Drie jaar geleden was de praktische vraag voor een MSP die een cybersecuritypraktijk opbouwde welk ‘vCISO-platform’ hij moest kopen. De term was een goede afkorting voor het werk van die tijd: beoordelingen, advies, rapportage, misschien een compliance-module ernaast. Het werk is sindsdien de descriptor ontgroeid.
Een Security Growth Platform is de preciezere naam voor wat MSP’s en MSSP’s nodig hebben van de software die hun beveiligingspraktijken in 2026 uitvoert. Het combineert beveiligingsprogrammabeheer, beslissingsinformatie op CISO-niveau, multi-tenant portfolio-architectuur en omzetinformatie in één systeem. Traditionele GRC-platforms houden de naleving bij, vCISO-tools ondersteunen afzonderlijke adviesopdrachten, en compliance-platforms voor ondernemingen richten zich rechtstreeks op eindklanten. Geen enkele is gebouwd rond de werkeenheid die een moderne MSP-beveiligingspraktijk definieert: het portfolio.
Waarom het werk de term ontgroeide
De vraag bleef de categorie die het noemde groeien. De uitgaven voor cyberbeveiliging van het MKB zullen in 2026 naar verwachting 109 miljard dollar bedragen, waarbij kleine en middelgrote bedrijven ongeveer 60% van de wereldwijde uitgaven voor cyberbeveiliging voor hun rekening nemen (Analysys Mason), en het grootste deel van dat aandeel via dienstverleners verloopt. Het MKB dat voor beveiliging betaalt, beschikt niet over een interne CISO-functie. De MSP is de beveiligingsfunctie, en wat ‘de beveiligingsfunctie’ moet doen, gaat veel verder dan waarvoor een vCISO-methodologie was ontworpen.
Wat groter werd, was het werk zelf. De tools die zijn ontworpen voor solo-vCISO-opdrachten beschrijven steeds vaker slechts een deel ervan, en de platforms die zijn gebouwd voor bedrijfscompliance waren überhaupt nooit voor deze klant gebouwd. De categorie tussen deze twee referentiepunten werd steeds groter, terwijl de beschikbare taal om het te beschrijven bleef waar het was.
De drie gaten die een nieuw niveau hebben gecreëerd
De reden dat een nieuwe descriptor nodig is, komt neer op drie structurele hiaten in de reeds aangeboden categorieën. De Security Growth Platform-laag bestaat omdat drie verschillende softwarecategorieën elk niet dezelfde koper konden bedienen, en elke kloof eerder structureel is dan een tekort aan functies.
GRC-platforms zijn niet gebouwd voor MSP-levering
Enterprise compliance-automatiseringsplatforms groeiden uit tot de dominante spelers op hun niveau door de compliance te automatiseren voor bedrijven met interne beveiligingsteams. De architectuur optimaliseert de nalevingshouding van één klant, controleert de bibliotheek, het verzamelen van bewijsmateriaal en de auditcyclus. De recente herpositionering op dat niveau rond agentische AI en vertrouwensautomatisering versterkt deze richting: het antwoord op de uitbreiding van de categorie is de automatisering van het vertrouwen van eindklanten, en niet de infrastructuur voor de levering van dienstverleners.
Die architectuur wordt niet overgedragen aan een serviceprovider die beveiligingsprogramma’s uitvoert voor 30 of 100 MKB-clients, waarbij er geen intern beveiligingsteam is en de MSP zelf de beveiligingsfunctie is. Een platform dat is gebouwd rond de beveiligingshouding van één klant, kan niet gemakkelijk worden omgezet in een serviceleveringssysteem voor meerdere huurders; het uitgangspunt moet op architectonisch niveau veranderen.
Standalone vCISO-tools ontberen naleving en automatiseringsdiepte
De categorie vCISO-services zelf is reëel en groeit. De mondiale markt zal in 2026 naar verwachting $1,2 miljard bedragen, met een CAGR van 6,3% tot 2035 (Business Research Insights).
De daarvoor gebouwde tools waren gericht op de consultant die het werk deed: beoordelingssjablonen, advieskaders en rapportagedecks. Dat werkt goed voor één senior persoon die één opdracht levert. Het werkt minder goed voor een MSP met 30 klanten die de beveiliging als een doorlopend programma voor elk account moet uitvoeren. Compliance-eisen zijn ook veeleisender geworden: 85% van de organisaties meldt dat compliance complexer is dan drie jaar geleden (PwC Global Compliance Study 2025). Dat is de diepgang waarvoor de oorspronkelijke vCISO-tools niet waren ontworpen.
vCISO-tools automatiseren zelden de diepgang van de compliance. Veel partners gebruikten de vCISO-tool voor advieswerk en kozen voor een apart GRC-platform voor auditwerk, waardoor ze uiteindelijk twee systemen, twee bronnen van waarheid en geen uniform programma hadden.
Enterprise-First complianceplatforms concurreren met het kanaal
Enterprise-complianceplatforms verkopen rechtstreeks; dienstverleners komen ze vaak tegen wanneer een klant uit het MKB om de naam vraagt, meestal omdat een investeerder of zakelijke koper SOC 2 eiste. In die motie wordt de MSP behandeld als een verwijzingskanaal in plaats van als een partner; de economie stroomt naar het platform, niet naar de praktijk die het beveiligingsprogramma uitvoert.
De witte ruimte ontstond omdat de bedrijfsplatforms een structurele keuze maakten om direct te gaan, en de channel-native tools een structurele keuze maakten om beperkt te blijven op het gebied van compliance. Echte intelligentie op CISO-niveau met 100% partner-only levering, met voor het MKB toegankelijke prijzen en omzetanalyses op portefeuilleniveau, viel in een gat dat geen enkele bestaande categorie claimde.
De vierlaagse MSP-cyberbeveiligingsmarkt in 2026
De markt wordt onderverdeeld in vier niveaus, op basis van voor wie het platform is gebouwd en hoe het op de markt wordt gebracht.
| Laag | Gebouwd voor | Kanaalmodel |
|---|---|---|
| Automatisering van compliance op ondernemingsniveau | Eindklanten met interne beveiligingsteams | Direct eerst |
| Platform voor beveiligingsgroei | Serviceproviders die beveiligingspraktijken leveren, opschalen en uitbreiden | 100% alleen partner |
| MSP-native Cyber GRC en vCISO | Compliance-tracking en auditgereedheid via MSP’s | Kanaalvriendelijk |
| MSP-advies- en beoordelingsinstrumenten | QBR’s, vCIO-presentaties, leveranciersneutrale beoordelingen | Kanaal |
De enterprise-laag domineert de top en bedient voornamelijk bedrijven uit het middensegment en groeifasen die SOC 2 of ISO 27001 nastreven om inkomsten te genereren, in een directe beweging waarbij de MSP zelden centraal staat. De MSP-native Cyber GRC-laag clustert rond compliance-management als toegangspunt, wat partners goed van pas komt wanneer het volgen van compliance de primaire behoefte is. De advies- en beoordelingslaag ligt dichter bij een vCIO-functie dan bij een beveiligingsfunctie: lagere prijzen, een beperkter bereik van mogelijkheden, ontworpen voor zakelijke beoordelingen en presentaties in plaats van het uitvoeren van een beveiligingsprogramma.
De Security Growth Platform-laag is een eigen categorie omdat het zwaartepunt anders is. Compliance is eerder een resultaat van het programma dan een startpunt. Cynomi is het genoemde voorbeeld van het niveau; De ontwerpkeuzes, de capaciteitenset en het 100% partner-only commerciële model van het platform bepalen hoe het niveau er in de praktijk uitziet.
Wat definieert een platform voor beveiligingsgroei
Vijf mogelijkheden definiëren de laag. Een platform zonder alle vijf zit in een andere categorie.
CISO Intelligence ingebouwd. De besluitvormingslogica van een ervaren beveiligingsleider, geïntegreerd in de AI-infrastructuur van het platform en begeleide workflows. Dit is wat elk getraind teamlid in staat stelt adviesresultaten op senior niveau te leveren in plaats van te reproduceren wat een senior consultant alleen kan doen. Cynomi’s term voor deze mogelijkheid is CISO Intelligence; het is een gestructureerde methodologie in plaats van de generieke ‘AI-aangedreven’ beweringen die opduiken in de bredere compliance- en GRC-markt.
Uniforme beveiliging, risico’s en compliance in meer dan 40 frameworks. Eén beoordeling brengt de controles in kaart voor NIST CSF 2.0, CIS Controls, ISO 27001, SOC 2, HIPAA, CMMC, GDPR, NIS2 en DORA. Compliance wordt een resultaat van het beveiligingsprogramma in plaats van een parallelle werkstroom. Cynomi levert dit via zijn uniforme framework-engine.
Compleet beheer van de beveiligingslevenscyclus. Contextbewuste onboarding, op risico gebaseerde prioritering, geautomatiseerde routekaarten voor herstel, taakgestuurde uitvoering, beleidsautomatisering, bedrijfsimpactanalyse, bedrijfscontinuïteitsplanning, risicobeheer van derden en executive dashboards in één systeem. Het werk verloopt continu en niet in auditcyclus-uitbarstingen.
Inkomsteninformatie op portefeuilleniveau. Een multitenantoverzicht van het gehele klantenbestand van de partner, dat beveiligingslacunes in de servicecatalogus van de partner in kaart brengt en mogelijkheden voor het uitbreiden van terugkerende inkomsten kwantificeert. Cynomi’s portfolio-intelligentie is de enige inkomstenlaag op platformniveau in deze categorie; de andere niveaus leggen geen omzetoppervlakte bloot op portefeuilleniveau.
Gebouwd voor MSP- en MSSP-schaal. Multi-tenant architectuur, white-label outputs, geen kanaalconflicten, ontworpen voor portefeuilles van 15 tot meer dan 500 klanten. De uitdrukking die Cynomi gebruikt is ‘100% alleen voor partners’, het praktische onderscheid met kanaalvriendelijke platforms die naast door partners geleverde inkomsten nog steeds streven naar inkomsten voor eindklanten.
Waarom MSP’s meer nodig hebben dan een vCISO-platform
Als u een vCISO-praktijk rond afzonderlijke opdrachten hebt opgebouwd, beschrijft het ‘vCISO-platform’ nog steeds het werk dat u doet: een fractionele beveiligingsleider, een methodologie, een resultaat. De categorie gaat nergens heen, en de descriptor blijft van kracht als het werk zelf engagement voor engagement is.
Wat het ‘vCISO-platform’ niet beschrijft, is wat er verandert als een serviceprovider verder gaat dan enkelvoudige opdrachten. Een praktijk met 30, 100 of 500 clientbeveiligingsprogramma’s heeft meer nodig dan een vCISO-methodologie. Het heeft het systeem nodig dat de methodologie omringt: zichtbaarheid van de portfolio, het in kaart brengen van de servicecatalogus, rapportage die klaar is voor het management en de commerciële infrastructuur voor het verpakken, prijzen en laten groeien van de praktijk zelf.
Kanaalonderzoek van organisaties als CompTIA en Service Leadership documenteert consequent dat MSP’s sneller in cyberbeveiligingstools investeren dan dat ze cyberbeveiligingsdiensten verpakken, prijzen en verkopen aan klanten. De mogelijkheid is er; de beweging voor terugkerende inkomsten is dat niet. In die kloof lopen de meeste beveiligingspraktijken vast: partners met de juiste tools, en geen systeem om de levering om te zetten in een verkoopbare, herhaalbare service. De Security Growth Platform-laag dicht deze kloof met opzet. Portfolio-intelligentie, het in kaart brengen van de servicecatalogus en de output die gereed is voor commercialisering zijn in het platform geïntegreerd en niet vastgeschroefd aan een vCISO-methodologie.
Waar ‘vCISO-platform’ de methodologie beschrijft, beschrijft ‘Security Growth Platform’ het systeem.
De resultaten die het niveau bepalen
Wat deze laag onderscheidt van platformen die alleen op compliance gericht zijn, is wat uw praktijk achteraf met de beoordeling doet, niet hoe de beoordeling eruit ziet of hoeveel kaders deze omvat.
Serviceproviders die het programmamodel via Cynomi uitvoeren, rapporteren een gemiddelde vermindering van 70% in de beoordelings- en rapportagewerklast, een margeverbetering van 30% op beveiligingsdiensten, 60% groei van de beveiligingsinkomsten en een 90% kortere detectietijd, in lijn met de MSP-cyberbeveiligingsbenchmarkgegevens die Cynomi jaarlijks publiceert. Dit zijn resultaten op praktijkniveau, geen statistieken van pilotprogramma’s.
Een categorie wordt werkelijkheid wanneer beoefenaars deze een naam kunnen geven, kopers ermee kunnen vergelijken en de markt kan zien waar het zwaartepunt ligt. De Security Growth Platform-laag bestaat uit praktijkmensen: partners die er vandaag de dag 30, 100 en 500 klanten doorheen leiden. De naamgeving is aan het inhalen. Kopers die begonnen met de vraag “welk vCISO-platform moeten we gebruiken?” stellen steeds vaker een specifiekere vraag: hoe kunnen we een beveiligingspraktijk voor ons hele klantenbestand realiseren, opschalen en laten groeien? Dat is de vraag waarvoor het Security Growth Platform is gebouwd.
