Overheid houdt vanaf 2026 proactief toezicht op cloudproviders

In dit artikel:

Vanaf de tweede helft van 2026 valt toezicht op cloudserviceproviders onder de Rijksinspectie Digitale Infrastructuur (RDI), onderdeel van het Ministerie van Economische Zaken, doordat de Cyberbeveiligingswet dan volledig van kracht wordt. Dat betekent een verschuiving van reactief ingrijpen naar proactief toezicht: de RDI gaat niet meer alleen reageren op incidenten, maar vooraf risicobeoordelingen en genomen maatregelen toetsen en in gesprek met providers.

Cloudleveranciers krijgen uitgebreide plichten: ze moeten risico’s systematisch in kaart brengen, passende maatregelen doorvoeren en continu beheer voeren; het bestuur moet expliciet resterende restrisico’s accepteren. Inspectie richt zich nadrukkelijk niet alleen op techniek maar ook op governance en bestuursniveau-verantwoordelijkheid.

Een centraal nieuw element is ketenverantwoordelijkheid. Providers moeten bij de selectie en monitoring van leveranciers due diligence toepassen op cybersecurity, omdat een zwakke schakel de hele keten kan ondermijnen. Tegelijk hebben zij een ondersteunende verplichting richting gebruikers: klanten helpen grip te houden op data en applicaties, vooral wanneer ook de gebruiker onder dezelfde wetgeving valt — dan ontstaat gedeelde verantwoordelijkheid.

De aanpassing volgt op groeiende afhankelijkheid van clouddiensten en toenemende cyberdreigingen; storingen bij grote providers kunnen hele sectoren lamleggen. De maatregel sluit aan bij bredere Europese initiatieven om digitale weerbaarheid te versterken.