Publicatie RDI over toezicht op gebruik van clouddiensten

Digitale soevereiniteit en autonomie is een actueel thema in Europa en in Nederland. Op 23 april 2026 heeft de Rijksinspectie Digitale Infrastructuur (RDI) een paper gepubliceerd waarin op hoofdlijnen duidelijk wordt wat de RDI verwacht van organisaties die vallen onder de aankomende Cyberbeveiligingswet (Cbw) en gebruik maken van clouddiensten.

De RDI roept organisaties in op om in te zetten op het krijgen van grip op de afhankelijkheden en risico’s en daarmee digitaal weerbaar te worden. Dit sluit aan bij de Cyberbeveiligingswet (Cbw), die focust op het daadwerkelijk zicht hebben op je digitale afhankelijkheden, of risico’s in beeld zijn en of je zelf in control bent over je data en processen. De RDI gaat toezicht houden op de Cbw en stelt in het bijzonder drie fundamentele eisen aan gebruikers van clouddiensten:

• Risicoanalyse en beveiliging van informatiesystemen - Begrijp en documenteer je afhankelijkheden van de clouddienst
  De RDI ziet erop toe dat organisaties de risico’s van hun cloudkeuze kennen, dat ze weten hoe deze de continuïteit van hun bedrijfsvoering eventueel kunnen beïnvloeden en dat er strategieën zijn voorbereid voor onverhoopte incidenten.
• Beveiliging van de toeleveranciersketen - Beheers afhankelijkheden van leveranciers via exit-strategieën en contracten en houdt zicht op de naleving van deze contracten
  De RDI beoordeelt in haar toezicht of een organisatie daadwerkelijk regie uitoefent op zijn afhankelijkheden in zijn cloudketen en of deze regie aantoonbaar is via contracten, audits, certificeringen en technische maatregelen.
• Effectiviteit van beleid en procedures - Zorg dat maatregelen ook echt werken
  De RDI onderzoekt of organisaties aantoonbaar goede criteria hanteren bij het selecteren van hun cloudleverancier en of ze ook daadwerkelijk en periodiek hun cloudleveranciers evalueren, incidenten goed afhandelen en concrete exit-strategieën hebben.

Lees meer hierover in het nieuwsbericht of de publicatie van de RDI.