Cybersäkerhet är viktigare än det någonsin tidigare, för individer, för stater, för samhällen. När det gäller forskning och innovation ligger EU långt framme inom cybersäkerhet, det är de flesta överens om. Men någonting händer på vägen. För när det gäller att få fram – och framför allt behålla – potenta cybersäkerhetsbolag har EU halkat efter länder som USA och Israel.
I det omvärldsläge som nu råder har detta blivit ett alarmerande problem och nu gäller det att hitta sätt att kunna omsätta forskningen som finns här till slagkraftiga bolag som gör att kompetensen och kunnandet stannar i Europa.
Det är bakgrunden till att Europeiska investeringsbanken nu slår på stora trumman för en ny plattform som göra så att unga lovande cybersäkerhetsbolag ska kunna möta investerare, riskkapital och offentliga investeringar på ett tidigt skede, något som ska ge dem tillräckliga ekonomiska muskler för att fortsätta sin teknikutveckling på egen hand och växa.
Flyttar till USA
Detta i stället för att köpas upp eller flytta. Framför allt är det USA som brukar locka de unga spjutspetsföretagen.
För att ta ett par exempel från Sverige: Tidigare i höstas gick svenska Detectify ut med att de tagit in 10 miljoner dollar i riskkapital i en runda som leddes av amerikanska riskkapitalbolaget Insight Partners.
Samma Insight Partners blev 2019 majoritetsägare i svenskgrundade Recorded Future och köpte då bland annat ut Google Ventures. Det lovordade cybersäkerhetsbolaget har sin bas i Boston i USA.
Vidare: Svenska Yubicos grundare flyttade till USA och gjorde succé med sin säkerhetsnyckel Yubikey.
Listan skulle kunna göras längre.
Det här är en trend som behöver vändas.
– Tillgången till pålitliga produkter och tjänster som är utvecklade i Europa är en prioritet. Det finns kompetens, men alldeles för många lovande och innovativa cybersäkerhetsföretag med ursprung i EU flyttar till andra delar av världen, särskilt eftersom det finns bättre tillgång till finansiering där, säger Roberto Viola, som är chef för EU-kommissionens avdelning för kommunikationsnätverk och teknik, i en kommentar till rapporten.
Projektet är i sin linda och kallas European Cybersecurity Investment Platform.
Investerar enorma belopp
Anders Jonson, grundare av Secureappbox, håller med om bilden av att europeiska cybersäkerhetsbolag i alldeles för hög utsträckning flyttar utomlands och särskilt då till USA.
– Så har det absolut varit. De får helt enkelt bättre betalt där, värderingarna är högre eftersom det råder en annan syn på entreprenörskap där. I USA tittar man på hur mycket en plattform kan bli värd i framtiden när man går in med kapital. I Europa tittar man mer på hur mycket vinst den genererar i dag.
Det här har inneburit att företag som Microsoft, Amazon och Google, som investerar enorma belopp i cybersäkerhet, har kunnat köpa upp lovande europeiska leverantörer, menar han. Dessutom har amerikanska riskkapitalbolag varit på hugget på ett annat sätt än de europeiska.
– Vi kan inte ha en sådan braindrain som vi har haft, och det är ju det som EU har insett och det är därför de kommer med de här initiativen, säger Anders Jonson.
Anders Jonson, som själv är involverad i flera EU-projekt och bland annat arbetar med Cybersecurity act för cybersäkerhetsbyrån Enisa, säger att EU har två verktyg att ta till för att stärka den europeiska cybersäkerheten ur ett leverantörsperspektiv.
Det ena är de regulatoriska bitarna, där unionen ligger långt fram för att skapa det man brukar kalla digital suveränitet, det vill säga att inte vara beroende av andra länder som USA eller Kina. Det andra är finansieringsstöd.
– Det handlar inte om att stänga ute leverantörerer från andra länder. Men vi måste hitta en balans och vi måste kunna behålla kompetens inom Europa för till exempel känslig infrastruktur, så att vi inte blir för beroende av andra länder.
– Vi måste vara självförsörjande inom ett antal kompetenser och områden, så att vi inte står och faller med ett presidentbyte i USA eller förändringar i Kina. Vi har Ericsson på 5G, Bosch, Siemens och flera andra, men på cybersäkerhetsområdet är vi tunna.
Svårt att växa
Cybersäkerhetssektorn är kärnan i att skydda båda våra personliga och affärsmässiga data i en värld som både är mer geopolitiskt instabil och där den avancerade brottsligheten allt mer letat sig in på internet, konstaterar Kris Peeters, som är vice ordförande för Europeiska investeringsbanken. Han levererar sedan en rejäl salva mot rådande situation i rapporten:
Cybersäkerhetsföretag inom EU har svårt att växa, skala upp och expandera sina verksamheter. Därför tenderar de att hamna i underläge mot sina internationella kollegor, de är färre till antalet och får mindre kapital. Deras kapacitet vad gäller produktutveckling är mindre mogen och de har sämre förmåga att nå nya marknader.
Dessutom köps de oftare upp av större utländska företag, menar han.
En stor del av förklaringen handlar om finansiering. Den europeiska cybersäkerhetssektorn saknar specialiserade investerare och de offentliga utgifterna har varit lägre än i USA och dessutom mest riktats in mot forskning- och utvecklingsstadiet.
Det behövs ett omtag, kort och gott. Vad Europeiska investeringsbanken nu vill bygga är en investeringsplattform som ska ta itu med de här svagheterna. Den ska både tillhandahålla finansiering, särskilt under uppskalning och expansion, men även tekniskt stöd för att underlätta tillgången till finansiering.
Pengar från flera håll
Plattformen ska också vidareutveckla EU:s ekosystem för cybersäkerhet, bland att genom att matcha entreprenörer och investerare.
Möjliga finansieringskällor till det europeiska cybersäkerhetsprojektet skulle kunna vara InvestEU, en befintlig fond som ska göra investeringar på 372 miljarder euro mellan 2021 och 2027, men mycket av finansieringen skulle också komma från affärsbanker, privata stiftelser och andra investerare, är tanken.
Vad säger då Anders Jonson om Europeiska investeringsbankens initiativ?
– Jag tycker det är ett bra anslag och behovet är väldigt stort. Jag hoppas också att de kopplar det här till en marknadsplats med europeiska bolag, som till exempel EU Alliance for industrial data edge & cloud och initiativet EU Cloud Rulebook, så att bolagen som verkligen satsar på EU får exponering. För problemet för små och medelstora bolag är ju också hur man ska nå ut. Hur skall organisationer i Italien och Spanien våga lita på svenskt säkerhetsbolag?