Het onderzoeksrapport "Economische kansen van de Nederlandse cybersecurity sector" is geschreven door Dialogic in opdracht van het Ministerie van Economische Zaken en Klimaat.
Onderzoeksvragen
1. Wat is op dit moment het economisch verdienvermogen van Nederland op het gebied
van cybersecurity?
2. Wat is het potentieel van de cybersecuritysector? Welke toekomstige trends op het
gebied van cybersecurity zullen naar verwachting effect hebben op het verdienvermogen?
3. Wat kan de overheid doen om bovengenoemd economisch potentieel te realiseren?
Sterktes en zwaktes van de Nederlandse cybersecuritysector
De Nederlandse cybersecuritysector kent verschillende sterktes. Ten eerste kent de sector
een flinke groei van 10% tot 15% per jaar. In 2020 draaide de sector een omzet van €26
miljard, behaalde een toegevoegde waarde van bijna €13 miljard en kende de sector ruim
130.000 werknemers. De cybersecuritysector omvat daarmee circa 0,9% van de
Nederlandse economie. Ten tweede kan de sector goed voldoen aan de binnenlandse vraag
naar diensten. Ook kent Nederland een sterke kennisbasis in onderzoek naar cryptografie.
Het heeft decennia geduurd om deze positie op te bouwen. Tenslotte bevat de sector
hoogwaardige integrators kunnen cybersecurity gebruiken om een competitief voordeel te
realiseren. Nederland heeft een hoogwaardige economische structuur waarin de integratie
van cybersecurity een competitief voordeel kan zijn.
De Nederlandse cybersecurity sector heeft echter ook enkele zwaktes. Zo kent de sector
weinig private cyber R&D, en is er sprake van een sector die sterk R&D-intensief is, maar
Nederlands bedrijven doen hier relatief beperkt aan. Daarnaast is de output van de sector
is beperkt te exporteren. De Nederlandse sector is gericht op diensten en deze laten zich
minder goed exporteren dan software, hardware en managed services. Door de focus op
diensten is de sector kent grote afhankelijkheid van buitenlandse leveranciers. Om de
nationale markt te kunnen bedienen wordt er sterk geleund om buitenlandse leveranciers
van hardware, software en managed services. Tot slot bestaat de markt overwegend uit
MKB en ZZP’ers. Hierdoor kent de sector een relatief beperkte slagkracht.
Kansen en bedreigingen voor de Nederlandse cybersecuritysector
De Nederlandse cybersecuritysector kent veel kansen, waaronder het feit dat Nederland
goed is in de integratie van alfa-, bèta- en gammawetenschappen. Met een groeiende
cybersecuritysector wordt een interdisciplinaire insteek steeds belangrijker. Daarnaast
biedt de opkomst van AI groeiende mogelijkheden om mensenwerk via AI uit te voeren.
De kansen die AI biedt zijn de afgelopen jaren sterk toegenomen. Ook heeft Nederland
een sterke kennisbasis in kwantumtechnologie. Dit kan worden ingezet voor nieuwe vorm
van encryptie. Op Europees niveau biedt de invoering van de NIS en de CRA kansen
doordat het nieuwe eisen stelt aan de marktpartijen waarop de sector kan anticiperen.
Tenslotte is Nederland een aantrekkelijke vestigingsplaats voor NGO’s en IO's.
Toekomstige, nog op te richten, organisaties die zich richten op vrede en veiligheid in het
digitale domein kunnen zich wellicht in Den Haag vestigen.
Daarnaast kent de Nederlandse cybersecuritysector enkele bedreigingen. De (mogelijk)
grootste dreiging komt door het flinke tekort aan personeel met een cybersecurityprofiel.
Ook de beperkte awareness bij organisaties en consumenten over risico’s waardoor er
meer risico wordt gelopen dan nodig is. Een andere bedreiging is het feit dat bedrijven die
schaal krijgen snel worden overgenomen door externe (buitenlandse) partijen. Hierdoor
kan de sector in Nederland zich beperkt ontwikkelen. Ook het gebrek aan venture capital
werkt mee aan een tekort aan scale-ups omdat de conversie van startup naar scale-up
lastig is. Een andere bedreiging ligt bij de overheid, welke niet zwaar investeert. Er zijn
andere landen waar de overheid, als gevolg van een externe dreiging, sterk investeert
waardoor een de sector zich goed ontwikkeld. Tot slot wordt er momenteel geen
eenduidige visie overheid op cybersecurity ervaren. Er is sprake van fragmentatie van
beleid. Met de publicatie van de NLCS wordt hieraan gewerkt, dit is echter nog te recent
om een effect hiervan te ervaren.
Beleidsopties
Vanuit de SWOT-analyse komen vier aspecten naar voren waar het voeren van beleid het
meest voor de hand ligt.
1. Met ontwikkelingen op het gebied van AI is het mogelijk om meer te kunnen doen met
minder mensen. Op deze manier kan de sector blijven groeien ondanks krapte op de
arbeidsmarkt. Bovendien biedt dit kansen voor exporteerbare producten. De brug tussen
AI en cybersecurity moet vaker gelegd worden. Dit kan bijvoorbeeld via SBIR-aanvragen
en de aansluiting bij het Groeifonds.
2. Zorgen voor kwantitatief en kwalitatief voldoende cybersecurityprofessionals. Er wordt
al veel beleid gevoerd op dit onderwerp en het is opgenomen in de doelstellingen van de
NLCS. Hoewel er mogelijkheden zijn om deze inspanningen verder te intensiveren, is het
aanvullend belangrijk dat de visie op de aanpak van arbeidsmarkttekorten op het gebied
van cybersecurity gaat passen binnen een meer integraal perspectief over hoe
verschillende arbeidsmarkttekorten zich tot elkaar verhouden en wat we daar binnen
Nederland aan willen doen. Er is nu immers sprake van ‘beleidsconcurrentie’ ten aanzien
van het schaarse menselijk kapitaal waar de arbeidsmarkt in brede zin (ICT- en niet-ICT)
over beschikt.
3. Voorkomen dat veelbelovende cybersecuritybedrijven in buitenlandse handen vallen
zodat de Nederlandse sector zich beter kan ontwikkelen en afhankelijkheden worden
beperkt, bijvoorbeeld door inzet van wet- en regelgeving en/of door het stimuleren van
beschikbaar kapitaal voor de betreffende bedrijven. Wederom zou dit in een breder kader
van sectoraal industriebeleid geplaatst moeten worden. Hierbij speelt ook inkoopbeleid
van het Rijk en Europese afstemming een grote rol.
4. Versterken van bewustzijn bij gebruikers. Er zijn al veel initiatieven op allerlei
geografische en sectorale niveaus. Optimalisatie kan vooral plaatsvinden door betere
afstemming in het ecosysteem.
Het hele rapport vind je hier.