Soevereiniteit van een organisatie ontwikkelt zich in rap tempo van een abstract begrip naar een strategisch thema dat zich bevindt op het snijvlak van governance, risicomanagement en digitale autonomie. Geopolitieke onzekerheid, strengere EU-regelgeving en groeiende afhankelijkheid van niet-Europese cloudproviders zet de weerbaarheid van bedrijfsprocessen op losse schroeven. We spreken Marcel Blommestijn, Partner Sourcing Advisory bij Eraneos, over de huidige marktbeweging en de praktische implicaties voor bestuurders en managers.
Weerbaarheid staat hoog op de agenda door geopolitieke spanningen
“De afhankelijkheid van niet-Europese technologiepartijen is groot. Door geopolitieke spanningen, waaronder de oorlog in Oekraïne en de ontwikkelingen rondom de VS, wordt steeds meer duidelijk welke risico’s die afhankelijkheid met zich meebrengt. Organisaties worden zich steeds bewuster van hun kwetsbaarheid. Via wetgeving, zoals de Data Act, NIS2 en DORA, wordt in Europa in toenemende mate ingezet op digitale autonomie, veerkracht en zeggenschap over data.”
“Onze research partner Whitelane voerde een onderzoek uit onder ruim 300 organisaties in Noord-Europa, waaruit bleek dat tweederde soevereiniteit als strategische prioriteit ziet. De urgentie is het hoogst in de publieke sector (85%) en de financiële sector (75%), doordat dit de sectoren zijn waar maatschappelijke verantwoordelijkheid en strikte regelgeving samenkomen.”
Nieuwe cloudinitiatieven in de EU
“De vraag naar soevereiniteit komt met name naar voren bij organisaties die in meer of mindere mate gebruikmaken van infrastructuur uit de cloud. Deze organisaties zijn actief op zoek naar manieren om minder afhankelijk te zijn van Amerikaanse hyperscalers. De realiteit is dat Europese alternatieven nog volop in ontwikkeling zijn, waardoor het aanbod beperkt is. Als ze er wel zijn, dan zijn ze vaak veel duurder of minder volwassen op het gebied van functionaliteiten.”
“De leveranciersmarkt herkent ook het beperkte aanbod. De toenemende vraag op het gebied van soevereine IT-dienstverlening zorgt voor nieuwe initiatieven in Europa. Daarnaast krijgen bestaande initiatieven een boost, zoals STACKIT, een Europees cloudaanbod dat voortkomt uit de IT-organisatie van Lidl óf IAAS/PAAS dienstverlening bij de bestaande leveranciers binnen de EU. Ook investeren Europese SaaS-leveranciers fors in soevereine cloudcapaciteit, om competitieve alternatieven ter beschikking te stellen voor de Europese markt. De Amerikaanse leveranciers zitten uiteraard ook niet stil; de US hyperscalers onderzoeken hoe zij Europese entiteiten kunnen opzetten die voldoen aan de strengere soevereiniteitseisen, door ownership separation en sovereign key management te introduceren. Het leveranciersspeelveld is dus volop in beweging en het is op dit moment nog niet duidelijk hoe dit uiteindelijk gaat uitwerken.”
Voorbereiden op een cloud transitie: “no regrets” stappenplan
Dit whitepaper biedt een praktisch stappenplan voor een succesvolle cloudtransitie. In vijf heldere stappen worden strategie, risico’s en governance behandeld.
De grootste uitdagingen voor organisaties in een onvolwassen markt
“Organisaties moeten nu keuzes maken in een onvolwassen markt, waarin de opties beperkt en kostbaarder zijn. Europese alternatieven hanteren op dit moment nog hogere tarieven en als je overgaat naar een andere IT-leverancier moet een organisatie ook nog een kostbare transitie uitvoeren, terwijl de schaalbaarheid en functionaliteiten doorgaans nog niet het niveau van de grote hyperscalers hebben.”
“De huidige markt maakt het ook vrijwel onmogelijk om op korte termijn 100% soeverein te worden. Wellicht is volledige soevereiniteit ook niet noodzakelijk en kan worden volstaan met een focus op de gevoeligste bedrijfsprocessen. Dit vergt gerichte stappen en een langetermijnvisie. Het weerbaar maken van een organisatie vraagt om een zorgvuldig opgebouwd traject en het begint met het creëren van een helder beeld wat soevereiniteit betekent voor een organisatie.”
“Het EU Cloud Sovereignty Framework kan hierbij helpen. Dit framework heeft verschillende ‘seal levels’ geïntroduceerd om de mate van soevereiniteit te herkennen, inclusief heldere standaarden en definities, zodat het organisaties en leveranciers een gedeeld begrippenkader geeft om op te sturen. Ter illustratie: seal 0 staat voor volledige niet-Europese controle en seal 4 is het hoogste niveau, dat aangeeft dat er volledige Europese controle is bereikt. Aan de hand van dit framework kan per bedrijfsproces/applicatie een soevereiniteitsambitie worden bepaald.”
De impact van het EU Cloud Sovereignty Framework
“Hoe maken organisaties zichzelf soeverein? Het start met het uitvoeren van een nulmeting. Door in kaart te brengen welke bedrijfsprocessen daadwerkelijk een soevereniteitscomponent nodig hebben, want lang niet alles heeft dezelfde mate van bescherming of autonomie nodig. Als er is vastgesteld welke processen kritiek zijn, dan is het zaak om de risico’s te koppelen aan de onderliggende applicaties en platformen, zodat er helder wordt waar de afhankelijkheden bestaan of ontstaan. Vanuit dat inzicht is het mogelijk om te bepalen welk seal-niveau wenselijk én realistisch is. Het EU Cloud Sovereignty Framework helpt hierbij, omdat het een gemeenschappelijk referentiekader biedt om ambities en wettelijke vereisten te definiëren.”
“Als de inventarisatie en doelen vaststaan, dan is het aan de organisatie om de richting te bepalen en voorbereidingen te treffen, mensen en middelen vrij te maken, die nodig zijn om de gekozen koers te varen. Vanaf hier ontstaat er een constante feedbackloop, waarbij er in een snel ontwikkelende markt periodieke monitoring plaatsvindt om te beoordelen of de soevereiniteitsdoelen daadwerkelijk worden behaald en welke nieuwe alternatieven de markt aanbiedt. Daarbij worden toezichthouders ook actiever op dit vlak, want AFM heeft al aangekondigd nadrukkelijker navraag te doen naar de weerbaarheid binnen de financiële sector. Dit onderstreept dat organisaties proactiever moeten handelen en dat het beter is om niet af te wachten tot verplichtingen zwart-op-wit staan.”
De rol van inkoop van IT- dienstverlening bij cloudsoevereiniteit
“Steeds meer organisaties nemen soevereiniteitscriteria op in hun RFP’s, zoals de vereiste seal-levels, soeverein key management en operationele autonomie. De EU organisatie zelf neemt hierin al het voortouw; in recente tenders vragen zij expliciet of leveranciers aan bepaalde sovereiniteitsniveaus voldoen en dat zorgt op de markt wel voor een de facto standaard.”
Wat is jouw advies aan organisaties die hiermee aan de slag willen?
“Begin met helderheid creëren. Soevereiniteit is geen IT-vraagstuk, maar een strategische keuze op het gebied van onafhankelijkheid, weerbaarheid, risico’s en governance. Door duidelijk te definiëren welke processen kritisch zijn, welke ambities er bestaan en welke soevereine alternatieven er zijn in de markt, ontstaat er een toekomstbestendige strategie. Het is een traject dat tijd en energie vraagt. Organisaties moeten expertise op het vlak van techniek en bedrijfsprocessen bij elkaar brengen om de mate van soevereiniteit te beoordelen én op de juiste manier te anticiperen. Expertise die vaak nu nog ontbreekt in een organisatie, maar organisaties die nu stappen zetten, bouwen aan weerbaarheid, veerkracht en wendbaarheid op de lange termijn.”
Wil je weten wat cloudsoevereiniteit concreet betekent voor je sourcingstrategie, kritieke processen en contracten met hyperscalers? De specialisten van Eraneos denken graag met je mee. Neem nu contact met ons op.
