De staat van innovatie in security 2025
Het vertrouwensdilemma: innovatie in een risicomijdende sector
Terwijl cyberdreigingen toenemen, blijft de adoptie van innovatieve security-oplossingen achter. Tenminste, dat is het heersende gevoel. Via meer dan 70 interviews met security professionals wilden we dat onderzoeken. Wat staat innovatie in de weg? En wat kunnen we daaraan doen?
Waarom dit onderzoek? Security staat nooit stil.
Bij Beyond Products – het marketing agency voor cybersecurity in Nederland – zien we dagelijks hoe security-bedrijven worstelen met het in de markt zetten van hun innovaties, en CISO’s die klagen over de manier waarop ze benaderd worden door leveranciers. Met een paar marketers uit de SaaS-wereld weten we dat het ook anders kan: kopers die meer op zoek zijn naar innovatieve tooltjes om hun werk sneller mee te doen. Het moge duidelijk zijn: het risico dat zo’n tool schade aanricht is klein.
Een jaar geleden verscheen “Security Innovation Stories“, een boek dat de succesverhalen van innovatieve security bedrijven vertelde. Dat boek was de eerste keer dat we de vraag stelden wat innovaties tegenhoudt. Nu willen we dat onderzoek kwantitatiever maken: wat zit innovatie écht in de weg?
Voor dit onderzoek spraken we met meer dan 70 security professionals – zowel CISO’s als leveranciers. We stuurden ook een survey uit die werd ingevuld door 40 mensen. We vroegen naar hun ervaringen met innovatiebarrières, budgetten en toekomstverwachtingen. Hun antwoorden bieden inzicht in het perspectief van kopers, leveranciers, de impact van regelgeving en de weg vooruit.
De belangrijkste trends in cybersecurity in 2025
Onze verwachting voor dit onderzoek was dat leveranciers vaak zouden wijzen op het gebrek aan investering als belangrijke hindernis voor innovatie. Zij begonnen echter nauwelijks uit zichzelf over investeringstekorten – dit thema kwam pas naar voren als we er expliciet naar vroegen. Hun dagelijkse zorgen liggen elders: het vinden van gekwalificeerd personeel en de uitdaging om met potentiële kopers in gesprek te komen. Hetzelfde gebeurde bij CISO’s, die totaal niet bezig waren met “grote” innovatie thema’s zoals quantum en AI, maar die vooral bezig zijn met de basis en compliance.
Daarom hebben we dit onderzoek opgebroken in twee grote thema’s: het macro-niveau en het micro-niveau. Op macro-niveau is er niet genoeg investeringsruimte om echt zelf nieuwe oplossingen te ontwikkelen. Wanneer die oplossingen er zijn, of ontwikkeld worden, loopt de communicatie tussen koper en verkoper moeilijk. CISO’s worden overspoeld met connectie-verzoeken, en leveranciers komen er niet tussen. Die spanning is natuurlijk niet nieuw, maar blijft wel de grootste uitdaging in 2025. Innovaties ontwikkelen is één ding, anderen meekrijgen een tweede.
Nederland loopt achter qua investeringen in security
Op macro-niveau verliest Europa terrein in de wereldwijde security-wedloop. De cijfers zijn onverbiddelijk: Europa investeert 2,5 keer minder in cybersecurity dan de VS en zelfs 6 keer minder in AI.
Geen innovatie-probleem, maar een adoptie-probleem
De Nederlandse security sector worstelt met innovatie-adoptie, niet met een gebrek aan ideeën. Ons onderzoek laat zien dat er een kloof bestaat tussen het ontwikkelen en het implementeren van vernieuwende oplossingen.
Mismatch tussen de vraag en aanbod van security producten
Op micro-niveau zien we een fundamentele mismatch tussen vraag en aanbod. Waar leveranciers hun innovatievermogen beoordelen met een 8,2, geven CISO’s hen slechts een 6,9.
De security prioriteiten in 2025? Afhankelijk van wie je het vraagt
De grootste uitdaging volgens CISO’s: het beheer van leveranciersrisico’s. En volgens leveranciers: de toename in het aantal aanvallen en het vinden van personeel. Uiteraard óók belangrijk, maar niet de topprioriteit.
Op basis van 40 respondenten is het moeilijk om dit écht al een kloof te noemen, maar er zijn duidelijk verschillende belangen. Daarbij beoordelen leveranciers zichzelf met een 8,2 op het gebied van innovaties, maar krijgen ze van CISO’s maar een 6,9. Hier liggen kansen voor leveranciers die zich richten op de dagelijkse security-uitdagingen in plaats van enkel technologische innovatie.
Security budgetten groeien
Voor 2025 voorziet 70% van de CISO’s een budgetverhoging, waarvan 30% zelfs een aanzienlijke stijging verwacht. Een kwart geeft aan dat hun budget gelijk blijft, terwijl slechts één CISO een budgetverlaging voorspelt.
Deze financiële ruimte biedt leveranciers nieuwe kansen, maar alleen als ze hun oplossingen beter laten aansluiten bij de werkelijke behoeften van security teams. CISO’s geven aan dat ze deze extra middelen vooral willen inzetten voor het versterken van hun security fundamenten.
Investeringen groeien mee
Mike Privette houdt een database bij met alle publieke investeringen sinds de jaren 90. Zijn onderzoek laat zien dat Europa relatief weinig investeert in cybersecurity. De Verenigde Staten investeert 2,5 keer meer dan Europa, en zelfs 6 keer meer in AI. Nog scherper is het contrast met Israël, dat met minder dan 2% van Europa’s bevolking 38 vroege-fase security investeringen genereerde in 2023, tegenover 59 in heel Europa. In 2024 werd in totaal $842.2 miljoen geïnvesteerd, en in Europa $702.1 miljoen.
In reactie op de nieuwe politieke realiteit breidt de Europese Unie haar financiële steun uit. Dat is goed nieuws voor de ontwikkeling van producten waar vaak een lange aanloop voor nodig is.
Compliance blijft een belangrijke drijver van de security-economie
Compliance en het beheer van leveranciersrisico’s vormen in 2025 de grootste uitdaging voor CISO’s. De stapeling van nieuwe regelgeving, van NIS2 tot DORA, dwingt organisaties tot het nemen van maatregelen – maar zoals altijd is de vraag is of deze aanpak wel écht bijdraagt aan onze digitale weerbaarheid. CISO’s besteden hun tijd aan het voldoen aan steeds nieuwe regelgeving, in plaats van aan het versterken van hun daadwerkelijke security.
Voor innovatieve security start-ups creëert dit een extra barrière. Het beheer van leveranciersrisico’s staat bovenaan de prioriteitenlijst van CISO’s, wat betekent dat nieuwe spelers niet alleen moeten overtuigen met hun product, maar ook hun eigen security-huishouding perfect op orde moeten hebben. Certificeringen en compliance worden daarmee niet alleen een last, maar ook een voorwaarde om überhaupt aan tafel te komen. Een “license to operate”. Investeer als start-up zijnde dus vroeg in je eigen security-fundamenten, want zonder die basis krijg je geen kans in deze markt.
Het perspectief van de CISO & de leverancier
Innovatie staat hoog op de agenda
95% van de CISO’s geeft aan te willen innoveren. Niet alleen door nieuwe tools te implementeren, maar ook qua werkwijze. Ook al voelt het voor leveranciers soms niet zo, ze maken veel tijd vrij voor het (her-)evalueren van oplossingen. Een kwart van de CISO’s evalueert doorlopend nieuwe oplossingen, 20% doet dit elk kwartaal, en 40% hanteert een jaarlijkse evaluatiecyclus. Deze verschillen weerspiegelen de diversiteit in organisatiegrootte en -complexiteit.
De uitdaging blijft echter zitten in de implementatie. Zo gaf één CISO aan dat hij niet genoeg werd ontzorgd door nieuwe leveranciers, waardoor de implementatie altijd meer tijd kost dan verwacht. Dat neemt tijd weg bij andere projecten.
Frustraties in de samenwerking met leveranciers
“Heel vaak wil ik weten ‘kan je X’ en moet ik 20 minuten luisteren naar alles behalve X,” zegt één CISO letterlijk in de survey. Dat sluit aan bij wat Martijn Eikelenboom zei: “Het kan bijna niet anders dan dat je mensen maar op hun blauwe ogen moet geloven.”
Kijkend naar het gemiddelde, zeggen CISO’s vooral dat leveranciers hun eigen oplossingen pushen. Dat lijkt misschien logisch gezien vanuit de leverancier, maar security teams houden er een vervelend gevoel aan over. Vooral omdat de juiste integraties veelal ontbreken (tweede grootste frustratie). Het opbouwen van dat vertrouwen tussen leverancier en CISO is belangrijk.
Het evalueren van nieuwe oplossingen is een tijdrovend proces
CISO’s hanteren een grondig evaluatieproces voor nieuwe security-oplossingen. Uit ons onderzoek blijkt dat ze verschillende methoden combineren: interne proefimplementaties worden door 60% gebruikt als primaire evaluatiemethode, gevolgd door gesprekken met andere CISO’s (55%) en het bijwonen van webinars en conferenties (50%). Opvallend is dat slechts 15% direct met verkoopteams in gesprek gaat, wat laat zien dat CISO’s eerst zelf een goed beeld willen vormen.
De voorkeur voor hands-on evaluatie via interne tests en het leren van ervaringen van collega’s is veelzeggend. Een CISO kan zich geen experimenten veroorloven met de beveiliging van zijn organisatie. Marketing beloftes worden pas serieus genomen nadat de werking van een oplossing is bewezen, hetzij door eigen tests of door succesvolle implementaties bij vergelijkbare organisaties. Dit verklaart waarom de weg van eerste contact tot implementatie vaak lang is – een realiteit waar leveranciers rekening mee moeten houden.
Hoe CISO’s op de hoogte blijven van trends
De focus op compliance en de “basis” bedriegt: alle CISO’s gaven aan op de hoogte te zijn van trends en ook bij te blijven op hot topics zoals cloud security, AI en quantum. Hoe ze zich informeren? Online bijvoorbeeld, via digitale webinars en presentaties. Maar ook fysieke evenementen, netwerken, online media, podcasts, enzovoort blijken een belangrijke rol te spelen bij het up-to-date blijven. Het is dus niet zo dat CISO’s niet geïnteresseerd zijn in innovatie – ze moeten simpelweg hun aandacht verdelen tussen dagelijkse operaties, compliance en toekomstgerichte technologieën.
Samengevat
De Nederlandse security sector worstelt met innovatie-adoptie, niet met een gebrek aan ideeën. Ons onderzoek onder meer dan 100 security professionals laat zien dat er een kloof bestaat tussen het ontwikkelen en het implementeren van vernieuwende oplossingen. Deze kloof manifesteert zich op verschillende niveaus.
Op macro-niveau investeerde Europa tot nu veel minder in security. Zelfs Israël, met minder dan 2% van Europa’s bevolking, investeerde in 2024 in totaal méér dan Europa. Deze achterstand komt op een gevaarlijk moment, nu geopolitieke spanningen toenemen.
Op micro-niveau zien we een mismatch tussen vraag en aanbod. CISO’s moeten veel ballen in de lucht houden en hebben niet altijd tijd voor leveranciers, die het moeilijk vinden om met hen in contact te treden. Daarbij lijkt het dat leveranciers zich op andere prioriteiten focussen dan CISO’s.
De grootste barrière voor innovatie lijkt systemisch van aard. Dit mag een open deur zijn: maar de cultuur in cybersecurity blijft risicomijdend. Dat betekent niet dat er geen nieuwe tools getest kunnen en moeten worden, vooral in de marge is daar ruimte voor.
Compliance-eisen zijn een uitdaging waar nog niet genoeg op wordt ingespeeld. Vooral als het gaat om leveranciersrisico’s – iets wat hoog op het prioriteitenlijstje staat van CISO’s.
Iedereen in security wil innoveren – op veel verschillende manieren en dit vraagt wat van alle betrokkenen: een gezamelijke aanpak.
Aanbevelingen voor CISO’s, leveranciers en beleidmakers
Voor CISO’s
Maak tijd voor innovatie
Innovaties vragen om een bewuste tijdsinvestering. Plan structureel momenten in voor het verkennen en evalueren van nieuwe oplossingen.
Begin klein, maar durf te experimenteren
Start met gerichte pilots in een gecontroleerde omgeving. Deze experimenten vormen de basis voor bredere implementatie bij succes.
Wees duidelijk in je feedback
Je inzichten zijn waardevol voor leveranciers. Deel actief je ervaringen, zowel positief als negatief, om de sector vooruit te helpen.
Voor leveranciers
Luister écht naar de CISO en hun teams
Begin met vragen stellen, niet met presenteren. Focus eerst op het begrijpen van de specifieke uitdagingen waar deze CISO voor staat.
Wees eerlijk over implementatie
De belofte van ‘plug-and-play’ is verleidelijk, maar zelden waar. Wees transparant over wat er nodig is voor succesvolle adoptie.
Vermijd marketing hype
CISO’s willen concrete voorbeelden zien van hoe jouw oplossing echte problemen oplost. Authentieke verhalen overtuigen meer dan glanzende presentaties.
Voor beleidmakers
Versterk innovatiefondsen
Nederlandse fondsen schieten tekort vergeleken met de VS en Israël. Schaal bestaande programma’s op om internationaal bij te blijven.
Moderniseer het inkoopproces
Ontwikkel speciale procedures voor innovatieve security-oplossingen. De huidige aanbestedingsregels remmen innovatie.
Creëer experimenteerruimte
Ontwikkel ‘regulatory sandboxes’ waar organisaties kunnen innoveren zonder direct alle compliance-eisen te hoeven meetellen.
Verantwoording
Dit rapport is tot stand gekomen door middel van twee vragenlijsten: één voor CISO’s en één voor leveranciers. De vragenlijsten bevatten respectievelijk 15 en 12 vragen. Bij veel vragen konden respondenten meerdere antwoorden geven, waardoor de percentages niet altijd tot exact 100% optellen.
Over de respondenten
In totaal hebben 32 security professionals deelgenomen aan het onderzoek.
- CISO Survey (20 respondenten). Zij werken bij overheidsorganisaties of gemeentes (40%), in consultancy (25%), security bedrijven (10%) en overig (25%).
- Innovator Survey (12 respondenten). Werknemers van cybersecurity leveranciers; een mix van scale-ups en gevestigde spelers.
Naast de surveys zijn er in het afgelopen jaar meer dan 70 diepte-interviews afgenomen met security professionals. Deze interviews hebben bijgedragen aan de kwalitatieve inzichten in dit rapport. Artikelen op basis van deze interviews zijn te lezen op deze website.
Download het complete rapport in PDF en PPT
Verwerk de data uit dit rapport in je eigen presentaties, business cases en meer. Download de slides en deel de inzichten met je collega’s en anderen!
Over dit rapport
Dit rapport is een initiatief van Beyond Products, het marketing agency gespecialiseerd in cybersecurity en het bedrijf achter Security Innovation Stories. Een jaar geleden publiceerden we het boek “Security Innovation Stories”, waarin we de succesverhalen van innovatieve security bedrijven vertelden. Na elk interview hoorden we: “Je moet ook echt met deze persoon praten!” Die suggesties waren waardevol en hebben geleid tot een groeiend platform voor kennisdeling in de sector.
Wat begon als een manier om onszelf scherp te houden in een snel veranderende industrie, is uitgegroeid tot een verzamelpunt voor security innovatie. We gebruiken het platform nu niet alleen om up-to-date te blijven, maar vooral om bij te dragen aan de ontwikkeling van de hele sector. We geloven dat vooruitgang in security vraagt om leiderschap en open kennisdeling – daar willen we met dit rapport en Security Innovation Stories ons steentje aan bijdragen.
Getekend: het team van Beyond Products
Bram de Bruijn
Anja den Hertog
Marloes van Vliet
Michelle Wols
Ana Miličević
