De digitalisering van de financiële sector maakt banken, verzekeraars en pensioenfondsen steeds afhankelijker van een kleine groep externe IT-leveranciers. Dat vergroot de risico’s voor stabiliteit, privacy en autonomie, waarschuwen auteurs Melanie Lohuis en Hans Brits van DNB en AFM in een nieuw rapport.
Volgens Lohuis draait de financiële sector “volledig op informatietechnologie.” Vrijwel alle processen – van klantcontacten tot risicomanagement – zijn uitbesteed aan externe IT-dienstverleners en cloudaanbieders. “Die afhankelijkheid is de afgelopen jaren toegenomen. IT-diensten nemen ze veelal af bij dezelfde, kleine groep aanbieders. Dat betekent ook dat een storing of incident bij één grote leverancier direct gevolgen kan hebben voor een groot deel van de financiële sector,” aldus Lohuis.
Het geopolitieke klimaat versterkt deze kwetsbaarheid, vult Brits aan: “De belangrijkste techbedrijven zijn veelal niet-Europees, en dat vergroot de kwetsbaarheid van de instellingen die van ze afhankelijk zijn. Het is niet ondenkbaar dat een niet-Europees staatshoofd die digitale afhankelijkheid inzet als drukmiddel.”
Afhankelijkheid van één leverancier werkt zogeheten ‘vendor lock-in’ in de hand. “Hoe meer je uitbesteedt aan één leverancier, des te groter het risico dat je daar niet meer weg kunt,” waarschuwt Brits. Ook waarschuwen de auteurs voor lange, ondoorzichtige ketens van onderaannemers, waardoor het overzicht op risico’s en kwetsbaarheden snel verloren kan gaan.
De risico’s raken direct de consument. Lohuis: “Als er een storing bij een grote IT-leverancier optreedt, kan dat betekenen dat je tijdelijk geen toegang meer hebt tot je bankrekening of dat je geen betalingen meer kunt doen.” Bovendien bestaat het risico dat autoriteiten in andere landen toegang krijgen tot persoonlijke gegevens. “Jij en ik moeten erop kunnen vertrouwen dat onze gegevens veilig zijn,” aldus Brits.
Banken en verzekeraars nemen maatregelen zoals exitstrategieën, continuïteitsplannen en containerisatie, zodat data makkelijker tussen leveranciers kan worden verplaatst. Grote cloudleveranciers bieden steeds vaker een ‘soevereine cloud’ aan, waarbij data en beheer onder Europese regels vallen en instellingen zelf encryptiesleutels beheren. “Maar zolang instellingen afhankelijk blijven van een handjevol IT-dienstverleners op andere continenten, blijven de risico's bestaan,” stelt Brits.
Op korte termijn draait het om voorbereiding en samenwerking. “Het gebruik van open standaarden voor software, containerisatie en het hebben van meerdere leveranciers kan helpen om de afhankelijkheid te verkleinen, al zijn deze oplossingen niet altijd eenvoudig of goedkoop,” zegt Lohuis. De uiteindelijke oplossing vraagt volgens de auteurs om strategische investeringen in een sterke Europese techsector en nieuwe regelgeving: “Alleen zo kunnen we onze afhankelijkheid van niet-Europese aanbieders verkleinen en onze digitale weerbaarheid vergroten,” aldus Brits.
De nieuwe Europese Digital Operational Resilience Act (DORA) verplicht financiële instellingen om hun afhankelijkheidsrisico’s te beheersen en stelt eisen aan contracten, exitstrategieën en toezicht op kritieke leveranciers. Toch erkent DNB dat regelgeving alleen onvoldoende is. “Er blijven kwetsbaarheden bestaan, bijvoorbeeld rond concentratie en de eerdergenoemde geopolitieke spanningen,” aldus Brits.
De boodschap is helder. Lohuis: “Blijf alert, werk samen en investeer in weerbaarheid. Digitale afhankelijkheid is een complex en grensoverschrijdend vraagstuk dat vraagt om gezamenlijke oplossingen.” Brits voegt toe: “Kijk verder dan de korte termijn. Alleen door nu te investeren in innovatie en Europese samenwerking, kunnen we de financiële sector minder kwetsbaar maken.”
