Buitenlandse overnames zijn niet het probleem – te weinig startups wel

Een veelgehoorde kritiek: Nederlandse cybersecurity bedrijven worden te gemakkelijk verkocht aan buitenlandse partijen. We spraken daarover met Joris den Bruinen, directeur-bestuurder van Security Delta (HSD). Het werd een gesprek over het belang van kapitaal, een te kleine thuismarkt en waarom buitenlandse overnames soms juist goed zijn voor de Nederlandse innovatiekracht.

Het beeld dat Nederlandse IT-securitybedrijven massaal worden weggekocht door buitenlandse partijen verdient bijstelling. Joris laat zien dat er een levendige markt is waar zowel Nederlandse als buitenlandse overnames plaatsvinden, met bedrijven uit Nederland zelf als grootste koper – nog vóór de volgende groep waarbij Frankrijk, Verenigde Staten (VS) en United Kingdom (UK) elkaar nauwelijks ontlopen. De uiteindelijke rangschikking verschilt afhankelijk van of gekeken wordt naar het aantal overnames of naar de totale investeringsbedragen.

Nederlandse overnames domineren, niet Amerikaanse

“De afgelopen 12 jaar heb ik alle overnames in Nederland op het gebied van digitale veiligheid bijgehouden. De grootste investeerder en overnamepartij zijn bedrijven uit Nederland zelf. Waaronder KPN met de overnames van Dearbytes en Qsight; Tesorion via Investeerder Reggeborgh/Wessels van Novaccent, Kahuna en Compumatica; InterStellar met de overnames van Falton, Pinewood, DataExpert en EightFence; daarnaast ook Computest/Heeyoo via Metha Capital van Incide, Sysqa en Closesure en ook SHV met KIWA en Hudson CyberTech. Frankrijk via Thales, Atos, Orange en Bureau Veritas, zit qua totale investeringbedrag in overnames van Nederlandse cybersecurity bedrijven nog boven de VS,” zegt Joris. 

Dit nuanceert het beeld dat Nederlandse IT-securitybedrijven vooral naar de VS verdwijnen, al illustreert de casus Cybersprint de complexiteit van de argumentatie: het bedrijf werd eerst overgenomen door het Britse Darktrace, dat vervolgens zelf voor 5,32 miljard werd gekocht door de Amerikaanse private-equitypartij Thoma Bravo.

BedrijfJaarProductOvernemerLandImpact
SecurityMatters2018OT SecurityForescoutVSHoewel SecurityMatters werd overgenomen door het Amerikaanse Forescout, bleef de R&D-afdeling in Eindhoven waar deze nog steeds groeit. Dit is een schoolvoorbeeld van een geslaagde overname: het bedrijf was voldoende ontwikkeld en had sterke banden met Nederlandse kennisinstellingen om zijn positie te behouden.
RedSocks2018Verschillende IT security productenBitDefenderRoemeniëEen harde les in timing: na de overname door BitDefender kromp RedSocks van 40 medewerkers naar één in Nederland. Het bedrijf werd te vroeg verkocht en miste de kritieke massa om zijn positie te behouden. 
Cybersprint2022Digital Risk ProtectionDarktraceVKEen succesverhaal uit het ecosysteem: Cybersprint ontwikkelde zich op de HSD campus met steun van InnovationQuarter en werd later overgenomen door Darktrace. Het bedrijf bleef met z’n R&D afdeling in Den Haag gevestigd en groeit nu verder na de overname door investeringsmaatschappij Thoma Bravo.
Secura2021Security testing & certificeringBureau VeritasFrankrijkDe overname door Bureau Veritas illustreert een bredere trend: Franse bedrijven, niet Amerikaanse, zijn de grootste overnemers van Nederlandse cybersecurity bedrijven. Secura versterkte hiermee Bureau Veritas’ certificering- en testingsportfolio. Secura groeit in Nederland nog steeds sterk door.
Applied Risk2023Industriële cybersecurityDNVNoorwegenDNV, een Noorse industriële certificeerder, nam Applied Risk over om cybersecurity toe te voegen aan hun dienstenpakket. Een logische stap: industriële certificeerders breiden hun portfolio uit met cybersecurity expertise om totaaloplossingen te kunnen bieden.
Onegini2022Digital Identity/Access ManagementThales (via OneWelcome)FrankrijkEen schoolvoorbeeld van zelfkennis: de founders van Onegini erkenden dat ze voor de groeifase een andere CEO nodig hadden. Na deze wissel volgde via doorgroei naar OneWelcome een succesvolle exit van €100 miljoen naar Thales, waar hun identity management-oplossing een breder bereik kreeg binnen Thales’ IAM-portfolio.
Compumatica2021Datadiode technologieTesorionNederlandCompumatica toont hoe Nederlandse innovatie Nederlands kan blijven: het werd overgenomen door Tesorion via familiebedrijf VolkerWessels met daarachter hun investeringsmaatschappij Reggeborgh. Hun datadiode-technologie wordt nu binnen de VolkerWessels groep gebruikt, terwijl het bedrijf kan blijven groeien met Nederlandse wortels.
Hudson Cybertech2021SecuritydienstenKiwa (SHV)NederlandHudson Cybertech werd overgenomen door Kiwa, onderdeel van het Nederlandse familiebedrijf SHV. Een strategische zet: het bedrijf blijft Nederlands maar kreeg toegang tot Kiwa en SHV’s wereldwijde netwerk voor internationale groei.
DearBytes & Qsight2017SecuritydienstenKPNNederlandDearBytes en QSight werden overgenomen door KPN en geïntegreerd in KPN Security – een voorbeeld van hoe een Nederlands telecombedrijf strategisch cybersecurity expertise opbouwt via gerichte overnames.
Deze tabel is gebaseerd op overnames genoemd in het interview en bevat dus niet alle overnames van Nederlandse securitybedrijven. Het illustreert hoe verschillende groeifases vragen om andere vormen van kapitaal en partnerships. 

Thuismarkt als sleutel tot overnames

De reden dat veel Nederlandse IT security bedrijven worden overgenomen ligt vaak bij de beperkte thuismarkt. “De Nederlandse markt is klein en de Europese markt is gefragmenteerd door taal- en cultuurverschillen,” legt Joris uit. Dit maakt het voor Nederlandse startups lastig om zelfstandig te groeien, in tegenstelling tot Amerikaanse bedrijven die een grote, uniforme thuismarkt hebben.

Dit verklaart ook waarom Franse overnames in beeld zijn. “Frankrijk heeft een grotere thuismarkt en daardoor meer kapitaal om overnames te doen,” aldus Joris. Bovendien zijn veel overnames strategisch: grote industriële spelers als Thales en Bureau Veritas nemen Nederlandse cybersecuritybedrijven over als onderdeel van hun bredere portfolio.

Kapitaal als voorwaarde voor zelfstandigheid

Om te voorkomen dat Nederlandse IT-securitybedrijven vroeg worden overgenomen, is toegang tot groeikapitaal essentieel. Hier is in de laatste jaren veel verbeterd. Het Dutch Security Tech Fund van TIN Capital (36 miljoen euro, 17 investeringen) krijgt een vervolg van naar verwachting 100 miljoen euro. Een ander recent voorbeeld is het European Defence en Security Tech Fund van Keen Ventures van zo’n 125 miljoen euro.

“Doordat je zo’n gefocussed groot fonds krijgt, lukt het ook om samen met eventuele andere investeerders uit het buitenland te co-financieren,” zegt Joris. “Daardoor bouw je een link met een Nederlandse investeerder. De kans wordt dan groter dat er een deel van het bedrijf en dus de banen in Nederland blijven.”

“Maar nu moeten we werken aan de volgende investerings/groeifase. Daarbij komt bijvoorbeeld Main Capital uit Den Haag in beeld. Zij beschikken zelfs over een investeringsfonds van 2,4 miljard euro. Daarmee komen ook grotere groeifinancieringen, de zogenaamde series B en C beschikbaar.

TIN Capital vertelde meer over hun nieuwe investeringsfonds in dit artikel. In een volgend artikel beschrijven we andere routes naar financiering voor Nederlandse security startups. 

Niches als kans

“IT-security en alles wat aan de cloud gekoppeld is wordt gedomineerd door Big Tech en grotere cybersecurity bedrijven vanuit de Amerikaanse markt,” stelt Joris. Hij ziet meer kansen in niches zoals OT-security, Industrial IoT-security en secure by design-producten.

Succesvolle voorbeelden zijn er al. De OT-security producten van SecurityMatters en Compumatica’s datadiode-technologie worden gebruikt in Japanse energiecentrales. En met de nieuwe Europese Cyber Resilience Act ontstaan er kansen voor secure by design-oplossingen in sectoren waar Nederland sterk in is, zoals energiesector en de maritieme/maakindustie.

Nederlandse innovatie borgen

Niet elke overname leidt tot verlies van Nederlandse innovatiekracht. Bij SecurityMatters bleef de R&D in Eindhoven. Hudson Cybertech, overgenomen door het Nederlandse Kiwa (SHV), kreeg juist verdere toegang tot internationale markten.

“Je moet in niches insteken,” adviseert Joris. “Met secure by design creëer je een nieuwe categorie. Zo’n niche markt is dan nog klein in scope in Nederland, maar wel aantrekkelijk voor uitrol in de internationale markt. En als Nederland daarin voorloper is wereldwijd, dan hebben we iets goeds gedaan voor zowel de nationale veiligheid als onze economie.” 

CISO’s kunnen innovatie maken of breken

“Ik zou alle CISO’s in Nederland willen oproepen om open te staan voor innovatie,” zegt Joris. Hij wijst op succesvolle voorbeelden waar CISO’s het verschil maakten: Fox-IT begon met steun van de CISO van Rabobank, Cybersprint had ING als eerste klant. “Als elke CISO in Nederland één kennis-innovatiestartup zou helpen, dan hebben we straks misschien wel 100, of zelfs wel 200 potentiële startups die kunnen testen bij een eindklant.”

Joris benadrukt dat CISO’s begrijpelijk terughoudend zijn met experimenten in hun productieomgeving. Daarom pleit hij voor het gebruik van testomgevingen zoals de controlroom of the future en de GreenVillage van de TU Delft of het Living Lab Scheveningen, waar secure by design innovaties kunnen worden getest op smart grids zonder risico voor vitale infrastructuur. “Een CISO is er voor het afdekken van risico’s. Meestal is meewerken aan een innovatie risicovolgend. Maar we hebben die CISO’s nodig om van kennis en innovatie naar producten en marktgroei te komen.”

Security Delta (HSD) is het Nederlandse cluster voor digital security. HSD brengt bedrijven, overheden en kennisinstellingen bij elkaar om samen te werken aan digitale weerbaarheid en om security innovaties te versnellen. Dit gebeurt onder meer via netwerkevents zoals de jaarlijkse Investor Day waar startups, eindgebruikers en investeerders elkaar ontmoeten. Georganiseerd samen met European Cyber Security Organisation, TiN Capital, InnovationQuarter, KPN Ventures en gemeente Den Haag. HSD heeft hierdoor diepgaande inzichten en kennis van de sector – van overnames tot investeringen – en zet deze kennis in om het Nederlandse cybersecurity ecosysteem te versterken. HSD werkt vanuit de HSD Campus in Den Haag, waar ook startups en andere organisaties zich kunnen vestigen om deel uit te maken van dit netwerk.

Over Bram

Bram begon zijn carrière in de bescherming van vitale infrastructuur voor de Ministeries van BZK, V&J en EZ. Na zijn tijd bij de overheid, werkte Bram bij Securitas met een focus op technologie en innovatie. Sinds 2015 is hij zelfstandig ondernemer, gespecialiseerd in het ontwikkelen en vermarkten van nieuwe innovaties. Hij vervulde interim functies bij Fox-IT, Imbema, en Quinyx AB. Bram is opgeleid aan de Nyenrode Business Universiteit en JADS University.

Bram is sinds 2020 oprichter en directeur van Beyond Products B.V., een strategisch marketingbureau op het gebied van Security en IT. Ook heeft hij het boek Security Innovation Stories geschreven, waaruit dit platform is ontstaan.

Bram zet zich voornamelijk in voor innovatie in cybersecurity, omdat daar volgens hem nog veel te halen valt. In zijn columns beschrijft hij cybersecurity principes en de brug naar innovatie.

Vergelijkbare berichten