Op Wall Street kreeg een toonaangevend cybersecuritybedrijf dit jaar een harde klap. Het aandeel daalde in 2026 met 32 procent door twijfel over groei en winst. Toch schatten analisten gemiddeld 24 procent herstelpotentieel in. Dat is relevant voor Nederlandse organisaties, die onder NIS2, AVG en de Europese AI-verordening gevolgen overheid en bedrijven moeten inschatten.
Beleggers vrezen groeivertraging
De koersval komt na signalen van trager wordende verkoop en hogere kosten. Grote klanten stellen contracten vaker uit en letten strenger op prijs. Dat tast het vertrouwen in de omzetgroei voor 2026 aan.
De aanbieder verkoopt beveiliging als clouddienst met abonnementen. Het gaat om software die laptops, servers en cloudomgevingen bewaakt en aanvallen snel probeert te stoppen. Wanneer groei in nieuwe abonnementen afvlakt, straft de markt dat vaak meteen af.
De concurrentie is stevig. Grote namen als CrowdStrike (Falcon), Palo Alto Networks (Cortex XDR) en Microsoft Defender bundelen functies en drukken zo de prijs. Dit zet marges en klantbehoud onder druk bij kleinere spelers.
AI-beveiliging onder vergrootglas
Leveranciers zetten zwaar in op kunstmatige intelligentie. Modellen in producten zoals CrowdStrike Falcon, SentinelOne Singularity en Palo Alto Cortex XDR analyseren logbestanden en gedrag om dreigingen te herkennen. EDR en XDR zijn systemen die apparaten en netwerken continu bewaken en incidenten automatisch afhandelen.
In de praktijk tellen twee vragen: verlaagt de AI de responstijd en dalen de operationele kosten echt. Klanten willen minder valse meldingen en minder monotone taken voor analisten. Als de winst daarvan tegenvalt, blijft de bereidheid om meer te betalen beperkt.
Ook transparantie speelt mee. Bedrijven willen weten welke data het model gebruikt en hoe beslissingen tot stand komen. Dat is nodig voor audits, verzekeringen en naleving van de AVG.
Europese regels sturen kosten
De NIS2-richtlijn verhoogt de eisen aan cybersecurity voor honderden sectoren in Europa. Denk aan energie, zorg, transport, overheid en digitale dienstverleners. Rapportage van incidenten en aantoonbare risicobeheersing worden strenger, met boetes bij nalatigheid.
De AVG blijft leidend voor persoonsgegevens. Dataminimalisatie, versleuteling en duidelijke verwerkersafspraken zijn verplicht. Voor clouddiensten betekent dit vaak opslag en verwerking binnen de EU, plus heldere logs en toegangscontrole.
De Europese AI-verordening (AI Act) legt extra plichten op voor risicovolle AI-toepassingen. Cybersecuritymodellen vallen meestal niet in de hoogste risicoklasse, maar eisen rond datakwaliteit en documentatie kunnen wel gelden. Dit vraagt om meer tooling voor uitlegbaarheid en strengere testprocessen.
Daarnaast komt de Cyber Resilience Act eraan, met basisveiligheidseisen voor netwerkproducten en software. Leveranciers moeten kwetsbaarheden sneller oplossen en langer ondersteunen. Deze regels verhogen de kosten op korte termijn, maar kunnen zwakkere aanbieders uit de markt drukken.
Analisten zien herstelkans
Ondanks de forse daling zien analisten ruimte voor herstel. Ze rekenen op groei uit uitbreidingen bij bestaande klanten en verkoop van aanvullende modules. Ook kostenbeheersing en een stabielere marge kunnen helpen.
Tegelijk blijven er risico’s. Microsoft bundelt beveiliging in bestaande licenties, wat een prijsvoordeel geeft. Daarnaast dwingen NIS2 en de AI Act tot investeringen in compliance, die de winst op korte termijn drukken.
Het aandeel verloor in 2026 32 procent, terwijl het gemiddelde koersdoel 24 procent boven de huidige koers ligt.
Voor beleggers draait het nu om bewijs. Lagere uitval in detectie, snellere respons en lagere operationele kosten moeten zichtbaar worden in cijfers. Zonder die bewijzen weegt de concurrentiedruk zwaarder.
Wat dit vraagt van inkopers
Nederlandse organisaties doen er goed aan claims rond AI in beveiliging te toetsen op meetbare uitkomsten. Vraag naar cijfers over valse meldingen, gemiddelde responstijd en totale eigendomskosten. Laat leveranciers aantonen hoe modellen zijn getraind en hoe data in de EU worden verwerkt.
Neem NIS2, AVG en de AI Act expliciet op in aanbestedingen en verwerkersovereenkomsten. Vereis EU-gegevensopslag, versleuteling en inzicht in wie toegang heeft tot logbestanden. Leg ook vast hoe incidentmelding en forensische export worden geregeld.
Let op bundels van grote aanbieders. Een bundel kan goedkoper lijken, maar vergroot soms vendor lock-in en beperkt keuzevrijheid. Overweeg een mix van tools die goed integreren met bestaande SOC-processen.
Voor publieke instellingen en vitale sectoren weegt naleving extra zwaar. Test vooraf of AI-functies uitlegbaar genoeg zijn voor audits en voor de Autoriteit Persoonsgegevens. Zo voorkomt u vertraging bij implementatie en onverwachte kosten.
Nederlandse markt in beweging
De vraag naar managed detectie en respons (MDR) groeit, vooral bij middelgrote organisaties. Europese spelers en integrators winnen terrein met diensten die NIS2 klaar zijn. Zij beloven kortere implementaties en vaste prijzen voor compliance.
Grote leveranciers openen meer EU-regio’s om aan data-eisen te voldoen. Zij bieden datalocatie in de EU en beperken overdracht naar de VS. Dit verlaagt juridische risico’s, maar kan de prijs verhogen.
De uitkomst voor het gedaalde aandeel is nog open. Als AI-functies zichtbaar waarde leveren en regels geen vertraging meer geven, is herstel mogelijk. Blijft dat uit, dan consolideert de markt verder rond de grootste platforms.
