Een econoom die in 2008 de financiële crisis voorspelde slaat opnieuw alarm. Hij stelt dat de huidige markten nog kwetsbaarder zijn dan toen. Digitalisering via algoritmen, crypto en cloud vergroot de snelheid van schokken. Dat raakt ook Europa en Nederland, en zet Europese digitalisering gevolgen bedrijfsleven op scherp.
Digitale risico’s vergroten schokken
Financiële markten draaien steeds meer op software en dataplatforms. Daardoor verspreiden prijsbewegingen sneller over aandelen, obligaties en grondstoffen. Europa is sterk verbonden via handelsplatformen als Euronext en grote clearinghuizen. Een fout of paniek kan zo in minuten door het systeem golven.
Algoritmische handel is software die automatisch orders plaatst op basis van regels of data. Zulke systemen versterken soms bewegingen door stop-losses en gedwongen verkopen. Beurzen hebben remmen, de zogeheten circuit breakers. Maar die gelden niet overal in de keten en niet voor alle producten.
Veel handels- en betalingsdiensten draaien in de publieke cloud. Een storing bij één grote aanbieder kan daardoor meerdere banken en platforms tegelijk raken. Europa wil die concentratierisico’s beperken met de Digital Operational Resilience Act (DORA). Deze wet zet ook kritieke ICT-aanbieders onder toezicht.
Datagedreven handel vraagt steeds meer klant- en marktdata. De AVG eist dataminimalisatie en duidelijke doelen voor gebruik. Dat schuurt met de honger naar data voor modellen. Bedrijven moeten daarom strakker sturen op opslag, versleuteling en bewaartermijnen.
Europa scherpt toezicht op cloud
DORA is de Europese verordening voor digitale weerbaarheid in de financiële sector. De regels zijn op het moment van schrijven van kracht en gelden voor banken, beurzen, verzekeraars en fintechs. Ook derden zoals cloud- en softwareleveranciers vallen in scope. Toezicht loopt via EBA, ESMA en EIOPA, in samenwerking met nationale toezichthouders.
Instellingen moeten ICT-risico’s aantoonbaar beheersen en oefenen. Denk aan scenario’s, terugvalplannen en zogeheten threat-led penetration tests. Ernstige incidenten moeten tijdig worden gemeld en geanalyseerd. Contracten met cloudleveranciers moeten auditrechten en een exitstrategie bevatten.
In Nederland werken De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) aan invulling en toezicht. Sectorbrede red-teaming, zoals TIBER-NL, sluit hier op aan. Cross-border ketens krijgen extra aandacht door gedeelde leveranciers. Zo komt ook vendor lock-in eerder in beeld.
DORA is de EU-verordening die digitale weerbaarheid van financiële instellingen en hun kritieke ICT-leveranciers verplicht stelt, inclusief testen, incidentmelding en toezicht.
Crypto onder MiCA-regels strikter
De EU-regel Markets in Crypto-Assets (MiCA) brengt crypto-uitgevers en -dienstverleners onder vergunningplicht. Dit geldt onder meer voor beurzen, brokers en bewaarders. Voor stablecoins gelden strengere eisen aan reserves en governance. ESMA en EBA werken technische regels en handreikingen uit.
Stablecoins kunnen een rol spelen in betalingen en settlement. MiCA moet daar discipline en consumentenbescherming brengen. Nationale toezichthouders geven vergunningen met EU-paspoort. Misleiding en onvoldoende dekking worden hiermee beter te bestrijden.
Voor Nederlandse aanbieders betekent dit strengere eisen aan liquiditeit, segregatie en rapportage. Samenwerking met banken voor euro-in- en uitgangen blijft kritisch. Toch blijven risico’s buiten de MiCA-perimeter bestaan, zoals bij gedecentraliseerde protocollen. Marktmanipulatie door bots vraagt bovendien om scherper toezicht en monitoring.
AI Act raakt bankalgoritmen
De AI-verordening (AI Act) zet kaders voor kunstmatige intelligentie. Kredietscores en risicomodellen vallen vaak in de categorie hoog risico. Dan gelden strengere eisen aan datakwaliteit, documentatie en menselijk toezicht. Dit raakt zowel banken als fintechs en dataleveranciers.
Financiële instellingen gebruiken machine learning voor fraudeopsporing, kredietbeoordeling en handel. Die modellen moeten uitlegbaar en toetsbaar zijn. Bias-tests en monitoring worden onderdeel van de modelcyclus. Ook leveranciers moeten aantonen dat hun systemen voldoen.
General-purpose AI, zoals grote taalmodellen, kent eigen transparantieplichten. Leveranciers moeten risico’s en beperkingen duidelijk maken. Afnemers behouden verantwoordelijkheid voor integratie in kritieke processen. Contracten moeten daarom garanties en auditrechten vastleggen.
Op het moment van schrijven lopen de verplichtingen gefaseerd in. Verboden toepassingen gelden al, hoogrisico-eisen volgen stapsgewijs. Organisaties doen er goed aan een register van AI-systemen bij te houden. Waar nodig volgt een conformiteitsbeoordeling en registratie in de EU-database.
Europese digitalisering gevolgen bedrijfsleven
Bedrijven leunen steeds meer op digitale betalingen en financiering. Een marktstoring of cloudincident raakt dan direct de kasstroom. Snelle volatiliteit kan zekerheidsvereisten verhogen en kredietlijnen onder druk zetten. Voorraad en salarisbetalingen komen zo onverwacht in het nauw.
NIS2 breidt de cybersecurityplichten voor essentiële en belangrijke entiteiten uit. Veel financiële en betaalpartijen vallen hieronder, naast DORA. Leveranciers in de keten delen daarmee verantwoordelijkheid. Contractafspraken over beveiliging, logging en incidentmelding worden cruciaal.
Praktisch betekent dit: breng kritieke afhankelijkheden in kaart en test failover. Verminder concentratierisico bij één cloud of SaaS-aanbieder. Oefen crisisscenario’s inclusief communicatie met klanten en toezichthouders. Leg beslisbevoegdheden en draaiboeken vooraf vast.
Voor Nederland geldt dat het betalingsverkeer sterk is gedigitaliseerd, met instant payments en online kassa’s. DNB hamert op continuïteit en weerbaarheid van deze keten. Bedrijven moeten daarom ook hun eigen basishygiëne op orde hebben. Denk aan multifactor-authenticatie, segmentatie en offline back-ups.