Wat dat betreft is goed om dit op het bureau van de cfo of de risk officer te leggen, die snappen risico. Als je het bij de ict-afdeling legt, dan zie je te vaak dat men bij het kiezen tussen nu die patch doen, of al die andere dingen waar direct merkbaar effect van te zien is, men voor dat tweede kiest.’ De nieuwste ontwikkelingen op cybersecurity gebied komen aan de orde op de Cybersec Netherlands beurs. Het event vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.