BLOG – De roep om meer ict-autonomie klinkt onweerlegbaar. Minder afhankelijk van Amerikaanse hyperscalers. Meer grip op data. Minder geopolitiek risico. Maar het debat adresseert het verkeerde risicotype.
Het geopolitieke scenario – ‘een buitenlandse regering draait de knop om’ – is een laagfrequent, extreem scenario. Het risico bestaat, maar is zeldzaam en speculatief. De dagelijkse werkelijkheid van it-onveiligheid is anders: phishing, misconfiguraties, identity-sprawl, trage patching, tokenmisbruik, gebrekkige detectie en respons. Operationele zwakte waardoor systemen daadwerkelijk omvallen, ook nog steeds na conformeren aan 25 jaar NIS, GDPR, Dora, enz.
Toch richten we ons beleid op het zeldzame risico en niet op het structurele. Dat is geen toeval. Ons bestuurlijk systeem wordt afgerekend op zichtbare calamiteiten, niet op onzichtbare gemiste kansen. Regelgeving minimaliseert aantoonbare schade, maar verandert ook kansverdelingen. Innovatie is geen lineair proces, het is een staartverschijnsel. Doorbraken ontstaan uit variatie, experiment en een hoge fouttolerantie. Wie variatie dempt, dempt de kans op nieuw succes. Dat zie je niet terug want gemiste successen laten geen sporen na.
We richten ons beleid op het zeldzame risico en niet op het structurele
De Europese halfgeleidergeschiedenis laat zien hoe dat werkt. Ambitieuze programma’s halen zelden hun oorspronkelijke doel maar de opgebouwde competenties blijken later ook veel waardevoller dan het beoogde resultaat. Toevallige combinaties van mensen, technologie en marktkansen leveren uiteindelijk de doorbraken op. Juist die toevalligheid moet meer onderdeel van het mechanisme worden gemaakt.
Drempels
Als we vandaag autonomie definiëren als het systematisch uitsluiten van bestaande aanbieders, stapelen we drempels in een ecosysteem dat leeft van doorlaatbaarheid. Subsidie- en aanbestedingsregimes verschuiven risico’s naar ondernemers, terwijl beslissingsmacht richting toetsingskaders van overheden verschuift. Private investeerders worden risicomijdend als exit-scenario’s juridisch verstarren. Groei wordt ‘bet-the-company’, omdat terugschalen juridisch en financieel onvoorspelbaar of zelfs voorspelbaar onhaalbaar is.
Ict-autonomie dreigt zo het verkeerde probleem te lossen en oude problemen weer te introduceren. Voorstanders van strengere kaders hebben een valide punt: zonder regulering ontstaan machtsconcentraties en systeemrisico’s. Maar regulering die uitsluitend schade wil voorkomen, zonder systematisch te toetsen wat zij aan kansruimte vernietigt, is bijziend voor haar eigen keerzijden.
Minder afhankelijk
De kernvraag rond ict-autonomie is dus niet: hoe worden we minder afhankelijk maar verschuiven we afhankelijkheid niet ook naar een systeem dat minder schaal, minder incidentervaring en minder herstelvermogen heeft? Veiligheid is niet alleen juridische soevereiniteit. Veiligheid is operationele competentie. Die ontstaat door jarenlange innovatie en de noodzaak om te overleven. Dat vermogen kopieer je niet bij voorbaat door leveranciers te nemen. Wie niet innoveert, kan niet falen. Wie niet groeit, hoeft niet te herstructureren. Beleid lijkt zo te werken terwijl de kansruimte krimpt.
Misschien moeten we autonomie niet definiëren als uitsluiting, maar als het vergroten van keuzevrijheid, experimenteerruimte en terugschakelbaarheid. Dat is wellicht een ongemakkelijke gedachte in een tijd waarin maximale controle als grootste deugd geldt.
Rob Koelmans, directeur MetaMicro Automatisering
