De soevereine overheidscloud komt eraan - dit betekent het voor uw BIO2-compliance
Het nieuwe kabinet heeft een helder signaal afgegeven: de Nederlandse overheid gaat op eigen benen staan in de cloud. Staatssecretaris Eric van der Burg (JenV) stuurde gisteren een Kamerbrief naar de Tweede Kamer met de uitkomsten van de verkenning naar een soevereine overheidscloud. De conclusie: het kan, en het gaat gebeuren.
De cijfers liegen er niet om. Niet-Europese aanbieders hebben 70% van de Europese cloudmarkt in handen. In een veranderende geopolitieke context is dat geen marktgegeven, dat is een nationaal veiligheidsrisico. Het kabinet trekt daar nu consequenties uit.
Wat er concreet gebeurt
De verkenning is uitgevoerd door het NDS-uitvoeringsprogramma Cloud, onder de Nederlandse Digitaliseringsstrategie. De belangrijkste punten:
- Locatie: De soevereine cloud wordt bij voorkeur ingericht in bestaande Overheidsdatacenters (ODC's) van de Rijksoverheid. Geen AWS, Azure of Google Cloud, eigen infrastructuur onder eigen controle.
- Draagvlak: Gesprekken met 69 marktpartijen bevestigen dat er in Nederland voldoende kennis en menskracht is om dit uit te voeren.
- Proof of Concept: Loopt nu in een testomgeving. Resultaten worden eind 2026 met de Kamer gedeeld.
- Openbaar ontwerp: Het cloudontwerp wordt binnenkort openbaar gemaakt, zodat andere organisaties kunnen meedenken en later aansluiten.
- Rolverdeling: Na de zomer wordt uitgewerkt welke partijen (markt vs. overheid) welke rol krijgen bij realisatie.
- Herzien Rijksbreed Cloudbeleid: Wordt binnenkort naar de Kamer verzonden.
Dit is geen vrijblijvende verkenning. Dit is een beleidsrichting met een concrete tijdlijn.
De BIO2-implicaties: van 'cloud-first' naar 'soeverein-by-default'
Voor CISO's en CIO's bij de Rijksoverheid, gemeenten, ZBO's en uitvoeringsorganisaties heeft dit directe consequenties. De BIO2-baseline stelt eisen aan clouddiensten, maar die eisen zijn geschreven voor een wereld waarin je kiest tussen AWS, Azure en Google Cloud. Een eigen soevereine cloud verandert die calculus fundamenteel.
| BIO2-maatregel | Huidige situatie (commerciële cloud) | Soevereine cloud |
|---|---|---|
| B07 Clouddiensten | Afhankelijk van vendor SOC2/ISO-certificeringen | Volledige controle over logging, encryptie, toegangsbeheer |
| B08 Toegangsbeveiliging | IAM afhankelijk van vendor-implementatie | Eigen IAM-infrastructuur onder Nederlandse jurisdictie |
| B09 Cryptografie | Key management bij vendor of third-party HSM | Sovereign key management in eigen datacenter |
| B10 Logging en monitoring | Vendor-logs, vaak beperkt inzicht | Volledige audit trail op alle lagen |
| B11 Leveranciersmanagement | Complexe gedeelde verantwoordelijkheid | Directe controle, geen extraterritoriale risico's |
De grootste winst zit in B11 Leveranciersmanagement. In een commerciële cloud deel je de verantwoordelijkheid met een Amerikaans bedrijf dat onder de CLOUD Act valt. De Amerikaanse overheid kan, onder FISA 702, data opvorderen die bij een Amerikaanse cloudprovider staat, ongeacht in welk land de servers fysiek staan. In een soevereine overheidscloud onder Nederlandse jurisdictie verdwijnt dat risico.
NIS2: minder afhankelijkheid, betere incidentrespons
De Cyberbeveiligingswet (NIS2-implementatie) verplicht vitale en belangrijke entiteiten tot:
-
Toeleveringsketenrisicobeheer, Je moet de risico's van je ICT-leveranciers kennen en beheersen. Een eigen cloud elimineert het grootste concentratierisico: afhankelijkheid van drie Amerikaanse hyperscalers.
-
Incidentrespons, Bij een security-incident in een commerciële cloud ben je afhankelijk van de vendor voor forensisch onderzoek. In een eigen cloud heb je volledige regie over incidentrespons en forensische data.
-
Rapportageverplichtingen, NIS2 vereist melding van significante incidenten binnen 24 uur. Met eigen infrastructuur heb je direct toegang tot alle logs en kun je sneller en completer rapporteren.
Wat CISO's nu moeten doen
De soevereine cloud is er nog niet, het Proof of Concept loopt, resultaten eind 2026. Maar de beleidsrichting is helder. Dit zijn de vijf acties die u vandaag kunt nemen:
-
Inventariseer uw cloud-footprint. Welke workloads draaien bij niet-Europese aanbieders? Welke data staat waar? Dit is de basis voor elke migratiestrategie.
-
Herzie uw BIO2-cloudverklaring. De huidige verklaring gaat uit van commerciële clouddiensten. Voeg een scenario toe voor migratie naar een soevereine cloud, dit toont aan dat u anticipeert op beleidswijzigingen.
-
Classificeer workloads op soevereiniteitsgevoeligheid. Niet alles hoeft morgen naar een soevereine cloud. Burgerservicenummers en staatsgeheimen wel. Een heldere classificatie voorkomt dat u straks alles tegelijk moet migreren.
-
Volg het openbare cloudontwerp. Het ontwerp wordt binnenkort openbaar. Door vroeg aan te haken, kunt u de architectuur beïnvloeden en uw eigen migratiepad uitstippelen.
-
Bereid uw leveranciers voor. Als u SaaS-oplossingen afneemt die op niet-Europese clouds draaien, moeten die leveranciers mee in de migratie. Begin nu het gesprek.
De soevereine overheidscloud is geen technologisch project, het is een governance-verschuiving. De vraag is niet óf u gaat migreren, maar wanneer en hoe gecontroleerd.
Bron: Kamerbrief Verkenning Soevereine Overheidscloud, staatssecretaris Eric van der Burg (JenV), 2 juli 2026. digitaleoverheid.nl
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.