De Europese security-sector heeft geen gebrek aan innovatie, maar aan ambitie

Europa heeft uitstekende security-innovaties, maar toch worden de meeste succesvolle bedrijven uiteindelijk verkocht aan Amerikaanse partijen. Hoe komt dat? En belangrijker nog: wat kunnen we eraan doen?
We spraken met Maarten Derks en Bart Houlleberghs, partners bij TIN Capital, één van de weinige Europese investeringsfondsen specifiek gericht op security. Zij delen hun ervaringen over het investeren in Nederlandse en Europese security-bedrijven. Ze leggen uit waarom cybersecurity anders is dan ‘gewone’ tech-investeringen, waarom exits richting Amerika vaak onvermijdelijk zijn, en wat er moet veranderen om echte Europese security-giganten te kunnen bouwen.
Wat maakt cybersecurity anders?
Het verschil met reguliere technologie-investeringen is significant, legt Maarten uit: “Bij een algemeen SaaS-product kun je met 80% functionaliteit al prima naar de markt. Bij security moet het 100% werken.”
Deze realiteit bepaalt in grote mate hoe TIN Capital hun investeringen aanpakt. Het fonds, dat eind 2018 specifiek voor cybersecurity werd opgericht, heeft inmiddels 18 bedrijven in portfolio gehad, waarvan er 5 zijn verkocht. Met hun nieuwe fonds van 100 miljoen euro richten ze zich meer op later-stage investeringen, mede omdat vroege investeringen in security complexer zijn dan in andere technologiesectoren.
Hoe werkt een investeringsfonds?
Voor wie al bekend is met venture capital en investeringsfondsen: deze sectie legt de basis uit en kan je dus overslaan.
Venture capital fondsen, zoals TIN Capital, investeren geld van pensioenfondsen, vermogende particulieren, grote ondernemingen en overheden in kansrijke bedrijven. Het doel is om een rendement te behalen door deze bedrijven te laten groeien, en later met winst weer te verkopen.
“We hebben 4 jaar om te investeren, 4 jaar om uit te investeren, en kunnen dat eventueel nog 2 keer met een jaar verlengen,” legt Maarten Derks van TIN Capital uit. “Maar na 10 jaar willen mensen hun investering wel terug.” Dit is een belangrijk principe: een investeringsfonds heeft een einddatum. Het is geen oneindige pot met geld.
Hoe werkt zo’n investering dan? Stel, TIN Capital investeert 10 miljoen euro in een veelbelovend cybersecurity bedrijf. In ruil daarvoor krijgen ze bijv. 10% van de aandelen van dat bedrijf. Het doel is om die investering gemiddeld binnen vijf jaar minimaal te verdrievoudigen. Dat betekent dat het bedrijf, in dit voorbeeld, dan minimaal 300 miljoen euro waard moet zijn om het investeringsdoel te halen.
TIN Capital’s nieuwe fonds met een omvang van 100 miljoen euro werd eind 2023 gelanceerd en laat ook zien hoe zo’n fonds wordt opgebouwd: 50 miljoen komt van familie fondsen en private investeerders (vaak zelf succesvolle ondernemers geweest), en dit bedrag wordt verdubbeld door fondsen vanuit nationale en Europese overheden en instituten. Zo ontstaat een sterke mix van privaat en publiek geld. Het eerste cybersecurityfonds van TIN Capital, opgezet in 2018, had een omvang van 30 miljoen, aangevuld met een lening van 6 miljoen via de RVO seed funding regeling.
Het tijdspad van tien jaar heeft grote invloed op welke bedrijven interessant zijn voor een fonds. Bij vroege investeringen in cybersecurity is er vaak meer tijd nodig. “Het wordt dan bijna een deep tech investering die meer dan 10 jaar nodig heeft,” zegt Derks. “En dat gaat wringen binnen je fonds.” Dit verklaart waarom TIN Capital nu meer focust op bedrijven die al verder zijn in hun ontwikkeling – er is meer zekerheid dat ze binnen vijf tot tien jaar kunnen groeien naar de gewenste waarde.
Fase | Investeringsbedrag | Kenmerken |
Pre-seed / Seed stage | €250K – €3M | Product in ontwikkeling, nog geen omzet |
Early stage / Series A | €3M – €15M | Werkend product, eerste klanten, eerste bewijs van product-market fit |
Growth stage / Series B | €15M – €30M | Bewezen product-market fit, opschalen commerciële team en focus op groei |
Later stage / Series C+ | €30M+ | Gevestigd bedrijf, internationale expansie |
Bedragen zijn indicatief voor de Europese markt.
De onvermijdelijke Amerikaanse exit
De realiteit van de Europese markt is dat veel succesvolle securitybedrijven uiteindelijk worden overgenomen door Amerikaanse partijen. Iets waar in Europa vaak vraagtekens bij worden gezet. Je bent daardoor voor je beveiliging afhankelijk van een ander land, en ook data verhuist mee.
De Amerikaanse markt blijft een grote interne markt waar producten beter schalen, dat is duidelijk. Maar Maarten legt het treffend uit: “Amerikaanse bedrijven hebben vaak al 100.000 klanten. Als zij een (Europese) startup/scaleup overnemen en slechts 1% van deze klanten het nieuwe product afneemt, hebben ze de overname al binnen een jaar terugverdiend.” In Europa blijft het moeilijk om deze schaal te reproduceren, o.a. door culturele- en taalbarrières.
Het probleem zit hem niet alleen in de schaalgrootte. Europese overnames worden bemoeilijkt door het gebrek aan grote Europese technologiebedrijven die significante overnamebedragen kunnen financieren. Zoals we eerder zagen bij de uitleg over investeringsfondsen: om het gewenste rendement te halen moet een bedrijf vaak voor honderden miljoenen worden verkocht. En die kopers zijn er in Europa simpelweg te weinig.
Een mogelijke oplossing zou kunnen liggen in een beter IPO-klimaat in Europa. “Als je een bedrijf naar de beurs kunt brengen, kan het vervolgens zelf andere Europese bedrijven overnemen,” legt Maarten uit. “Maar het IPO-klimaat in Nederland is moeilijk. We hebben bijna geen techbedrijven op onze beurs, afgezien van bijv. ASML.”
De uitdaging van Europese schaalvergroting
Het creëren van Europese technologiegiganten wordt niet alleen belemmerd door financiële factoren. Het grootste obstakel ligt mogelijk in het verschil in ambitieniveau. “Een Amerikaan heeft maar één doel: naar de Nasdaq.”
Dit verschil in ambitie heeft vergaande gevolgen. Waar Amerikaanse startups vanaf dag één denken in termen van wereldwijde dominantie, zijn Europese ondernemers vaak al tevreden met bescheidener doelstellingen. Dit staat innovatie niet in de weg – Europese technologie wordt alom geprezen om haar kwaliteit – maar het belemmert wel de groei naar werkelijk grote spelers.
De techniek-business paradox
Een opvallend kenmerk van de Europese security-scene is wat je de techniek-business paradox zou kunnen noemen. “De kwaliteit van Europese developers wordt wereldwijd erkend,” zegt Bart, “maar wat opvalt is hoe weinig securitybedrijven hun propositie echt uitdrukken in een business case.”
“Het is vaak een hele technische propositie,” vervolgt hij. “Maar het vertalen naar kostenbesparingen, naar efficiency, naar de business case voor de klant – dat zie je heel weinig. Terwijl dat juist is wat de klant wil horen.” Het probleem wordt versterkt doordat veel security start-ups worden opgericht door technische founders. “Het zijn vaak techniek georiënteerde teams die samen iets beginnen,” legt Maarten uit. “Voordat er een commerciële of financiële persoon bij zit, ben je zo een paar jaar verder.”
TIN Capital probeert actief deze balans te herstellen door hun portfolio-bedrijven aan te moedigen eerder te investeren in sales en marketing. Als investeerder kunnen zij het risico dragen dat hiermee gepaard gaat. “We kunnen niet van een ondernemer die nog 6 maanden geld heeft vragen om al dat geld in sales te stoppen,” zegt Bart. “Maar we moeten ze wel een beetje uit die comfortzone halen.”
Een deel van de oplossing ligt mogelijk in betere verbindingen tussen startups en potentiële klanten. “We moeten zorgen dat startups meer in contact komen met CISO’s,” stelt Bart. “En dat CISO’s meer durven te experimenteren met nieuwe technologie, bijvoorbeeld in sandbox-omgevingen waar het risico beperkt is.”

Over Bram
Ondernemer in de security industrie, kritisch, analytisch en hands-on. Directeur Beyond Products B.V.
Bram begon zijn carrière in de bescherming van vitale infrastructuur voor de Ministeries van BZK, V&J en EZ. Na zijn tijd bij de overheid, werkte Bram bij Securitas met een focus op technologie en innovatie. Sinds 2015 is hij zelfstandig ondernemer, gespecialiseerd in het ontwikkelen en vermarkten van nieuwe innovaties. Hij vervulde interim functies bij Fox-IT, Imbema, en Quinyx AB. Bram is opgeleid aan de Nyenrode Business Universiteit en JADS University.
Bram is sinds 2020 oprichter en directeur van Beyond Products B.V., een strategisch marketingbureau op het gebied van Security en IT. Ook heeft hij het boek Security Innovation Stories geschreven, waaruit dit platform is ontstaan.
Bram zet zich voornamelijk in voor innovatie in cybersecurity, omdat daar volgens hem nog veel te halen valt. In zijn columns beschrijft hij cybersecurity principes en de brug naar innovatie.