'Cybersecurity bedrijven moeten Europese spelers worden'

01 sept 2022
 | 
Auteur: Management Scope
TIIN Capital investeert in jonge bedrijven die actief zijn in cybersecurity en artificial intelligence. Dat is hard nodig, vindt partner Roel Reijnen, verantwoordelijk voor Nederlands grootste fonds in deze sector. Zijn hoop is dat een aantal bedrijven zal uitgroeien tot Europese speler, als tegenwicht voor grote Amerikaanse spelers. ‘Waarom beleggen institutionele beleggers niet veel meer in venture capital?’

Roel Reijnen was net afgestudeerd aan de TU Delft toen hij in 2006 met vier studiegenoten een tech-startup begon: Type22. Het jonge bedrijf ontwikkelde een van de eerste bagage-afhandelsystemen op luchthavens, waarmee passagiers zelf bagage kunnen inchecken. De apparaten staan nu op de vliegvelden van Eindhoven, Rotterdam, Brussel en Genève en ook op die van Seoul en Beijing. De startup groeide mede dankzij de financiële steun van TIIN Capital. In 2011 stapte deze investeerder in, net als VDL Participations en Percival Participations. ‘Het was een fantastische tijd toen we eenmaal geld en een goed team hadden om onze plannen te verwezenlijken’, zegt Reijnen met een twinkeling in zijn ogen. De zaken gingen zo goed, dat er in 2015 een succesvolle exit volgde. Het Zwitserse SITA, een internationale speler in communicatie- en IT-oplossingen voor luchttransport, nam het bedrijf over.

 

De ondernemersgeest is niet verdwenen bij Reijnen, alleen benut hij die nu vanuit de investeerdersstoel. Hetzelfde TIIN Capital, dat eerder Type22 groot had gemaakt, bood hem in 2019 een partnerfunctie aan. Reijnen is sindsdien verantwoordelijk voor het Dutch Security TechFund dat investeert in early stage-bedrijven die actief zijn in cybersecurity en artificial intelligence (ai). ‘De lol zit hem niet zozeer in het vinden van veelbelovende startups en daarop goed rendement maken. Het is vooral leuk, maar ook van groot belang om ondernemers te helpen groeien – net zoals wij dat destijds hebben meegemaakt.’ Reijnen benadrukt dat TIIN Capital meer wil bieden dan louter kapitaal. ‘We willen meedenken over de beste groeistrategie zonder te veel op de stoel van de ondernemer te zitten.’ 

 

TIIN Capital geeft zijn portfoliobedrijven daarnaast toegang tot ervaringsdeskundigen en een groot netwerk. De investeerder heeft zich gecommitteerd aan de Security Delta (HSD). In dit nationale veiligheidscluster werken zo’n 275 bedrijven, overheids- en kennisinstellingen samen om de veiligheid van onze digitaliserende samenleving te verbeteren. De samenwerking komt ook fysiek tot uiting. Zo huist TIIN Capital in hetzelfde gebouw in Den Haag als Security Delta. Relaties worden vaak ontvangen op de campus, waar regelmatig workshops of seminars worden gehouden. Hier vindt ook het gesprek plaats met Marc van Voorst tot Voorst, plaatsvervangend directeur van de Nederlandse Vereniging van Participatiemaatschappijen (NVP) over de toekomst van cybersecurity en ai. Ook de vraag welke rol investeerders spelen bij de uitdagingen komt naar voren. 

Waarom investeert TIIN Capital in cybersecurity en ai? 
‘Aanvankelijk lag de focus op veelbelovende softwarebedrijven. Geleidelijk specialiseerde TIIN Capital zich in cybersecurity en ai, omdat het een mooie nichemarkt is. We hebben inmiddels veel kennis en ervaring, we kunnen proposities goed op waarde schatten. Het gaat ook goed in de industrie. De waarderingen gingen tot nu door het dak, zowel bij in- als bij verkoop, maar door de huidige economische ontwikkelingen is er wel een sterke daling ingezet. Waren het eerst vooral grote bedrijven die aandacht hadden voor cybersecurity, nu groeit de interesse ook bij mkb-bedrijven. Ik ben persoonlijk gemotiveerd omdat ik vind dat er nog te weinig gebeurt op het gebied van cybersecurity. We proberen daarin verandering te brengen. Ons fonds is niet enorm, maar het is wel het grootste op de Nederlandse markt. Het is ontzettend belangrijk dat techbedrijven kunnen starten en groeien.’ 

Hoe biedt u meerwaarde? 
‘In de cybersecurity- en ai-sector zijn de ondernemers vaak technisch gedreven. Ze vinden hun eigen product fantastisch, maar ze kunnen het niet vermarkten. Sales is altijd het ondergeschoven kindje bij techneuten. Ik kan me nog herinneren dat bij YesDelft, incubator van TU Delft, ergens op de muur stond: Sales people are not a lower life form. Het is een boodschap die techneuten in de oren moeten knopen. Als investeerder kunnen we helpen het verschil te maken voor deze technische ondernemers.’ 

Hoe doen venture capital-investeerders het in deze markt? 
‘Het is nu nog lastig om te beoordelen. De resultaten van fondsen zijn niet altijd openbaar. Ook zijn er nog niet veel voorbeelden: de fondsen hebben immers een lange looptijd en tien jaar geleden werd er nog weinig geïnvesteerd in cybersecurity en ai. Wat ik wel kan zeggen: de waarderingen bij een exit liggen hoog, er wordt dus goed betaald voor bedrijven in deze industrie. Dat heeft ook een keerzijde. Als investeerder moet je hoog instappen en zul je dus goed je sommetjes moeten blijven maken of een investering rendabel zal zijn. Al met al verwacht ik dat de fondsen in deze industrie nog zullen groeien.’ 

Welk effect hebben geopolitieke ontwikkelingen, zoals de oorlog in Oekraïne, op uw business? 
‘Over het algemeen geldt dat een dreiging vaak goed is voor onze markt. Eind 2021 werd de ICT-wereld opgeschrikt door een kwetsbaarheid binnen Log4J-software. Het ging om een minuscuul stukje software dat in veel open source-applicaties zit. Cybercriminelen konden hiermee makkelijk toegang krijgen tot netwerken. Sinds die tijd steeg de vraag naar cybersecurity-oplossingen. Bedrijven werden alerter. Maar uiteindelijk zal een economische teruggang onze industrie ook gaan raken. Indirecte effecten van de Oekraïne-oorlog zoals inflatie en stijgende energieprijzen zullen van invloed zijn. Als bedrijven moeten reorganiseren, zullen ze misschien gaan snijden in de uitgaven aan cybersecurity. Ik heb echter goede hoop dat bedrijven doordrongen zijn van de noodzaak om te blijven investeren in cybersecurity. Als ze het goed op orde hebben, kunnen ze zich onderscheiden van concurrenten.’ 

Welke uitdagingen zijn er voor investeerders? 
‘Het gaat heel goed, maar er zijn ook risico’s. We houden er rekening mee dat het moeilijker wordt om geld op te halen. Investeerders zullen vaker de hand op de knip houden. De multiple – een bedrijfswaardering waarbij wordt uitgegaan van een veelvoud van de omzet – gaat geleidelijk naar beneden. Het is een gevaar dat je aankoopt voor een hoog bedrag en verkoopt tegen een te laag bedrag. Daarnaast zullen we vooral goed moeten letten op de early stage-bedrijven die nog geen product-market fit hebben. Zij bieden nog geen product dat zich op de markt bewezen heeft. Voor deze groep wordt het lastiger financiering aan te trekken. Lange tijd was er geld genoeg, maar nu worden investeerders voorzichtiger. We zijn er bij deze portfoliobedrijven nog scherper op dat hun product snel naar de markt wordt gebracht. Als het moet tegen een lagere waardering, het gevaar bestaat dat het product het anders helemaal niet redt.’ 

Hoe gaat TIIN Capital om met ethische dilemma’s? 
‘We zullen nooit investeren in producten die kwaadwillend gebruikt kunnen worden. Zo klopte er ooit een bedrijf aan dat een extreem beveiligde telefoon wilde ontwikkelen. De gebruiker zou hiermee zeker weten nooit afgeluisterd kunnen worden. Hoewel de ondernemer goede intenties had, kwam er geen deal. We willen niet het risico lopen dat zo’n product in verkeerde handen terechtkomt. Gelukkig bieden de meeste ondernemers juist ai-oplossingen voor ethische dilemma’s. Een mooi voorbeeld is ons portfoliobedrijf Syntho, dat data kan synthetiseren. Deze data worden door algoritmes gegenereerd. Het algoritme gebruikt de werkelijke data als basis en neemt de statistische patronen over. Een belangrijke ontwikkeling: synthetische data zijn namelijk niet te herleiden naar personen of bedrijven. Het is een innovatie die heel erg nodig is. Voor wetenschappers is het vanuit privacy-oogpunt ingewikkeld om onderling patiëntgegevens te delen. Dat remt de innovatie. Soms gebeurt het stiekem: dan worden er data gebruikt die eigenlijk niet gebruikt mogen worden. Of er komt veel contractueel werk aan te pas: data mogen dan onder bepaalde voorwaarden voor bepaalde toepassingen en voor een bepaalde termijn gebruikt worden. Ook Sygno is een veelbelovende startup. Zij maken ai-modellen die door banken worden gebruikt om fraude en witwassen te voorkomen. Met de traditionele modellen worden groepen gedetecteerd waarvan bij voorbaat wordt verwacht dat er afwijkingen zullen zijn. Dat is kwalijk. Sygno doet het andersom en maakt gebruik van zogenaamde explainable ai: de modellen focussen ook op de goede groep om afwijkend gedrag te detecteren.’ 

Hoe geeft u invulling aan ESG en diversiteitsdoelstellingen? 
‘We hebben ons aangesloten bij de Fundright-beweging. Daarmee streven we samen met 20 andere venture capital-investeerders naar divers samengestelde managementteams bij onze portfoliobedrijven. Eind 2022 moeten die teams voor 25 procent uit vrouwen bestaan. De vrouwen zijn er wel degelijk, je moet er gewoon harder naar zoeken. Ook willen we meer mensen met een migratieachtergrond terugzien in onze bedrijvenportefeuille. Ik heb zelf ervaren hoe fantastisch het is om in een team met mensen van verschillende nationaliteiten te werken. Het geeft zoveel meer dynamiek binnen een bedrijf. Overigens wijzen we jonge bedrijven er ook nog wel eens op dat ze oudere, meer ervaren mensen moeten durven aannemen.’ 

Hoe zullen bedrijven in cybersecurity en ai zich in de toekomst ontwikkelen? 
‘Ik voorzie veel groei. Tegelijkertijd komt er meer regelgeving op ons af. Ik zie drie belangrijke trends. Allereerst, er was altijd veel aandacht voor IT, maar die verschuift geleidelijk naar operational technology. Ofwel, hoe beveiligen we de vitale infrastructuur van een organisatie? Ten tweede, er zijn weinig security analysts op de arbeidsmarkt. Als het systeem nu een security alert afgeeft vanwege een mogelijke dreiging, worden deze steeds vaker automatisch afgehandeld. Als derde trend constateer ik dat verzekeren steeds vaker mogelijk is in de security-sector. We kunnen steeds beter risico’s inschatten. We kunnen de dreiging monitoren en een extra slot op het netwerk zetten als dat nodig is. Bedrijven krijgen een verzekering aangeboden als zij aan verschillende voorwaarden voldoen.’ 

Hoe presteren Nederland en Europa op het gebied van cybersecurity? 
‘Er zijn nauwelijks grote Europese cybersecurity-bedrijven. In het Verenigd Koninkrijk en in de Verenigde Staten zijn die grote bedrijven er wel. Startups en scaleups worden in veel gevallen door grote spelers uit die landen overgenomen. Dat is geen goede ontwikkeling. We hebben mooie bedrijven in Nederland maar die zijn nog te klein om Europees op te schalen. Ik hoop dat uiteindelijk één van hen toch zal uitgroeien tot Europees speler. Dat is hard nodig. Het gebrek aan grote spelers is een uitdaging voor ons, voor ondernemers en voor de EU. Zeker uit geopolitiek oogpunt is het niet wenselijk om te afhankelijk te zijn van Amerikaanse bedrijven. Er moet meer evenwicht zijn.’ 

Hoe bereik je dat? 
‘Door meer kapitaal beschikbaar te stellen. Vanuit de EU, maar er zou ook meer privaat kapitaal naar de sector mogen. Waarom beleggen institutionele beleggers, zoals pensioenfondsen, niet veel meer in venture capital? Maar ook ondernemers in cybersecurity zouden andere afwegingen mogen maken. Het is heel verleidelijk om je bedrijf voor de hoogste prijs te verkopen aan een Angelsaksische partij. Maar je zou ook kunnen fuseren met een Franse of Duitse speler, zo zouden er grotere Europese spelers kunnen ontstaan. Een private equity-investeerder zou met een buy and build-strategie een belangrijke rol kunnen spelen.’ 

Welke boodschap heeft u voor bestuurders en commissarissen? 
‘Ik heb er drie. Allereerst verdient cybersecurity serieuze aandacht. De basis moet goed op orde zijn. Zorg voor een goed wachtwoord-management, two-factor authentication en weet welke mensen bij welke bestanden kunnen. Het klinkt simpel, maar bedrijven hebben het nog niet altijd goed geregeld. Het is als in de echte wereld: met een goed slot op het digitale netwerk, gaat een hacker eerder naar de buurman. 

 

Mijn tweede boodschap is: ik signaleer dat bedrijven graag data scientists aannemen en met deze professionals het wiel opnieuw proberen uit te vinden. Vaak komt het ook tot een toffe innovatie, maar strandt het idee omdat implementatie toch lastiger blijkt dan gedacht. Waarom zou je dat niet uitbesteden, er zijn partijen die dit goed kunnen. Tenslotte zou ik erop willen wijzen dat het belangrijk is om te begrijpen wat ai is en hoe modellen worden gebouwd. Dat er altijd sprake zal zijn van vooroordelen ofwel biases, omdat mensen deze modellen trainen. Mensen zijn niet in staat om de wereld objectief te begrijpen, de aannames in de aangeboden trainingsdata worden door de machine learning-modellen overgenomen. Zorg er daarom voor dat ai-modellen toetsbaar zijn en dat je het ook regelmatig blijft doen. Zet bijvoorbeeld een toetsingscommissie op. Daarmee voorkom je een hoop ellende.’ 

Hoe zou de kennis van bestuurders en commissarissen verbeterd kunnen worden? 
‘Door data scientists belangrijker te maken in de organisatie en vaker met ze te praten. Daarnaast zouden bestuurders workshops kunnen volgen waarin ze de basis krijgen uitgelegd. Dat is nog leuk ook. Ai wordt nu nog vaak als eng ervaren. Het is soms ook magisch. Maar als je in grote lijnen begrijpt wat er gebeurt, is het minder spannend.’

Bron: Management Scope 07 2022.

Interviewer: Marc van Voorst tot Voorst | Auteur: Ellis Bloembergen | Beeld: Gregor Servais

Betrokken HSD partners

Meer Nieuws

Al het laatste nieuws