Ga naar de hoofdinhoud

Digitale soevereiniteit in de EU: hoe adversariaal testen de effectiviteit van beveiligingsmaatregelen aantoont

5 mei 2026
Andrew Heller
Mark Arnold – Vicepresident Adviesdiensten, Lares
Michael Crouch – Engineer Adversarial Collaboration
Andrew Heller – Marketingmanager

Digitale soevereiniteit in de EU gaat niet langer alleen over de vraag waar gegevens worden opgeslagen. Het gaat erom of een organisatie in crisissituaties daadwerkelijk controle kan behouden over kritieke systemen, communicatie, leveranciers en gegevensstromen.

Bij Lares, het Offensive Cybersecurity Advisory Team van Damovo, is deze verschuiving dagelijks merkbaar. Regelgeving zoals NIS2 en DORA dwingt organisaties om verder te kijken dan het afvinken van checklists en een hogere norm na te streven: het aantonen dat beveiligingsmaatregelen daadwerkelijk effectief zijn tegen realistische bedreigingen.

Dat bewijs wordt verkregen door middel van adversarial testing. Lares helpt organisaties bij het opsporen van zwakke plekken, het valideren van beveiligingsmaatregelen en het omzetten van digitale soevereiniteit van een streefdoel in iets dat getest, aangetoond en in de loop van de tijd verbeterd kan worden.

In samenwerking met de teams van Damovo op het gebied van cyberbeveiliging, bedrijfsnetwerken, geïntegreerde communicatie, contactcentra en managed services richt Lares zich op het waarborgen van de soevereiniteit waar dat het belangrijkst is: in de systemen die de bedrijfsvoering draaiende houden en de klantbetrokkenheid in stand houden.

Wat is digitale soevereiniteit in de EU?

Digitale soevereiniteit is het vermogen om controle uit te oefenen over cruciale digitale activa, diensten en gegevens, in overeenstemming met zakelijke, juridische en operationele vereisten. In de praktijk houdt dit onder meer in dat men bepaalt waar gevoelige gegevens worden opgeslagen, wie er toegang toe heeft, welke rechtsgebieden van toepassing zijn, in hoeverre belangrijke werkprocessen afhankelijk zijn van externe leveranciers, en of essentiële diensten tijdens een incident veerkrachtig blijven.

Daarom mag digitale soevereiniteit niet worden verward met louter de locatie waar gegevens worden opgeslagen. Gegevens kunnen weliswaar in Europa worden gehost, maar ondersteunende diensten zoals identiteitsbeheer, telemetrie, back-ups, AI-verwerking of bevoorrechte toegang tot ondersteuning kunnen er toch toe leiden dat gegevens buiten de verwachte juridische en operationele grenzen terechtkomen.

Voor veel organisaties is volledige onafhankelijkheid van wereldwijde technologie-ecosystemen niet het echte probleem. Het gaat erom dat ze weloverwogen keuzes kunnen maken over waar de controle het grootst moet zijn, en vervolgens kunnen aantonen dat die keuzes in de praktijk standhouden.

Waarom digitale soevereiniteit nu belangrijker is dan ooit

In heel Europa wordt digitale soevereiniteit steeds urgenter, omdat de risico’s zich niet langer beperken tot klassieke cyberaanvallen. Organisaties krijgen ook te maken met geconcentreerde leveranciersrisico’s, geopolitieke onzekerheid en de operationele gevolgen van complexe afhankelijkheden van de cloud en SaaS.

Bij Lares wordt dit steeds vaker gezien als zowel een cyberbeveiligingsprobleem als een architectuurprobleem. Damovo heeft al aangegeven hoe NIS2 de verwachtingen op het gebied van governance, incidentbeheer, risicobeheersing, netwerkbeveiliging en de bescherming van gevoelige informatie aanscherpt. DORA voegt hier een meer expliciete testmentaliteit voor financiële dienstverlening aan toe via eisen op het gebied van digitale operationele veerkracht en op bedreigingen gebaseerde penetratietests. Ook de EU-AI-wet vergroot de druk om de robuustheid en beveiliging van AI-gestuurde diensten en werkprocessen te valideren.

Samen zorgen deze trends ervoor dat het begrip ‘goed’ een nieuwe invulling krijgt. Het volstaat niet langer om alleen maar te zeggen dat er beveiligingsmaatregelen zijn. Organisaties moeten steeds vaker aantonen dat ze aanvallen die kritieke diensten of gevoelige gegevens bedreigen, kunnen opsporen, indammen en zich daarvan kunnen herstellen.

Waar soevereiniteit in de praktijk haar grenzen bereikt

De meeste tekortkomingen op het gebied van soevereiniteit ontstaan niet door één dramatische fout. Volgens Lares komen ze meestal voort uit kleine hiaten in de architectuur, de processen en de relaties met leveranciers.

Veelvoorkomende voorbeelden zijn onder meer:

  • Een cloudworkload wordt in de EU gehost, maar logbestanden of back-ups worden elders opgeslagen.
  • Een samenwerkings- of contactcenterplatform is regionaal geconfigureerd, maar de toegang tot bevoorrechte ondersteuning is nog steeds te ruim.
  • Een bedrijfskritische applicatie slaat gegevens lokaal op, maar externe API’s, analysetools of AI-connectoren creëren nieuwe paden die buiten de verwachte controlegrenzen vallen.
  • Op papier is een netwerk van nature veilig, maar onder realistische aanvalsomstandigheden schieten segmentatie en identiteitscontroles tekort.

Dit is van belang omdat moderne bedrijfsomgevingen nauw met elkaar verweven zijn. Unified communications, bedrijfsnetwerken, cloudplatforms, contactcentertools en managed services functioneren tegenwoordig als één geïntegreerd bedrijfssysteem, en niet langer als afzonderlijke silo’s. Wanneer er in één laag een zwakke plek ontstaat, kan dit al snel de veerkracht, het vertrouwen van klanten en de naleving van regelgeving in een andere laag ondermijnen.

Waarom het testen met tegenstanders belangrijk is

Adversariaal testen is een van de meest praktische manieren om van aannames naar bewijs te gaan. In plaats van te vragen of een beveiligingsmaatregel bestaat, wordt hiermee nagegaan of die maatregel ook werkt wanneer een aanvaller druk uitoefent.

Hier speelt Lares een belangrijke rol binnen de bredere Damovo-portfolio. Met proactieve cyberbeveiligingsdiensten hanteert Lares een daadkrachtige maar beheerste aanpak om kwetsbaarheden op te sporen en te verhelpen voordat kwaadwillenden hiervan misbruik kunnen maken. Door middel van Purple Teaming helpt Lares organisaties hun detectie, respons en inzicht te verbeteren door aanvallen te simuleren op een manier die leidt tot meetbare verbeteringen in de verdediging.

Een krachtig adversariaal programma van Lares kan helpen bij het beantwoorden van vragen als:

  • Kan een aanvaller via een integratie van een derde partij doordringen tot een cruciaal communicatieplatform?
  • Kunnen gevoelige EU-gegevens over de grenzen worden vervoerd zonder dat dit alarmsignalen activeert?
  • Kunnen teams de continuïteit waarborgen als de identiteitsbeheer-, cloudbeheer- of netwerkcontroles worden verstoord?
  • Kunnen verdedigers misbruik snel genoeg opmerken en indammen om de bedrijfsvoering en het vertrouwen te beschermen?

Dit zijn zowel kwesties op het gebied van digitale soevereiniteit als op het gebied van cyberbeveiliging. Ze laten zien of de organisatie daadwerkelijk de touwtjes in handen heeft wanneer het er echt toe doet.

Plan een workshop over digitale soevereiniteit

De rol van Red Teaming Purple Teaming

Traditionele penetratietests hebben nog steeds hun nut, maar richten zich vaak op geïsoleerde technische kwetsbaarheden binnen een vast tijdsbestek. Uitdagingen op het gebied van soevereiniteit spelen zich doorgaans op een hoger niveau af. Hierbij spelen mensen, processen, derde partijen, operationele workflows en de vertrouwensveronderstellingen die in complexe omgevingen zijn ingebouwd, een rol.

Daarom Red Teaming en Purple Teaming bijzonder relevant zijn.

Red Teaming
Bij Lares Red Teaming realistische aanvallers gedurende het gehele aanvalstraject. Deze oefeningen zijn bedoeld om te testen of kritieke diensten, geprivilegieerde toegang en platformoverschrijdende afhankelijkheden kunnen worden misbruikt op manieren die bedrijfsleiders en beveiligingsmedewerkers wellicht niet verwachten.
Purple teaming
Bij Lares Purple Teaming een feedbackloop tussen aanvallers en verdedigers, waardoor organisaties hun beveiligingsmaatregelen sneller kunnen toetsen en verbeteren. Dit is met name nuttig wanneer het doel niet alleen ligt in het opsporen van zwakke plekken, maar ook in het dichten van detectielacunes, het verbeteren van de incidentrespons en het aantonen van vooruitgang in de loop van de tijd. Samen ondersteunen deze diensten een meer volwassen benadering van soevereiniteit. Ze helpen organisaties hun veerkracht te testen, architectuurkeuzes te valideren en te meten of de beveiliging verbetert of juist verslechtert.
Breng uw digitale soevereiniteit in kaart

Een praktisch kader voor het waarborgen van digitale soevereiniteit

Een nuttig programma begint niet met tools. Volgens Lares begint het met duidelijkheid over wat het meest beschermd moet worden

  1. Bepaal waar soevereiniteit het belangrijkst is

    Lares begint doorgaans met het helpen van organisaties bij het vaststellen welke diensten, gegevenstypen en operationele workflows de strengste controle vereisen. Hierbij gaat het vaak om gereguleerde klantgegevens, kritieke communicatie, kerninfrastructuur en systemen die verband houden met de levering van essentiële diensten. 

  2. Breng afhankelijkheden in kaart over de gehele stack

    Vervolgens gaat Lares na welke netwerken, clouddiensten, communicatieplatforms, API’s, AI-tools en ondersteuningsregelingen ten grondslag liggen aan die diensten. Dit is vaak het punt waarop verborgen afhankelijkheden en onverwachte juridische kwesties aan het licht komen.

  3. Scenario’s voor op bedreigingen gebaseerde tests opstellen

    Vervolgens ontwikkelt Lares simulatieoefeningen rond realistische risico’s voor de bedrijfsvoering, zoals misbruik van bevoorrechte toegang, het weglekken van gegevens via cloudverbindingen, het gecompromitteerd raken van een belangrijke leverancier of verstoring van de communicatie tijdens een incident.

  4. Bevindingen omzetten in beslissingen

    Testen levert alleen waarde op als de bevindingen tot concrete maatregelen leiden. De resultaten moeten als basis dienen voor keuzes op het gebied van architectuur, prioriteiten bij het verhelpen van problemen, het beheer van leveranciers en de mate van controle die nodig is voor specifieke workloads.

  5. Herhaal en verfijn

    Digitale soevereiniteit is geen eenmalige aangelegenheid. Clouddiensten evolueren, leveranciers wisselen, AI-mogelijkheden breiden zich uit en aanvalsroutes veranderen in de loop van de tijd. Regelmatige Red Teaming en Purple Teaming, beoordelingen van cloudomgevingen en applicaties, en beheerde cyberbeveiligingsondersteuning helpen ervoor te zorgen dat de beveiliging gelijke tred houdt met de realiteit.

De oplossing

Digitale soevereiniteit komt uiteindelijk neer op een praktische vraag: zijn kritieke systemen, communicatiekanalen, leveranciers en gegevensstromen bestand tegen realistische druk en voldoen ze tegelijkertijd aan de verwachtingen van de EU? Beleid, schema’s en keuzes op het gebied van hosting zijn belangrijk, maar op zichzelf bewijzen ze niet dat beveiligingsmaatregelen standhouden wanneer ze worden getest aan de hand van reële aanvalsroutes.

Dat is waar Lares, het offensieve cybersecurity-advies team van Damovo, een meerwaarde biedt. Door middel van adversarial testing, Red Teaming, Purple Teaming en offensief advies helpen we organisaties zwakke plekken op te sporen, beveiligingsmaatregelen te valideren en aan te tonen dat de veerkracht in de loop van de tijd toeneemt. In samenwerking met de bredere cybersecurity- en infrastructuurteams van Damovo helpt Lares om digitale soevereiniteit om te zetten van een strategische doelstelling in een operationele discipline die getest, gemeten en voortdurend versterkt kan worden.

Ontwerp een adversariale test

Veelgestelde vragen

Is digitale soevereiniteit hetzelfde als een soevereine cloud?

Nee. Sovereign cloud kan digitale soevereiniteit ondersteunen, maar soevereiniteit is breder. Het omvat ook operationele controle, afhankelijkheid van leveranciers, geprivilegieerde toegang, veerkracht en het vermogen om de dienstverlening in stand te houden bij een aanval.

Wat is het verband tussen NIS2 en digitale soevereiniteit?

NIS2 stelt hogere eisen op het gebied van governance, risicobeheer, netwerkbeveiliging, incidentafhandeling en toeleveringsketenbeveiliging voor essentiële en belangrijke entiteiten. De verordening schrijft geen specifieke testvormen voor, maar maakt regelmatige beveiligingsbeoordelingen en aantoonbare risicobeperking wel essentieel. Juist op dit punt kan de adversarial testing van Lares concreet bewijs leveren.

Wat is het verband tussen DORA en adversarial testing?

DORA legt sterk de nadruk op digitale operationele veerkracht en schrijft voor bepaalde financiële instellingen penetratietests voor die zijn afgestemd op concrete bedreigingen. In de praktijk wijst dit in de richting van oefeningen naar het voorbeeld van TIBER-EU, waarbij Purple Teaming verplicht Purple Teaming , wat indirect het gebruik van Purple Teaming stimuleert Purple Teaming te toetsen hoe kritieke ICT-diensten bestand zijn tegen realistische aanvallen.

Wanneer moeten organisaties Red Teaming gebruiken Red Teaming van Purple Teaming?

Red Teaming het meest geschikt wanneer het doel is om realistische aanvalsroutes te simuleren en de weerbaarheid van begin tot eind te testen. Purple Teaming het meest geschikt wanneer het doel is om het inzicht in de verdediging en de reactievermogen te verbeteren door middel van nauwe samenwerking tussen aanvallende en verdedigende teams.

Wat moet een eerste beoordeling van de digitale soevereiniteit omvatten?

Een solide uitgangspunt omvat essentiële diensten, gegevensstromen, afhankelijkheden van de cloud en SaaS, geprivilegieerde toegang, blootstelling aan jurisdicties en scenario’s waarin de organisatie wordt aangevallen, in combinatie met de gevolgen voor de bedrijfsvoering.

Neem contact op met het Offensive Cybersecurity Advisory Team van Damovo
Sluit u aan bij meer dan 10.000 anderen op de e-maillijst van Damovo om de nieuwste inzichten en exclusieve content te ontvangen.
Nu abonneren