Cloudafhankelijkheid wordt een nieuwe risicovraag voor
crypto-exchanges en custodians. Nederlandse toezichthouders waarschuwen dat bedrijven en overheden te zwaar leunen op een kleine groep IT-leveranciers.
Die waarschuwing komt van ACM,
AFM, AP,
DNB en RDI. In het position paper "
De route naar digitale autonomie" vragen zij om meer regie, meer keuzevrijheid en minder ongewenste afhankelijkheid.
Crypto draait niet alleen op blockchains
Een exchange kan handel in
Bitcoin of
stablecoins aanbieden, maar het grootste deel van de operatie zit niet op een blockchain.
Orderboeken, klantdata, login-systemen, compliancechecks, API’s, back-ups en interne rechten draaien vaak via externe IT-partijen. Daar zit de zwakke plek.
Voor custodians is het nog scherper. Wie toegangsmiddelen, signing-processen of back-ups uitbesteedt, blijft juridisch aanspreekbaar als klanten niet bij hun tegoeden kunnen.
Digitale autonomie betekent geen eigen datacenter voor alles
De toezichthouders maken één punt heel duidelijk. Digitale autonomie betekent niet dat elke organisatie alle technologie zelf moet bouwen.
Het gaat om keuzevrijheid. Een bedrijf moet kunnen bewegen wanneer een leverancier wegvalt, prijzen wijzigt of juridisch onder druk komt te staan.
Dominante cloudoplossingen van niet-Europese hyperscalers kunnen volgens het rapport leiden tot vendor lock-in. Overstappen wordt dan duur, traag en technisch lastig.
Daar komt een juridisch risico bovenop. Het rapport noemt expliciet dat derde landen via eigen wetgeving toegang tot data kunnen afdwingen, bijvoorbeeld via de Amerikaanse Cloud Act.
MiCA-vergunning is niet het eindpunt
Voor cryptobedrijven komt dit bovenop
MiCA. In
Nederland is de AFM de bevoegde partij voor vergunningen van crypto-asset service providers, terwijl DNB onder meer prudentiële taken heeft en toezicht houdt op uitgevers van asset-referenced tokens en e-money tokens, schrijft
DNB.
MiCA vraagt van CASP’s dat zij hun diensten regelmatig en veilig kunnen blijven uitvoeren. Artikel 68 noemt onder meer veerkrachtige ICT-systemen, continuïteitsbeleid en herstelplannen bij uitval.
Dat maakt cloudkeuzes toezichtgevoelig. Een vergunning zegt dus niet alleen iets over beleid, bestuur en markttoegang.
Ze dwingt ook de vraag af hoe een aanbieder blijft draaien wanneer een IT-schakel faalt.
Custody maakt de cloudvraag hard
Bij
wallets en custody is de inzet direct voelbaar. Klanten willen niet horen dat een subleverancier platligt wanneer zij hun crypto willen opnemen.
MiCA verplicht custodians om een custodybeleid te hebben met regels voor veilige bewaring of controle van cryptoactiva en toegangsmiddelen. Dat beleid moet verlies door fraude, cyberdreigingen of nalatigheid beperken.
Ook moeten klanttegoeden gescheiden blijven van eigen tegoeden. Procedures moeten ervoor zorgen dat cryptoactiva of toegangsmiddelen zo snel mogelijk terug kunnen naar klanten.
Daarmee wordt de technische keten een klantbelang. Private keys, signing, back-ups en toegangsbeheer zijn geen interne IT-details meer.
DORA trekt leveranciers de toezichtkamer in
DORA maakt die lijn nog strakker. De AFM schrijft dat DORA eisen stelt aan IT-risicobeheer, incidenten, testen en risico’s bij uitbesteding aan kritieke derden.
Voor CASP’s geldt daarbij een meldplicht. Zij moeten ernstige ICT-incidenten, nieuwe overeenkomsten met ICT-dienstverleners en cyberdreigingen melden bij de AFM, staat op de
AFM-pagina voor CASP-meldingen.
DORA vraagt ook een register van ICT-overeenkomsten. Toezichthouders kunnen die informatie gebruiken om kritieke leveranciers en concentratierisico’s op Europees niveau te zien.
Dat raakt precies aan crypto. Veel aanbieders zijn afhankelijk van cloud, blockchain-analyse, identity tooling, custodysoftware en securitydiensten.
Europese fall-back wordt de nieuwe vraag
De toezichthouders willen dat vitale processen extra waarborgen krijgen. Voor zulke processen zou een Europese fall-back een basisvoorwaarde moeten zijn.
Ook noemen zij het zelf beheren van encryptiesleutels en onafhankelijke back-ups, bij voorkeur on-premise of binnen de EU. Dat zijn geen cryptospecifieke eisen, maar ze raken custodians direct.
De kernvragen worden daardoor concreet:
- Kunnen klanten nog bij tegoeden als een cloudprovider uitvalt?
- Is er een getest exitplan voor kritieke leveranciers?
- Zijn data, sleutels en back-ups juridisch en technisch afgeschermd?
Dit zijn precies de vragen die na MiCA en DORA zwaarder gaan wegen.
Vergunning zegt niet alles over afhankelijkheid
De
AFM schrijft dat het cryptoregister laat zien welke CASP’s een vergunning of notificatie hebben en welke activiteiten zij in Nederland mogen verrichten. Staat een onderneming niet in het register, dan kan dat meerdere dingen betekenen: geen vergunning nodig, aanvraag in behandeling of mogelijk illegale dienstverlening.
Voor beleggers is dat nuttig, maar niet volledig. Een register zegt niet automatisch hoe een exchange zijn cloud, back-ups, keys en leveranciers heeft ingericht.
Daar ontstaat de nieuwe scheidslijn. Niet alleen: heeft een partij een vergunning? Maar ook: kan zij blijven functioneren als een leverancier wegvalt?
Nieuwe toezichtsfase voor Nederlandse crypto
De oproep tot digitale autonomie laat zien dat toezicht verder schuift dan toegang tot de markt. Het gaat nu om weerbaarheid achter de schermen.
Voor Nederlandse crypto-exchanges en custodians wordt de IT-keten daarmee een zichtbaar risico. Niet omdat blockchain zelf verdwijnt, maar omdat veel diensten rond die blockchain sterk centraal draaien.
De harde les is simpel. Een walletadres kan decentraal zijn, maar de toegang ertoe vaak niet.
Wie crypto bewaart voor klanten, moet straks niet alleen uitleggen waar de coins staan. Die partij moet ook uitleggen wie de digitale deur in handen heeft.