Wanneer een overname meer brengt dan alleen activa
Bij elke overname koopt de koper niet alleen servers en klantenbestanden maar ook digitale kwetsbaarheden en lopende risico’s. Zolang de cyberpositie van het doelwit onvoldoende is onderzocht, blijft er een onzichtbare verplichting hangen die zich later in de waardering kan manifesteren. In de praktijk betekent dat gehackte credentials, achterdeuren in legacysoftware en niet-herstelde incidenten die pas na de transactie opduiken. Dit soort problemen tast niet alleen operationele continuiteit aan, maar kan ook leiden tot juridisch en financieel verlies. Kopers en investeerders moeten daarom cyberrisico s als integraal onderdeel van de waardebepaling behandelen.
Waar de cyberrisico s zich verschuilen
De meest voorkomende bronnen van onverwachte cyberrisico s bij een transactie zijn verrassend breed en soms niet zichtbaar in de standaard dossierstukken. Denk aan verouderde besturingssystemen die geen updates meer krijgen en derde partijen die ongepatchte componenten leveren. Ook bestaan er risico s in de vorm van contractuele verplichtingen en dataverwerkingsafspraken die privacyverplichtingen opleggen. Tot de concrete elementen behoren hem:
– vertrouwde maar slecht gekonfigureerde externe toegangspunten
– ondermaatse back up en recovery procedures
– gebrekkige logging en monitoring waardoor eerdere incidenten onopgemerkt blijven
– afhankelijkheden van cloudleveranciers zonder adequate beveiligingsgaranties
Cyber due diligence: meer dan een checklist
Een effectieve cyber due diligence gaat verder dan het afvinken van vragenlijsten en het bekijken van beleidsdocumenten; het vereist technisch onderzoek, gesprekken met sleutelpersonen en het testen van aannames. Een combinatie van documentreview, interviews met IT en security teams en waar mogelijk externe pentests of code-audits onthult vaak de echte gesteldheid. Het is daarbij cruciaal om te letten op aanwijzingen van eerdere inbreuken zoals onverklaarbare incidentprijzen, verhoogde kosten voor forensisch onderzoek of verzekeringsclaims. Daarnaast moet er aandacht zijn voor governance: wie heeft toegang tot kritieke systemen en hoe zijn verantwoordelijkheden en rapportagelijnen georganiseerd. Tot slot verdient de dekking van bestaande cyberverzekeringen aandacht: wat dekt de polis en welke uitsluitingen kunnen straks ongedekt blijven.
Contracten: garanties, vrijwaringen en prijsaanpassingen
Juridische instrumenten vormen de voornaamste verdedigingslinie om de aankoop tegen latere cyberclaims te beschermen, maar ze zijn alleen effectief als ze op maat en scherp geformuleerd zijn. Koopcontracten moeten specifieke warranties bevatten over securitymaatregelen, bekendgemaakte incidenten en naleving van wet en regelgeving. Vrijwaringen en escrowregelingen kunnen bescherming bieden tegen verborgen gebreken, terwijl prijsaanpassingen of earn-outs gebruikt kunnen worden om risico s te delen. Let op subclauses die de bewijslast en termijn voor het melden van incidenten bepalen, en zorg voor duidelijke afspraken over wie de kosten van forensisch onderzoek en herstel draagt. Verzekeringen kunnen een rol spelen, maar het sluiten van een polis na de transactie is vaak duurder of onmogelijk bij bekendheid van problemen.
Wat kopers direct moeten doen na closing
De eerste uren en dagen na een overname bepalen vaak hoe groot de schade wordt wanneer er een inbreuk blijkt te zijn; snelle en gestructureerde actie is dus essentieel. Binnen de eerste 72 uur behoort het volgende plan te staan:
– uitvoerige mapping van toegangspunten en actieve accounts, met onmiddellijke intrekking van onnodige rechten
– segmentatie en isolatie van kritieke infrastructuur waar nodig
– verfijnde monitoring en threat hunting om tekenen van laterale beweging te detecteren
– volledige audit van back ups en herstelprocedures inclusief test van restore
– starten van communicatieprotocollen voor interne en externe stakeholders en juridisch advies inschakelen
Door deze operaties strak te prioriteren en te alloceren, reduceert de koper de kans dat latent aanwezige kwetsbaarheden uitgroeien tot kostbare rampen.
Hoe verkopers hun waarde beschermen
Verkopende partijen doen er goed aan om voor de transactie hun cyberhuishouding op orde te brengen omdat dit verkoopwaarde creëert en onzekerheid reduceert. Een korte technische doorlichting vooraf, het sluiten van bekende kwetsbaarheden en het documenteren van securityprocessen zijn investeringen die zich terugverdienen in prijs en soepelere onderhandelingen. Openheid is daarbij een wapen; transparante disclosure van incidenten en genomen maatregelen vergroot geloofwaardigheid en voorkomt latere claims. Tegelijkertijd is het verstandig om risico s contractueel te limiteren en bewust te zijn van welke informatie tijdens due diligence gedeeld wordt om misbruik te voorkomen.
Advies voor bestuurders en investeerders
Bestuurders en investeerders moeten cyberrisico s op dezelfde strategische agenda plaatsen als financiële en operationele risico s en zich bewust zijn van de dubbele rol van cyber: het is zowel een bedreiging als een waarde-driver. Investeer in het standaardiseren van cyber due diligence protocollen binnen de transactiewerkstroom en zorg voor toegang tot technische expertise gedurende het hele proces. Overweeg de volgende stappen als vaste praktijk: het verplicht inplannen van een technische diepgaande review bij transacties boven een drempelwaarde, het opnemen van specifieke cyberclausules in letter of intenten, en het analyseren van verzekeringsdekking voorafgaand aan de afronding. Voor wie snel meer wil lezen over Europese regelgeving en best practices bestaan er nuttige openbare documenten, onder andere van de Europese instanties en netwerkagentschappen die richtlijnen en updates verstrekken, en die kunnen helpen risico s te kaderen en te mitigeren. Uiteindelijk is het integreren van security in de M en A strategie geen overhead maar een essentieel instrument om waarde te beschermen en toekomstige verrassingen te voorkomen.