In Europa werkt de markt voor cyberveiligheid nog niet optimaal. Het gevolg is dat afnemers de keuze hebben tussen relatief dure, maar controleerbare nationale producten en relatief goedkope, maar moeilijk controleerbare buitenlandse producten. Dat stelt het Centraal Planbureau in de CPB Policy Brief Knelpunten op de markt voor cyberveiligheid.
Voor een beter functionerende markt voor cyberveiligheid noemt het rapport verschillende beleidsrichtingen. In Europa kunnen (internationale) afspraken worden gemaakt over cyberveiligheid: een digitale variant op de Geneefse Conventies. Hierin kunnen afspraken komen over ‘zero-days’ (weeffoutjes in software die onbekend zijn bij de leverancier en waardoor digitaal kan worden ingebroken) en over ‘achterdeurtjes’ (bewust ingebouwde technieken om bijvoorbeeld een wachtwoord te omzeilen). Zulke afspraken kunnen het vertrouwen in buitenlandse producten vergroten waardoor afnemers meer keuze hebben. Dit komt de marktwerking ten goede.
Daarnaast kan de bewustwording over cybergevaren, en daarmee de vraag naar cyberveiligheidsproducten, worden vergroot, bijvoorbeeld door bedrijven een ‘cyberveiligheidsparagraaf’ in hun jaarverslag te laten opnemen.
De twee belangrijkste knelpunten waardoor de Europese markt nog niet optimaal werkt, zijn onvoldoende vertrouwen in het aanbod van buitenlandse cyberveiligheidsbedrijven en onvoldoende mogelijkheden voor Europese aanbieders om schaalvoordelen te creëren. Het vertrouwenstekort speelt vooral in het hoogwaardige segment (zoals bij de beveiliging van staatsgeheimen of van gevoelige informatie) en wordt gevoed door incidenten waaruit blijkt dat inlichtingendiensten ook bevriende landen bespioneren. De schaalvoordelen blijven nog onbenut doordat de markt voor cyberveiligheid in Europa relatief onvolwassen is. In de VS is de vraag naar cyberveiligheidsproducten groter en die kwam daar bovendien eerder op gang. Door deze markt in Europa beter te laten werken, kunnen Europese bedrijven beter concurreren met de grote aanbieders, met name Amerikaanse zoals bij de levering van antivirussoftware en monitoringsdiensten. Dit zorgt voor meer vertrouwen in en hogere kwaliteit van het cyberveiligheidsaanbod.