Nu het risico concreter is geworden, zetten veel organisaties die migraties naar AWS, Google of Microsoft planden, deze plannen in de ijskast. Vancis, een Nederlandse cloudserviceprovider, ziet deze bewustwording in de praktijk. Louis Hensen, chief executive officer, constateert een fundamentele verschuiving. “Je ziet dat organisaties zich veel bewuster worden van wet- en regelgeving en van de afhankelijkheid van andere landen”, zegt Hensen. “De behoefte aan soevereiniteit groeit, en organisaties gaan zich daar nu ook echt op inrichten.”

Van risicoacceptatie naar concrete actie De beweging naar lokale alternatieven komt voort uit geopolitieke ontwikkelingen die in 2026 niet zomaar zullen verdwijnen. Hensen legt uit dat het risico altijd bestond, maar anders werd ingeschat. “Wat ik zag gebeuren is: iedereen doet het, dus dan kunnen wij het ook. Het risico werd geaccepteerd en gebagatelliseerd. Maar door de inmenging van de politiek in het beleid van Big Tech zien we dat die risico’s anders worden ingeschat.”

Die herijking heeft directe gevolgen. Digna Bakker, team manager sales & marketing bij Vancis, ziet dat organisaties geplande overstappen naar Amerikaanse clouds uitstellen. Hensen: “We zien nog geen grote exodus op grote schaal. Maar we zien wel dat de exitstrategie, die organisaties al lang zouden moeten hebben, nu wel wordt gerealiseerd.”

Vancis speelt daarop in met een pragmatische oplossing. Klanten krijgen een kopie van hun digitale omgeving in het Nederlandse datacenter. “Wij zorgen ervoor dat klanten een back-up hebben van hun data”, aldus Hensen. “Een klant die werkt in AWS, Google of Microsoft kan de back-up restoren in ons datacenter. Hierdoor werkt de klant direct vanuit een Nederlandse omgeving met Nederlandse wet- en regelgeving.”

Hybride als nieuwe realiteit Volledige onafhankelijkheid blijft voorlopig een utopie. Europa heeft geen volwaardige alternatieven voor alle Big Tech-diensten. “Er zal een bepaalde afhankelijkheid blijven”, erkent Hensen. “Maar je kunt zorgdragen dat de gegevens waarin je waarde zit, onder Nederlandse wet- en regelgeving vallen.”

Zo wordt hybride architectuur een nieuwe norm. De meeste bedrijven werken al hybride: SaaS-oplossingen gecombineerd met legacy of eigen IT. “Er zijn weinig bedrijven die alles uit de public cloud kunnen afnemen”, aldus Hensen. “Klanten hebben vaak ook eigen IT die ze willen hosten bij een cloudserviceprovider, maar dan wel in Nederland.”

Die voorkeur voor lokale partners komt niet alleen voort uit soevereiniteit. Maatwerk en directe communicatie spelen ook een rol. “Bij maatwerk wil je misschien iets tunen of aanpassen. Dan wil je met een lokale leverancier iets kunnen afstemmen”, aldus Hensen.

NIS2 en bestuurlijke verantwoordelijkheid NIS2-regelgeving maakt cybersecurity tot bestuurlijke verantwoordelijkheid. “Organisaties gaan nu nadenken over wat NIS2 betekent voor hen en hun partners”, aldus Bakker. “Ik verwacht dat we daar in 2026 veel meer van gaan horen.”

De regelgeving helpt om IT uit de commodity-status te tillen. “Omdat IT toegankelijker is geworden, is het voor organisaties een deel van de reguliere faciliteiten geworden”, legt Hensen uit. “Het risico is dat het als commodity wordt gezien. NIS2 maakt zichtbaar dat het specifieke aandacht vraagt.”

Voor Vancis betekent dit een verschuiving naar strategische samenwerking. Bij personeelswisselingen in organisaties met gevoelige data zijn processen extra beschermd ingericht. “We hebben protocollen afgesproken voor betrouwbare uitvoering, met altijd een vierogenprincipe voordat iets verwijderd wordt”, aldus Hensen.

Standaarden als vrijheid Voor organisaties die zich voorbereiden op 2026 heeft Hensen één advies: houd de vrijheid om te bewegen. “Gebruik standaard diensten waarmee je de vrijheid houdt om workloads te verplaatsen”, aldus Hensen. “Grote cloudleveranciers bieden specifieke functionaliteit waarmee het moeilijker wordt om daar uit te komen.”

Het marketinggeweld van grote partijen kan verleiden tot vendor lock-in. “In IT zijn containers en Kubernetes het grote begrip. Als je kiest voor een standaard smaak kun je over alle cloudleveranciers bewegen. Maar als je kiest voor één specifieke, dan is het lastig om daaruit te komen.”

Die vrijheid heeft wel een prijs: soms lever je functionaliteit in. En vooral: voeg de daad bij het woord. “Je kunt een bedrijfstak alleen ontwikkelen als je er gebruik van maakt. Het allerbelangrijkste is dat de overheid diensten afneemt bij Nederlandse bedrijven om ze te helpen hun positie te verstevigen.”

“De cybersecuritydreiging is inmiddels in de meeste bestuurskamers doorgedrongen. Bestuurders gaan ervan uit dat ze zich moeten voorbereiden. Want de vraag is niet of een organisatie gehackt zal worden, maar wanneer.”