Strikte regels remmen innovatie in cybersecurity bij overheid

Starre aanbestedingsprocedures staan vernieuwing van cybersecurity bij overheden in de weg. Er wordt gekozen voor de grote, bekende partijen in plaats van innovatieve oplossingen. Die innovatie is essentieel om de toenemende dreiging van cyberaanvallen het hoofd te bieden in tijden van geopolitieke spanningen. Nederlandse cybersecuritybedrijven zoals Fox-IT, SecurityMatters, RedSocks, Cybersprint, Northwave en Secura zijn internationaal toonaangevend, maar die positie staat onder druk. Dit is een conclusie uit het rapport De Staat van Innovatie in Security 2025 van adviesbureau Beyond Products.

De Verenigde Staten en Israël investeren fors in innovatie op het gebied van cybersecurity. Israël bijvoorbeeld deed in 2023 evenveel vroegefase-investeringen op dit gebied als heel Europa, terwijl de bevolking van dat land amper 2 procent is van het aantal Europeanen.

Ideeën genoeg, implementatie stokt

Het onderzoek van Beyond Products laat zien dat er onder securityprofessionals wel veel ideeën zijn voor vernieuwing, maar dat het niet lukt de toepassingen daarvan te implementeren. Er heerst in Nederland een risicomijdende cultuur, verstikkende compliance-eisen en rigide aanbestedingsvoorwaarden, die zorgen voor een uitholling van de innovatie. De sector wil wel innoveren, maar loopt vast.

Om de impasse te doorbreken, zouden beleidsmakers de aanbestedingsprocessen moeten moderniseren, bijvoorbeeld door procedures te ontwikkelen die een snelle beoordeling en implementatie van nieuwe securityoplossingen mogelijk maken. Ook zou er meer ruimte moeten komen voor overheden om te kunnen experimenteren zonder dat direct de volledige compliance-vereisten van toepassing zijn.

Communicatie verloopt stroef

De onderzoekers concluderen verder dat CISO’s en leveranciers een verschillende taal lijken te spreken. De CISO’s zoeken vooral praktische oplossingen waarmee zij de basis op orde kunnen houden door te voldoen aan de regelgeving. Leveranciers laten zich soms te veel leiden door technologische hypes. Beide moeten dus ook werken aan een betere afstemming en communicatie waardoor er wederzijds meer vertrouwen ontstaat. CISO’s raken nu gefrustreerd door agressieve verkoopstrategieën en het risico van vendor lock-in. Zij staan daardoor niet open voor nieuwe leveranciers.

De leveranciers op hun beurt lopen aan tegen trage processen bij potentiële klanten en weerstand tegen verandering. De cybersecurity-industrie maakt zich daarnaast ook zorgen over een tekort aan gekwalificeerd personeel. Dat remt de innovatiecapaciteit en de mogelijkheid tot snel implementeren van toepassingen. Daarmee komt de concurrentiepositie van Nederlandse cybersecuritybedrijven in het geding.

Dit artikel is eerder gepubliceerd bij iBestuur en Binnenlands Bestuur, zustertitels van AG Connect.