EU-banken moeten afhankelijkheid van Amerikaanse techreuzen verminderen, zegt toptoezichthouder
BRUSSEL — Europese banken en andere financiële instellingen zouden hun afhankelijkheid van Amerikaanse technologiebedrijven voor digitale diensten moeten verminderen, aldus een top nationale toezichthouder.
In een interview zei Steven Maijoor, voorzitter van de toezichtcommissie van de Nederlandse centrale bank, dat het “kleine aantal leveranciers” dat digitale diensten aan veel Europese financiële bedrijven levert, een “concentratierisico” kan vormen.
“Als één van die leveranciers niet kan leveren, kunnen er grote operationele problemen ontstaan,” zei Maijoor.
Deze uitspraak komt op een moment dat Europese politici en industrieën worstelen met de bijna totale afhankelijkheid van de VS voor digitale diensten, variërend van cloudcomputing tot software. De dominantie van Amerikaanse bedrijven is extra onder de aandacht gekomen na het verslechteren van de transatlantische relaties onder de Amerikaanse president Donald Trump.
Hoewel de markt voor Europese technologie-diensten nog lang niet zo ontwikkeld is als in de VS — wat het voor banken moeilijk maakt om over te stappen — zou het continent “moeten beginnen met het ontwikkelen van een Europese omgeving” voor financiële stabiliteit en economisch succes, aldus Maijoor.
Europese banken die vastzitten aan contracten met Amerikaanse aanbieders “zullen uiteindelijk ook hun concurrentievermogen beïnvloeden,” voegde Maijoor toe. Nederlandse toezichthouders hebben recentelijk een rapport gepresenteerd over de systeemrisico’s die voortkomen uit technologische afhankelijkheid in de financiële sector.
De uitval van CrowdStrike in 2024 benadrukte de kwetsbaarheden van de Europese financiële sector voor operationele risico’s van technologieproviders.
De Nederlandse kredietverstrekker Amsterdam Trade Bank ging in 2023 failliet nadat het moederbedrijf op de Amerikaanse sanctielijst was geplaatst en de Amerikaanse IT-leverancier de online opslagdiensten stopzette, wat een van de scherpste voorbeelden is van de impact op bedrijven die hun technologie verliezen.
Evenzo benadrukte een storing van het Amerikaanse cybersecuritybedrijf CrowdStrike in 2024 de kwetsbaarheden van de Europese financiële sector voor operationele risico’s van technologieproviders, aldus de EU-bancaire toezichthouder in een evaluatie van de storing.
In zijn opmerkingen verwees Maijoor naar een EU-wet die de operationele betrouwbaarheid van banken regelt — de Digital Operational Resilience Act (DORA) — als een factor die het probleem kan verergeren.
Deze regels regelen de uitbesteding van IT-functies door financiële instellingen, zoals cloudlevering, en wijzen een lijst aan van “kritische” technologie serviceproviders die onder extra toezicht staan, waaronder Amazon Web Services, Google Cloud, Microsoft en Oracle.
DORA en andere EU-financiële regelgeving kunnen “per ongeluk financiële instellingen richting de grootste digitale dienstverleners duwen,” die niet Europees zouden zijn, aldus Maijoor.
“Als je simpelweg kijkt naar kwaliteit, betrouwbaarheid en veiligheid … is er een grote kans dat je eindigt bij de grootste digitale dienstverleners van buiten Europa,” zei hij.
De EU zou de regelgevende aanpak kunnen heroverwegen om de risico’s te beheersen, voegde Maijoor toe. “DORA is momenteel een toezichtaanpak, die niet zo sterk is in termen van vereisten en handhavingsmogelijkheden als reguliere supervisie,” zei hij.
De Nederlandse toezichthouders pleiten voor veranderingen en onderzoeken of de financiële regelgeving en supervisie in de EU barrières opwerpen voor het kiezen van Europese IT-leveranciers, en dat geïdentificeerde problemen “beleidinitiatieven in de Europese context kunnen uitlokken.”
Ze vragen de EU-regeringen en toezichthouders “te evalueren of DORA voldoende veerkracht biedt tegen geopolitieke risico’s en, indien niet, verdere richtlijnen te overwegen,” en voegen eraan toe dat ze “kansen zien om DORA waar nodig te versterken,” waaronder meer handhaving en explicietere vereisten rond het beheer van geopolitieke risico’s.
Europa zou ook een cloudtoezichthouder kunnen oprichten voor verschillende sectoren om de risico’s van afhankelijkheid van Amerikaanse technologie serviceproviders te verlichten, die “ook zeer belangrijk zijn voor andere delen van de economie zoals energie en telecom,” zei Maijoor.
“Zou er niet een geval zijn voor bredere supervisie van deze hyperscalers, cloudserviceproviders, aangezien ze zo belangrijk zijn voor grote delen van de economie?”
De Europese Commissie weigerde commentaar te geven.
