Per 2026 proactief toezicht op cloudproviders door RDI

Met de inwerkingtreding van de Cyberbeveiligingswet in de tweede helft van 2026 gaan cloudserviceproviders onder proactief toezicht van de RDI vallen. Dat betekent dat de RDI niet alleen achteraf (na een incident of signaal) toetst of regels zijn nageleefd, maar ook vooraf in gesprek gaat over risico’s en genomen maatregelen.  

Veelgestelde vragen over toezicht op cloud

De Europese Commissie heeft regels opgesteld voor zowel aanbieders van clouddiensten als hun klanten. Omdat de samenhang tussen deze regels vragen kan oproepen, geeft de RDI antwoord op een aantal veelgestelde vragen over het toezicht op het veilig aanbieden en gebruiken van clouddiensten. 

Focus op risicomanagement

Cloudserviceproviders hebben onder de Cbw een belangrijke verantwoordelijkheid om hun risico’s in kaart te brengen, passende maatregelen te nemen en deze risico’s voortdurend te beheersen. Daarbij hoort ook het accepteren van eventuele restrisico’s door het bestuur. De RDI gaat in haar toezicht onder meer kijken hoe het risicomanagement is georganiseerd. 

Neem verantwoordelijkheid in de keten

Daarnaast hebben cloudserviceproviders een belangrijke rol in de hele keten. Zowel bij de keuze van de leveranciers waar zij clouddiensten van afnemen, als richting de gebruikers die diensten van de cloudserviceprovider afnemen. Omdat die gebruikers zelf ook onder de Cbw kunnen vallen vraagt dat samenwerking tussen cloudserviceprovider en gebruiker. Kortom: breng als cloudserviceprovider bij de keuze voor een leverancier de risico’s in kaart en ondersteun je gebruikers, zodat zij grip kunnen houden op hun data en applicaties.  

Oproep aan cloudserviceproviders

De RDI roept cloudserviceproviders op om: 

• risico’s goed in kaart te brengen en maatregelen te nemen; 
• verantwoordelijkheid te nemen op bestuursniveau; 
• gebruikers te helpen hun data en applicaties beschikbaar en overdraagbaar te houden. 

ITchannelPRO dat maandag bovenstaande bericht publiceerde heeft vragen van lezers gekregen en deze doorgezet naar de RDI. Die vragen en antwoorden staan hieronder integraal weergegeven.  

Is volgens de RDI een hostingprovider per definitie ook een cloudprovider?

Een hostingprovider is niet per definitie een cloudprovider. Wel kunnen hostingproviders ook clouddiensten aanbieden

Kan een Managed Service Provider (MSP) ook een cloudprovider zijn?

Een Managed Service Provider kan ook clouddiensten aanbieden en is dan ook een cloudserviceprovider.

Moet onder de Cdw een clouprovider ook zicht hebben op partijen waarmee hij samenwerkt?

Een belangrijk onderdeel van het toezichtskader onder de CBW is leveranciersmanagement.  Daarmee moet een cloudserviceprovider dus ook zicht hebben op alle partijen die belangrijk zijn voor de levering van zijn dienst.

Moet een cloudprovider zijn klanten informeren dat hij onder de Cdw-toezicht staat?

Nee, dat is hij niet verplicht. Maar dat mag natuurlijk wel.

Wat wordt verstaan onder de fysieke beveiliging?

Wettelijk gezien is dat voor de NIS als  volgt opgeschreven:  “Artikel 2 1(b) physical and environmental security, which means the availability of a set of measures to protect the security of digital service providers’ network and information systems from damage using an all-hazards risk-based approach, addressing for instance system failure, human error, malicious action or natural phenomena.