Cybersecurity due diligence in M&A: een strategische hefboom of een dure misser?
In een wereld waar digitale dreigingen exponentieel toenemen, is cybersecurity niet langer een optionele overweging, maar een cruciale factor bij fusies en overnames (M&A). Toch blijkt uit de praktijk dat cyberrisico’s nog steeds een blinde vlek vormen in veel due diligence-processen. Dit kan desastreuze gevolgen hebben: van reputatieschade tot financiële tegenvallers en zelfs het volledig ondermijnen van de dealwaarde. Dit artikel analyseert waarom cybersecurity een strategische rol zou moeten spelen in M&A-processen.
Wat hebben de megadeals van Starwood, Tiscali, Yahoo, SBTech, MyFitnessPal, Altran en Amerigroup met elkaar gemeen? Ze leken stuk voor stuk strategische meesterzetten, maar werden al snel gehuld in de schaduw van cyberincidenten – sommigen vóór, anderen tijdens of direct na de overname.
Een sprekend voorbeeld is de overname van Starwood door Marriott International in 2016. Wat een versterking van het marktaandeel had moeten zijn, werd in 2018 overschaduwd door een grootschalig datalek. Uit forensisch onderzoek bleek dat de oorsprong van de aanval lag in een reeds in 2014 gecompromitteerd bedrijfskritisch reserveringssysteem van Starwood – een risico dat tijdens het overnametraject niet was geïdentificeerd. Als gevolg van jarenlange claims en reputatieschade verloor Marriott zes procent van zijn beurswaarde door de financiële impact van het incident (Reuters, 2018).
Ironisch genoeg beschikten deze bedrijven over gerenommeerde beveiligingscertificeringen zoals ISO27001 en stonden ze bekend om hun corporate governance en volwassen IT-processen. Maar als gecertificeerde ‘compliance perfectie’ geen garantie biedt tegen digitale catastrofes, wat zeggen deze keurmerken dan écht over de werkelijke cyberweerbaarheid van een onderneming? En belangrijker: waarom blijft cybersecurity een ondergeschoven kindje in M&A due diligence, terwijl een datalek een deal in één klap kan devalueren? Hoog tijd om de heilige huisjes van traditionele due diligence te vernieuwen en te kijken wat er écht nodig is om cyberrisico’s integraal in overnametrajecten te verankeren.
Cybersecurity als blinde vlek in M&A
Uit eerder onderzoek onder 780 bedrijven in private equity portefeuilles bleek dat bijna een vijfde (19%) direct na de overname ernstige cyberrisico’s blootlegde – een onthutsend percentage voor deals die al als ‘afgerond’ en juridisch bezegeld golden. In sommige gevallen leidden deze risico’s tot operationele verstoringen, reputatieschade en onverwachte financiële tegenvallers.
Deze ‘zero tolerance findings’ toonden aan dat zelfs na intensieve due diligence IT red flags over het hoofd werden gezien. Dit roept een fundamentele vraag op: als cyberrisico’s zo’n grote impact kunnen hebben, waarom blijven ze dan een ondergeschoven aspect in het due diligence proces?
Met IT als de ruggengraat van het hedendaagse digitale tijdperk en de constante dreiging van cyberaanvallen op ondernemingen, is cybersecurity niet langer slechts een defensieve maatregel. Ook in M&A-deals, waar bedrijfsgevoelige informatie in beweging is, maken cybercriminelen geavanceerde calculaties om maximale losgeldbedragen te bepalen en organisaties te dwingen tot betaling in crypto valuta’s. Financiële diensten, gezondheidszorg en technologiebedrijven blijven aantrekkelijke doelwitten, niet alleen vanwege hun waardevolle data, maar ook vanwege de urgentie waarmee zij na een aanval moeten herstellen.
Cybersecurity groeit daardoor steeds meer uit tot een strategisch instrument dat rechtstreeks bijdraagt aan het creëren en beschermen van ondernemingswaarde. Of het nu gaat om platformacquisities, add-ons of strategische exits, de mate waarin een overnamekandidaat zijn digitale infrastructuur beheerst, kan het verschil betekenen tussen een waardevolle transactie en een kostbare misser.
De verborgen risico’s: hoe IT de dealwaarde kan uithollen
In traditionele fusies en overnames ligt de focus van due diligence vooral op financiële en juridische risico’s. Cyberrisico’s worden vaak slechts formeel afgedekt via garanties in de aandelenkoopovereenkomst, maar in de praktijk blijken deze kwetsbaarheden moeilijk te kwantificeren en juridisch niet volledig te beheersen. Dit resulteert in ‘zero tolerance findings’ – onontdekte IT systeemkwetsbaarheden die pas na closing aan het licht komen en de kernwaarde van de transactie ondermijnen.
Voorbeelden uit de praktijk tonen aan dat deze risico’s allesbehalve hypothetisch zijn. De ineenstorting van DigiNotar en het datalek bij Yahoo-Verizon laten zien hoe IT-incidenten leiden tot kostbare juridische procedures, koersdalingen en zelfs faillissementen. Kopers die onvoldoende IT due diligence uitvoeren, kunnen zichzelf onbedoeld een ‘kat in de zak’ aanschaffen, waarbij verborgen IT-problemen de toekomstige groei en synergievoordelen in rook doen opgaan. Ook technische schuldenlast – zoals verouderde systemen, onvoldoende beveiligingsmaatregelen of complexe IT legacy architecturen – kunnen de operationele efficiëntie en schaalbaarheid van een overgenomen bedrijf aantasten. Zonder een gedegen analyse kan de koper na closing onverwachte kosten en investeringen tegemoetzien die de oorspronkelijke dealassumpties ondergraven.
Cybersecurity Due Diligence als hefboom voor waardecreatie
Een goed uitgevoerd cybersecurity due diligence proces doet meer dan alleen risico’s beperken – het kan juist strategische waarde genereren. Door vroegtijdig technische tekortkomingen bloot te leggen, kunnen kopers onverwachte kosten en compliance risico’s voorkomen. Zo worden achterstallige IT-investeringen en verouderde systemen tijdig geïdentificeerd, voordat ze na closing als financiële last opduiken.
Daarnaast biedt het een potentieel onderhandelingsvoordeel. Wanneer cyberrisico’s of technische schuldenlast worden geïdentificeerd, kunnen kopers bijvoorbeeld een korting op de enterprise value afdwingen of afspraken maken over financieringsconstructies zoals loan-to-equity bridges, waardoor noodzakelijke IT-investeringen niet direct voor rekening van de koper hoeven te zijn.
IT due diligence is bovendien een katalysator voor post-merger succes. Een heldere integratiestrategie stelt koper- én verkoper in staat om direct waarde te ontsluiten en de operationele efficiëntie te maximaliseren. Goed geïntegreerde en beveiligde IT-omgevingen maken bedrijven schaalbaarder, innovatiever en weerbaarder tegen cyberdreigingen – een factor die steeds vaker meeweegt in de waarderingsmultiple. Door IT als strategisch middel te benutten in plaats van als kostenpost te zien, kan een overname dus sneller en effectiever renderen.
Voorbeeld
Een voorbeeld van hoe IT due diligence daadwerkelijk waarde toevoegt, is de case van het beursgenoteerde Heidelberg Materials. Door een cybersecurity due diligence uit te voeren op de eigen organisatie, werd inzichtelijk dat een sterke IT -security basis ontbrak om verdere groei te ondersteunen. In plaats van deze infrastructuur organisch op te bouwen, koos Heidelberg ervoor om een bedrijf over te nemen dat zijn IT-architectuur en met name cybersecurity al goed op orde had.
Een overname zoals deze bespaarde hen niet alleen tijd en kosten voor het opzetten van een interne IT-afdeling, maar versnelde ook de digitale transformatie en schaalbaarheid van de organisatie. Dit minimaliseerde het operationeel risico op IT en vergrootte het vertrouwen van aandeelhouders, wat bijdroeg aan een verdubbeling van de aandelenwaarde.
Van inzicht naar actie
Een effectieve cybersecurity due diligence gaat verder dan een standaard IT scan. Het draait niet alleen om welke technologieën en systemen aanwezig zijn, maar vooral om hoe goed de organisatie in staat is om cyberrisico’s te beheersen. Een bedrijf kan prachtige compliance certificeringen hebben en op papier een volwassen IT-afdeling runnen, maar als fundamentele controlemechanismen ontbreken, blijft het risico op een digitale ramp op de loer.
Om dit inzichtelijk te maken, begint een solide cybersecurity due diligence met een inventarisatie van alle digitale assets. Dit betekent niet alleen softwarelicenties, gebruikersaccounts, netwerk- en hardwareapparatuur, maar ook de mate waarin deze assets beschermd zijn tegen cyberdreigingen. Een versnipperd en slecht onderhouden IT-landschap wijst vaak op structurele problemen, zoals onvoldoende patchmanagement, verouderde encryptiestandaarden en gebrekkige toegang en autorisatie controles. Kortom: als de digitale infrastructuur een rommeltje is, moet je als koper scherp zijn op de werkelijke kosten die verborgen zitten in toekomstige IT-investeringen. Maar waar moet je dan precies op letten? Hier zijn enkele fundamentele aandachtsgebieden die direct impact hebben op de dealwaarde en post-merger risico’s:
1. Security governance & bewustzijn
Hoe volwassen is de organisatie op het gebied van cybersecurity? Is er een duidelijke strategie, beleid en accountability, of is het meer een ad hoc benadering? Security trainingen en awareness programma’s voor medewerkers zijn een belangrijke indicator – een cybersecuritybeleid is namelijk verwaarloosbaar als medewerkers het niet naleven.
2. Data governance & datalekken
Waar worden bedrijfs- en klantgegevens opgeslagen? Op een goed beheerd en gemonitord platform of in een jungle van verspreide databases, legacy systemen en cloudomgevingen zonder duidelijk eigenaarschap? Hoe wordt data beveiligd en beheerd? En misschien nog belangrijker: wat is de geschiedenis van datalekken en hoe is daarop gereageerd? Een bedrijf dat pas achter een incident komt als het al maanden op het (dark) web circuleert, geeft geen vertrouwen in de effectiviteit van zijn security operaties.
3. Incident response, business continuity & leveranciersafhankelijkheid
Hoe goed is de organisatie voorbereid op een cyberaanval of datalek? Zijn er duidelijke incident response plannen en disaster recovery mechanismen, en worden deze regelmatig getest? Een fundamentele vraag is: kan de overnamekandidaat zelfstandig herstellen bij een security breach of is men volledig afhankelijk van externe partijen?
Hier komt het onderscheid tussen SaaS gebaseerde infrastructuren en on-premises IT om de hoek kijken. Een organisatie die alles uitbesteedt aan derde partijen heeft minder operationele verantwoordelijkheid, maar is ook afhankelijk van de beveiligingsstandaarden en reactiesnelheid van haar leveranciers. Wat gebeurt er als die leverancier wordt gehackt? Hoe snel kan het bedrijf weer up-and-running zijn zonder volledige externe afhankelijkheid? De mate van controle over de IT-omgeving kan in veel gevallen doorslaggevend zijn voor de cyberweerbaarheid van de organisatie.
4. Kritische IT systemen & revenue impact
Niet alle IT-systemen zijn even kritisch, maar systemen die direct bijdragen aan omzet zoals e-commerceplatformen, ERP systemen en kernapplicaties verdienen extra aandacht. Een ransomware aanval op een factureringssysteem of supply chain IT kan direct financiële schade opleveren en de bedrijfscontinuïteit in het geding brengen. Toch mag het belang van andere systemen niet worden onderschat. Een hack op een HR- of CRM-systeem kan leiden tot een melding bij de autoriteiten, reputatieschade en toezichthouderboetes, zeker als gevoelige persoonsgegevens of klantdata op straat belanden.
Conclusie: geen luxe, maar noodzaak
M&A draait om het beheersen van risico’s en het maximaliseren van waarde. Toch blijft cybersecurity binnen due diligence vaak een onderbelicht aspect, terwijl de impact op dealwaarde, compliance en operationele continuïteit aanzienlijk kan zijn. Wie cybersecurity pas ná closing ontdekt, loopt het risico op onvoorziene kosten, toezichthouderboetes en een verslechterde financiële positie die mogelijk leidt tot gedwongen kostenreducties of afboekingen op de investering.
Cyberrisico’s zijn niet zomaar weg te moffelen in de koopgarantie. Een datalek of falende IT-infrastructuur na closing wordt al snel een kat in de zak wanneer blijkt dat de onderneming technisch of operationeel niet in staat is om cyberdreigingen af te weren. Wat juridisch als een afgedekt risico lijkt, kan er in de praktijk heel anders uitzien: operationele verstoringen, compliance problemen en langdurige herstelkosten. Een snelle, gerichte Cybersecurity Due Diligence biedt niet alleen bescherming tegen verborgen risico’s, maar geeft kopers ook vroegtijdig grip op de IT-structuur van de overnamekandidaat. Het voorkomt onaangename verrassingen en helpt bij een soepele integratie.
Voorts stelt niet elke sector dezelfde eisen. Een fintech met klantdata in de cloud vraagt om andere securitychecks dan een productiebedrijf met industriële IT. Maatwerk is essentieel: beoordeel data governance, leveranciersafhankelijkheid en het risico op omzetverlies wanneer kritieke systemen uitvallen.
Takeaway: neem cybersecurity mee in de kern van het due diligence proces. Stel de juiste vragen vóór closing en gebruik de inzichten als hefboom in onderhandeling en integratieplanning. Cybersecurity is geen losse compliance check, maar een strategische factor in het succes van de deal.
Lucas Kuijper is de Group Head of IT bij Normec, waar hij zich richt op IT-governance, risico en compliance. Normec is een snelgroeiende aanbieder van test-, inspectie-, certificerings- en compliance (TICC) diensten en wordt ondersteund door private equity-firma Astorg. Hij leidt IT-integratie en IT-due diligence als onderdeel van Normecs actieve buy-and-build-strategie, die heeft geleid tot meer dan zeventig overnames en bijgedragen heeft aan een bedrijfswaardering van meer dan twee miljard euro. Eerder bekleedde hij functies als IT-directeur en cybersecurityconsultant binnen grote organisaties. Als oprichter van Egenix zet hij zijn expertise in digitale transformatie in om bedrijven te helpen IT-uitdagingen te navigeren en waardecreatie te behouden. Hij heeft een masterdiploma in IT Risk & Cybersecurity Management van de Antwerp Management School.
Prof.dr. Yuri Bobbert is professor aan de Antwerp Management School (Antwerpen, België), Global Chief Security Strategy Officer bij ON2IT en mede-oprichter van Anove International. Voorheen was hij wereldwijd hoofd IT-beveiliging, risico en compliance bij NN Group NV, waar hij de digitale due diligence en integratie meegenomen bij de overname van DeltaLloyd. Deze overname, ter waarde van 2,5 miljard euro, gemaakt in de grootste levensverzekeraar van Nederland.
