NS kiest voor Amerikaanse IT-partner ondanks zorgen over autonomie.
Het Nederlandse spoorbedrijf NS heeft besloten een belangrijk deel van zijn IT-beheer onder te brengen bij Enterprise Services Nederland, een onderneming die onderdeel is van het Amerikaanse technologieconcern DXC. Die keuze komt op een moment dat in politiek en samenleving volop wordt gediscussieerd over digitale strategische autonomie en de wens om minder afhankelijk te zijn van buitenlandse, met name Amerikaanse, technologiebedrijven. De opdrachtgunning roept daarom vragen op. IT-directeur Hessel Dikkers van NS geeft uitgebreid toelichting op de overwegingen, de risico’s en de beperkingen waar het spoorbedrijf mee te maken heeft.
digitale hulpmiddelen
Enterprise Services Nederland gaat voor NS het beheer en de hosting verzorgen van een specifiek technisch platform. Dat platform is bedoeld voor interne applicaties die ondersteunend zijn aan de organisatie. Dikkers licht toe dat de IT-omgeving van NS is opgeknipt in verschillende zogeheten kavels, die afzonderlijk worden aanbesteed. Het kavel dat nu aan Enterprise Services Nederland is gegund, draait onder meer om systemen die worden gebruikt voor de financiële planning van NS en voor digitale hulpmiddelen in de werkplaatsen waar treinen worden onderhouden. Het contract heeft een looptijd van zes jaar en kan daarna nog eens met zes jaar worden verlengd. Daarmee gaat het om een langdurige samenwerking, die voor NS stabiliteit moet bieden in de ondersteuning van deze interne processen.
mogelijke storingen
De keuze voor een externe partij leidt onvermijdelijk tot vragen over de gevolgen van mogelijke storingen. Volgens Dikkers is het belangrijk om duidelijk te maken dat deze systemen niet direct raken aan de kern van het treinverkeer. Hij benadrukt: “Dat hangt van de storing af, maar het is goed om te benoemen dat onze treinen niet direct tot stilstand komen.” Missie-kritische systemen, die noodzakelijk zijn voor het rijden en bijsturen van treinen en voor actuele reisinformatie, zijn bewust ondergebracht bij een Nederlandse IT-partij. Ook wijst hij erop dat in de systemen die Enterprise Services Nederland gaat beheren geen persoons- of reizigersgegevens worden verwerkt, waarmee een belangrijk privacyrisico wordt weggenomen.
Enterprise Services Nederland gaat een deel van de IT van NS beheren. Dit IT-bedrijf is onderdeel van DXC, een Amerikaans bedrijf
De gunning aan Enterprise Services Nederland is tot stand gekomen via een Europese aanbestedingsprocedure. NS heeft daarbij, zo stelt Dikkers, zeer uitgebreide eisen opgesteld op het gebied van prijs, kwaliteit, beschikbaarheid en cyberveiligheid. Het doel was om een leverancier te selecteren die niet alleen kostenefficiënt is, maar ook aantoonbaar betrouwbaar en veilig opereert. Na beoordeling van alle inschrijvingen kwam Enterprise Services Nederland als beste partij uit de bus. “Na beoordeling van de inschrijvingen kwam Enterprise Service Nederland als beste uit de bus,” aldus Dikkers, die daarmee aangeeft dat de keuze het resultaat is van een formeel en strikt proces.
Toch blijft de vraag hangen of het verstandig is om een leverancier te kiezen met een Amerikaans moederbedrijf, zeker gezien de toenemende geopolitieke spanningen en zorgen over buitenlandse invloed op vitale infrastructuur. Dikkers erkent dat dit dilemma ook intern bij NS speelt. “Daar worstelen wij zelf ook mee, net zoals zoveel overheidsinstanties en bedrijven. We snappen dat dit vragen oproept,” zegt hij. Tegelijkertijd wijst hij op de juridische realiteit. NS is gebonden aan het aanbestedingsrecht en mag partijen niet uitsluiten of benadelen puur vanwege hun herkomst. “We mogen bijvoorbeeld niet voor de partij die in het aanbestedingstraject op de tweede plaats is geëindigd kiezen omdat die geen banden hebben met een land buiten Europa.”
vitale infrastructuur
De gedachte dat voor vitale infrastructuur zoals het spoor een uitzondering zou moeten gelden, leeft breed. Volgens Dikkers ligt die verantwoordelijkheid echter bij de overheid. Sinds 1 januari 2026 is de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten van kracht, die overheidsorganisaties verplicht om extra maatregelen te nemen ter bescherming van nationale veiligheid en kritieke processen. NS valt echter niet onder deze regeling en kan er in een Europees aanbestedingstraject geen beroep op doen. Bovendien biedt de ABRO volgens Dikkers geen directe grond om Amerikaanse partijen uit te sluiten.
Tot slot schetst hij een breder beeld. De geopolitieke ontwikkelingen volgen elkaar snel op, maar duidelijke richtlijnen vanuit de overheid om Nederlandse organisaties te helpen bij het vergroten van strategische autonomie ontbreken. Zelfs als die richtlijnen er komen, blijft de realiteit dat het huidige IT-aanbod leidt tot grote afhankelijkheid van Amerikaanse bedrijven. Een snelle omslag acht Dikkers onrealistisch. Voor een organisatie van de omvang van NS zou zo’n transitie complex en kostbaar zijn, met grote gevolgen voor de continuïteit van de bedrijfsvoering.
