De vragen en zorgen in de Tweede Kamer over de Amerikaanse overname van Solvinity, een leverancier die diensten levert rondom DigiD, maken één ding heel zichtbaar: onze digitale ketens zijn kwetsbaar op momenten dat er iets verandert buiten ons zicht. Een overname is zo’n verandering. Vandaag heb je afspraken, morgen is er een nieuwe eigenaar, een andere governance-structuur en mogelijk een andere juridische context. Dan komen bestuurlijke vragen razendsnel op tafel: wie kan er bij de data, welke wetgeving is van toepassing, wie draagt verantwoordelijkheid en wat gebeurt er als de dienstverlening verandert of tijdelijk uitvalt?
Voor organisaties die leunen op cloud- en IT-diensten is dit geen “overheidsding”. Het is een herkenbaar scenario dat in elke sector kan gebeuren: zorg, industrie, finance, retail, logistiek. Juist daarom is volwassen leveranciersrisicobeheer niet langer een nice-to-have maar een randvoorwaarde voor continuïteit, zeker nu NIS2 de ketenverantwoordelijkheid explicieter maakt.
Waarom deze casus zo gevoelig is
Solvinity levert diensten voor DigiD en andere overheidssystemen. Als een partij met een rol in zo’n kritieke digitale keten wordt overgenomen door een buitenlands bedrijf, verschuift er meer dan alleen een aandeelhoudersregister. In de praktijk kunnen er nieuwe risico’s ontstaan, bijvoorbeeld doordat:
- Jurisdictie verandert: een andere “thuisbasis” kan andere wettelijke mogelijkheden creëren rond toegang, toezicht of data-vorderingen.
- Security en governance opnieuw worden ingericht: processen, prioriteiten en verantwoordelijkheden kunnen veranderen, ook al blijft het contract hetzelfde.
- Continuïteit en afhankelijkheid anders gaan voelen: strategische keuzes (investeringen, consolidatie, verplaatsing van diensten) kunnen de leveringszekerheid beïnvloeden.
De kern is niet dat een buitenlandse eigenaar per definitie “fout” is. De kern is dat eigendomswijzigingen het risicoprofiel kunnen veranderen, vaak sneller dan je organisatie gewend is te beoordelen.
Een wake-upcall voor ondernemers en CISO’s
Het digitale landschap van organisaties groeit al jaren hard: cloudplatformen, SaaS, facturatie- en HR-systemen, data-integraties, AI-tools. Wat ooit een overzichtelijke leverancierslijst was, is inmiddels een ecosysteem met tientallen tot soms honderden partijen—direct en indirect. Daarmee groeit ook de kans dat je afhankelijk bent van een leverancier die jij niet eens als “kritiek” hebt bestempeld, terwijl een uitval wél direct impact heeft op bedrijfsvoering of klantprocessen.
Daarom schuift dit onderwerp ook steeds vaker naar de directietafel. Niet alleen vanwege incidenten, maar ook door vragen rond digitale soevereiniteit, exit-mogelijkheden en “wat als”-scenario’s. Wie alleen naar losse puzzelstukjes kijkt, zoals contracten, certificaten, een auditrapport, een periodieke scan, mist vaak het totaalbeeld: welke partijen hangen samen, waar zitten concentratierisico’s en welke verandering in de keten raakt jou als eerste?
Wat NIS2 vraagt van supply-chain risicobeheer
NIS2 vraagt in de praktijk niet om méér papier, maar om aantoonbare grip op risico’s in en via je keten. Dat betekent onder andere dat je:
- kritieke leveranciers en afhankelijkheden identificeert (wie is essentieel en waarom),
- passende beveiligingseisen doorvoert (niet alleen intern, maar ook richting ketenpartners),
- leveranciersrisicobeheer structureel organiseert (rollen, processen, besluitvorming),
- en wijzigingen en signalen sneller oppikt, zoals incidenten, verslechterende cyberhygiëne of eigendomswijzigingen.
De les uit de DigiD-casus is vooral hoe onverwacht zulke wijzigingen kunnen plaatsvinden en hoe snel de impact bestuurlijk en operationeel relevant wordt.
Scenario uit de praktijk: je leverancier wordt “overnight” verkocht
Stel: één van je kritieke IT-leveranciers, bijvoorbeeld je managed service provider, je identity-platform of je kern-SaaS, wordt plots overgenomen door een buitenlandse partij. Binnen enkele uren kunnen risico’s toenemen of in elk geval opnieuw beoordeeld moeten worden. Denk aan: data die mogelijk onder andere wetgeving valt, security-afspraken die opnieuw geïnterpreteerd worden, en onzekerheid over governance of continuïteit als er reorganisaties of strategiewijzigingen volgen.
Zonder actief leveranciersrisicobeheer hoor je dit vaak pas als het nieuws het meldt, of als iemand intern toevallig een persbericht ziet. Dan ben je reactief, en dat is precies waar je niet wilt zijn. Een effectieve aanpak betekent dat je snel signalen opvangt, meteen begrijpt wat de potentiële impact is, en heldere rapportages hebt voor bestuur, security en compliance. Niet om in paniek te raken, maar om rustig en feitelijk te kunnen besluiten: moeten we hercontracteren, aanvullende eisen stellen, extra monitoring inzetten of een exit-route activeren?
Hoe RiskStudio hierbij kan ondersteunen
1) Overzicht van je digitale ecosysteem
RiskStudio helpt organisaties om het volledige digitale ecosysteem zichtbaar te maken: bedrijven, producten, afhankelijkheden en ook de “schaduwlaag” achter leveranciers. Daarmee wordt concreet wie er echt toegang kan hebben tot data en systemen, welke technologie- en cloudproviders er achter een dienst zitten, en hoe afhankelijkheden door je organisatie lopen. Ook eigendomsstructuren en jurisdictie worden inzichtelijk: welke wet- en regelgeving kan relevant zijn en welke moederbedrijven spelen een rol. Je ziet dus niet alleen de losse leveranciers, maar het geheel—en juist dat is nodig om ketenrisico’s goed te begrijpen.
2) Eerder geïnformeerd bij incidenten en signalen
RiskStudio koppelt cyber intelligence aan jouw leverancierslandschap. Alerts over datalekken, kwetsbaarheden of verslechterende security-signalen worden gelinkt aan de relevante organisaties, zodat je direct ziet: welke leverancier speelt hier, en waar kan het jou raken? Daarmee kun je prioriteren: eerst ingrijpen waar het er echt toe doet. Dit verschuift je houding van “reageren als het misgaat” naar “vroeg zien en gericht handelen”—juist belangrijk bij incidenten én bij veranderingen zoals overnames.
3) Risicogebaseerd samenwerken richting NIS2, DORA en ISO 27001
Wetgeving en normen vragen om een gestructureerde, risicogebaseerde aanpak. RiskStudio ondersteunt dat met risicoprofielen per leverancier, rapportages voor bestuur, auditors en compliance, en samenwerking tussen afdelingen. Teams kunnen afhankelijkheden delen, signalen melden en dezelfde feiten gebruiken. Daarmee wordt leveranciersrisico iets wat je samen bestuurt, in plaats van een onderwerp dat alleen bij security of inkoop ligt en vooral “op awareness” drijft.
Conclusie
De DigiD/Solvinity-casus laat zien hoe snel supply-chain risico’s kunnen ontstaan als eigenaarschap en context veranderen. Zonder overzicht en actuele signalering is sturen lastig: je ontdekt veranderingen te laat, mist impactanalyse en verliest kostbare tijd in besluitvorming. Met een aanpak die ketenoverzicht combineert met continue intelligence kun je rustiger en sneller handelen—en met meer vertrouwen toewerken naar NIS2.
Praktische tip: begin klein maar effectief. Pak je top 20 meest kritieke leveranciers en breng per leverancier hun digitale footprint, belangrijkste afhankelijkheden en eigendomsstructuur in kaart. Bouw vandaaruit door, zodat een volgende “overnight change” geen verrassing meer is, maar een scenario dat je beheerst.
