De Europese Commissie werkt aan plannen om apparatuur van Chinese leveranciers, zoals Huawei en ZTE, te weren uit kritieke netwerken binnen de EU volgens een Financial Times artikel. Aanleiding zijn toenemende zorgen over cybersecurity, geopolitieke afhankelijkheden en digitale soevereiniteit. Wat eerst vooral een discussie was voor telecomoperators en overheden, raakt nu ook steeds meer bedrijven die afhankelijk zijn van complexe (digitale) ketens.
De vraag die steeds vaker opkomt: weet je eigenlijk wel waar je technologie, producten en diensten vandaan komen? En misschien nog belangrijker: weet je welke risico’s daar aan vastzitten?
Wat is het voornemen van de Europese Commissie?
De Europese Commissie wil lidstaten verplichten om leveranciers die als ‘hoog risico’ worden gezien, te weren uit kritieke infrastructuur. In de praktijk gaat het vooral om Chinese technologie in onder andere telecom- en 5G‑netwerken, vitale IT‑systemen en andere sectoren die cruciaal zijn voor de samenleving.
Tot nu toe waren EU‑richtlijnen vooral adviserend. In de nieuwe plannen worden deze juridisch bindend, met duidelijke termijnen voor het uitfaseren van bepaalde leveranciers. Dit past binnen een bredere strategie rond cybersecurity, strategische autonomie en het verminderen van afhankelijkheden van niet‑EU landen.
Waarom dit niet alleen een telecomverhaal is
Hoewel het nieuws zich vooral richt op kritieke netwerken, reikt de impact veel verder dan telecom en vitale infrastructuur. Vrijwel elk bedrijf is vandaag de dag afhankelijk van externe hardware- en softwareleveranciers, cloud- en IT-dienstverleners en ketenpartners die op hun beurt weer andere technologieën gebruiken. Daardoor ontstaat een lange en vaak ondoorzichtige supply chain, waarin herkomst, afhankelijkheden en risico’s niet altijd duidelijk zichtbaar zijn.
Juist in zo’n complexe keten kunnen risico’s zich ongemerkt opstapelen. Wat vandaag nog is toegestaan, kan morgen onder nieuwe wetgeving of beleidsmaatregelen vallen. Organisaties die geen goed inzicht hebben in hun leveranciers en technologie lopen dan het risico om vooral reactief te moeten handelen, met hoge vervangingskosten, compliance-problemen en mogelijke reputatieschade als gevolg.
Het voornemen van de EU is daarmee vooral een wake‑up call: organisaties moeten beter begrijpen waar hun digitale en technologische afhankelijkheden liggen.
Van ‘waar koop ik in?’ naar ‘welk risico koop ik in?’
Enerzijds vraagt deze ontwikkeling om een ander soort inzicht, anderzijds om een andere manier van handelen. De centrale vraag verschuift van ‘waar koop ik in?’ naar ‘welk risico koop ik in?’. Waar leveranciers vroeger vooral werden beoordeeld op prijs, kwaliteit en continuïteit, spelen vandaag ook geopolitieke en cybersecurity-aspecten een steeds grotere rol. Organisaties moeten begrijpen in welk land een leverancier opereert, aan welke wet- en regelgeving die partij is onderworpen en welke risico’s dat met zich meebrengt.
Daarnaast gaat het niet alleen om de directe leverancier, maar ook om wat daarachter schuilgaat. Welke incidenten of kwetsbaarheden hebben zich voorgedaan? En welke schaduwleveranciers maken deel uit van dezelfde keten? Deze vragen laten zich niet beantwoorden met een eenmalige inventarisatie. Ze vragen om structureel en actueel inzicht, zodat risico’s continu kunnen worden gevolgd en meegenomen in beslissingen over inkoop, samenwerking en continuïteit.
Conclusie
Het voornemen van de Europese Commissie om Chinese apparatuur te weren uit kritieke netwerken is meer dan geopolitiek beleid. Het onderstreept een bredere trend: bedrijven worden steeds meer verantwoordelijk voor de risico’s in hun digitale en technologische keten.
Wie vandaag al inzicht heeft in herkomst, afhankelijkheden en digitale risico’s, kan sneller anticiperen op nieuwe regels, incidenten en strategische keuzes. Met RiskStudio krijgen organisaties dat inzicht. Continu, schaalbaar en gebaseerd op feiten.
