Demo aanvragenDemo
MSP

Een securitypraktijk schalen als MSP, hoe je voorbij ad hoc compliance werk komt

Waarom de meeste MSP's vastlopen op de schaalbaarheid van hun security- en compliancediensten, en welke operationele en commerciele keuzes het verschil maken.
4 maart 2026 11 min leestijd
MSPPartnersPulse Framework

Voor managed service providers is security en compliance dienstverlening sinds 2023 de aantrekkelijkste groeicategorie. NIS2, ISO 27001-druk vanuit klanten, de toename van ransomware-incidenten en de behoefte aan continu inzicht maken dat MKB-klanten actief op zoek zijn naar een partij die hun securityhuishouding niet alleen technisch maar ook bestuurlijk en compliance-gedreven kan invullen. Voor MSP’s met securityspecialisten ligt hier een aantrekkelijke uitbreiding van het portfolio, met recurring revenue, hoge contractwaarde en lage churn.

In de praktijk blijkt schalen echter een stuk moeilijker dan het op papier lijkt. We spreken regelmatig MSP-eigenaren die enthousiast met security- en compliancediensten zijn begonnen, drie tot vijf klanten hebben aangenomen, en daarna vastlopen. De marges drukken, het werk is per klant net iets anders dan bij de vorige, en wat in de offerte een mooi terugkerend product was, voelt operationeel als een serie maatwerkprojecten die toevallig elk jaar terugkomen.

In dit artikel zetten we neer waarom dat patroon ontstaat, welke fundamentele keuzes je maakt om er voorbij te komen, en hoe een framework-gestuurde aanpak (waar wij met Pulse op gebouwd zijn) de schaal mogelijk maakt zonder het maatwerkkarakter van goede security-dienstverlening te verliezen.

Waarom de meeste MSP’s vastlopen

Het patroon dat we keer op keer zien laat zich in drie oorzaken vatten.

Oorzaak 1: elke klant heeft een eigen kader-portfolio. Klant A wil ISO 27001 voorbereiden. Klant B zit onder NIS2 en moet aantoonbaar artikel 21 invullen. Klant C is een zorgleverancier en heeft NEN 7510 nodig. Klant D is in financiele dienstverlening en raakt DORA. De inhoudelijke verwantschap tussen deze kaders is groot, maar als je per klant in een eigen administratie werkt, verlies je die overlap volledig. Vier klanten betekent vier keer beleidsdocumenten herschrijven, vier keer mappings maken, vier keer evidence verzamelen.

Oorzaak 2: documentatie wordt het centrale werk in plaats van het bijproduct. De meeste MSP’s beginnen met een set Word-documenten en Excel-trackers per klant. Per audit-cyclus moet alles handmatig worden bijgewerkt, gemapt en doorgenomen. Documentatie krijgt zo het karakter van een opzichzelfstaand product, terwijl het in feite een neveneffect zou moeten zijn van de operationele werkelijkheid: actuele risico’s, geimplementeerde controls, getest bewijs.

Oorzaak 3: het onderscheid met traditionele consultants vervaagt. Wie als MSP per klant maatwerk levert, met eigen documenten en eigen audits, biedt feitelijk een consultancy-dienst tegen MSP-tarieven. De marge zit klem tussen consultancy-pricing (hoger, want eenmalig) en MSP-pricing (lager, want recurring). Tegelijkertijd kan een klant niet duidelijk uitleggen waarom de MSP iets fundamenteel anders levert dan zijn eigen accountant of een ISO 27001 consultancy.

De combinatie van deze drie oorzaken leidt tot een plafond. Een MSP met goede securityspecialisten kan in dit model 10 tot 15 klanten dragen met een acceptabele kwaliteit. Daarboven komt de slijtage: gemiste deadlines, vergeten evidence, onsamenhangende beleidsstukken, ontevreden klanten.

Drie ontwerpkeuzes die het plafond doorbreken

Om voorbij dit plafond te komen, zijn drie ontwerpkeuzes nodig. Geen daarvan is uniek, maar ze werken alleen samen.

Keuze 1: een eenduidig framework als ruggengraat

In plaats van per klant een nieuw model op te bouwen, kies je een framework dat als ruggengraat dient voor alle klanten. Dat framework is geen kader (geen ISO 27001, geen NEN 7510) maar een operationele structuur: risico’s, domeinen, processen, assets, controls, bewijs.

Pulse hanteert het Pulse Framework als deze ruggengraat, met 170+ wetten en normenkaders vooraf gemapped tegen een geintegreerd risk-first model. Een MSP die met dit framework werkt, hoeft niet per klant een nieuwe mapping te maken, maar configureert per klant welke kaders relevant zijn (de “lens”) en welke organisatorische context geldt (omvang, sector, locaties).

Het effect: vier klanten hebben vier verschillende kader-portfolios, maar werken in een gemeenschappelijk operationeel model. Een control die je voor klant A implementeert op het domein “leveranciersbeheer” levert tegelijkertijd bewijs voor ISO 27002 5.19 en NIS2 artikel 21 lid 2(d), zonder dat de MSP dat handmatig hoeft te mappen.

Wat dit MSP-operationeel oplevert:

  • Standaardisatie van werkmethoden over klanten heen. Een nieuwe medewerker wordt productief in dezelfde aanpak ongeacht de klant.
  • Hergebruik van templates (beleidsmateriaal, procedures, controlbeschrijvingen) met klant-specifieke aanpassingen die de structuur respecteren.
  • Versnelling van audits doordat evidence op dezelfde manier is georganiseerd over alle klanten.
  • Mogelijkheid om benchmarks te bouwen zonder klantvertrouwelijkheid te schenden (anonieme aggregatie over de eigen portfolio).

Keuze 2: white-label als product, niet als concessie

De tweede keuze is hoe je je merkpositie behoudt terwijl je een platformpartner als technische basis gebruikt. Hier zien we twee uitersten in de markt. Aan de ene kant MSP’s die “Powered by [platform]” prominent voeren, met als gevolg dat de klantrelatie deels naar de platformpartner verschuift. Aan de andere kant MSP’s die alles in huis bouwen en daarmee weer in de schaalproblemen lopen die we hierboven beschreven.

White-label is de tussenweg: een platform-partner levert de operationele infrastructuur, de MSP levert de merkpositie, het advies en de klantrelatie. Concreet:

  • Klantdashboards verschijnen onder het merk van de MSP, met eigen kleurstelling, logo en domeinnaam.
  • Rapportages (kwartaalreviews, audit-rapporten, risico-overzichten) worden onder het MSP-merk gegenereerd.
  • Klantcommunicatie in het platform (notificaties, taken, deadlines) wordt vormgegeven in de MSP-stijl.
  • Sub-processor positie blijft de MSP, ook contractueel.

Voor de klant voelt het platform niet als “een tool van een derde partij” maar als “de werkomgeving van mijn MSP”. Dat verstrekt de klantrelatie en maakt de MSP minder vervangbaar.

Voorwaarde voor goed white-label is dat de platform-partner zichzelf bewust uit de klantrelatie houdt. Dat is een commerciele afspraak (geen directe verkoop aan MSP-klanten), een product-afspraak (de MSP heeft volledige zeggenschap over UI en branding), en een operationele afspraak (klantsupport loopt via de MSP, niet via de platform-partner direct).

Keuze 3: AI als versneller voor specifieke taken

De derde keuze gaat over hoe je AI inzet zonder erin te verzuipen. We zien MSP’s experimenteren met generieke AI-assistenten voor security, met wisselende resultaten. Het probleem is dat generieke modellen weinig context hebben over wat een specifieke klant nodig heeft, en dat de output vaak gepolijst maar inhoudelijk wankel is.

Een gerichte AI-laag, in onze terminologie Gappie, doet juist het tegenovergestelde: ze is gespecialiseerd in een paar specifieke taken die je vaak doet en die normaal veel handmatig werk kosten. Concreet:

  • Beleidsaudit: een set policies analyseren tegen een doelkader (bijvoorbeeld NIS2 artikel 21) en gericht aangeven welke onderdelen ontbreken, welke onvoldoende uitgewerkt zijn, en welke wel gedekt zijn.
  • Gap-analyse op risicoanalyse: een bestaande risico-inventarisatie controleren op blinde vlekken op basis van sector-typische risico’s en huidige threat intelligence.
  • Templates vullen: een controlbeschrijving omzetten naar concrete procedurestappen die passen bij de klant, in plaats van generieke modeltekst.
  • Audit-voorbereiding: een set bewijs analyseren op samenhang en compleetheid voordat een externe auditor het bekijkt.

Dit zijn specifieke, terugkerende taken die per klant uren kosten en die met een goed afgestelde AI-laag tot minuten worden gereduceerd. De winst is dubbel: de specialist heeft meer tijd voor advies en gesprek met de klant, en de doorlooptijd van bijvoorbeeld een beleidsaudit gaat van weken naar dagen.

Belangrijk: AI vervangt geen oordeel. Een Gappie-bevinding is een input voor de specialist, niet een eindverdict richting de klant. Wie deze grens niet bewaakt, raakt zowel zijn klant als zijn auditor kwijt.

Operationeel model: hoe een geschaalde securitypraktijk eruit ziet

Met de drie ontwerpkeuzes als basis, ontstaat een werkmodel met een paar onderscheidende kenmerken.

Serviceportfolio met scherpe lagen. In plaats van een vaag “wij doen security en compliance”, definieer je een aantal duidelijk afgebakende services, elk met een eigen leveringsmodel:

  • Foundation: initiele risico-inventarisatie, kader-mapping, beleidsbasis. Eenmalig project van 4 tot 12 weken.
  • Operate: continu beheer van het platform, kwartaalreviews, evidence-onderhoud, audit-voorbereiding. Recurring, met vast maandbedrag.
  • Respond: incidentafhandeling, post-mortems, melding-ondersteuning bij NIS2-meldplicht. Recurring met variabele component bij escalaties.
  • Advise: strategisch advies, bestuurstraining, due diligence. Project- of uurbasis.

Deze laagindeling maakt de levering voorspelbaar voor de klant en voor de MSP. Je verkoopt niet “security-uren” maar gedefinieerde uitkomsten, met een duidelijk operationeel pad eronder.

Klant-tiering. Niet elke klant verdient dezelfde aandacht. Een klant met 500 medewerkers en NIS2-essential status vraagt een ander serviceniveau dan een klant met 30 medewerkers die ISO 27001 voorbereidt. Een gangbare indeling:

  • Tier 1: kritische klanten met hoge bestuurlijke betrokkenheid en complexe kader-portfolio. Eigen account-team, kwartaalreviews met MT van de klant.
  • Tier 2: midden-segment met standaard kader-portfolio en standaard ritme. Halfjaarlijkse review, gedeeld account-team.
  • Tier 3: kleinere klanten met beperkte kaders, in een meer geautomatiseerd model met selfservice-elementen en jaarlijkse review.

Onboarding als zwaartepunt. De grootste fout die we zien is dat MSP’s onderinvesteren in onboarding. Een goede foundation-fase is niet alleen “de juiste vinkjes zetten”, maar ook: het platform configureren in lijn met de klant-organisatie, het beleidskader vullen met klant-specifieke teksten, evidence van bestaande maatregelen importeren, en het governance-ritme inrichten. Wie hier 80 uur in stopt, bespaart in de eerste twaalf maanden 200 uur aan reparatiewerk.

Escalatie-paden vooraf gedefinieerd. Bij een echt security-incident is een eerstelijns MSP-medewerker zelden in staat om een gestructureerde NIS2-meldplicht-procedure te starten. Definieer vooraf wie 24/7 oproepbaar is, welke escalatiepaden gelden, en welke beslissingsbevoegdheden op welk niveau liggen.

Commercieel model dat de margestructuur respecteert

Het commerciele model maakt of breekt de schaalbaarheid. Drie principes die in onze ervaring werken.

Principe 1: scheid licentie van services. De klant betaalt een platform-licentie (gedekt door de platform-partner, MSP heeft hier een resell-marge), en daarnaast een MSP-servicefee voor het beheer en advies. Deze scheiding maakt de waardepropositie helder en zorgt dat margedruk in een van de twee componenten niet meteen de ander besmet.

Principe 2: bouw recurring revenue, accepteer eenmalig werk als startwerk. De foundation-fase is project (eenmalig), maar verdwijnt in de keuze om Operate (recurring) erna te starten. Wie de foundation als verlies-leider durft te prijzen, en de eerste twaalf maanden Operate licht winstgevend, bouwt een klantbase met churn-resistance. Vanaf jaar twee komt het rendement.

Principe 3: differentieer op uitkomsten, niet op uren. Een klant koopt niet 80 uur consulting per kwartaal. Ze kopen “audit-readiness behouden”, “NIS2 meldplicht-capabiliteit”, “bestuurlijk rapport per kwartaal”. Definieer de uitkomst en de SLA, niet de inputfactor. Dat geeft je ruimte om met automatisering en framework-aanpak efficienter te worden zonder klantgesprek over urenafname te hoeven voeren.

Realistische pricing-ranges, gebaseerd op wat we in de markt zien voor MKB-segment in Nederland:

  • Foundation: EUR 15.000 tot 50.000 eenmalig, afhankelijk van complexiteit en kader-scope.
  • Operate (recurring): EUR 1.500 tot 7.500 per maand, afhankelijk van tier en kader-portfolio.
  • Respond: vast maandelijks bedrag voor stand-by, plus escalatie-tarief bij activatie.
  • Advise: EUR 175 tot 250 per uur, projectprijzen voor afgebakende deliverables.

Deze ranges hebben we afgeleid uit een doorsnede van Nederlandse MSP-prijzen voor security- en compliancedienstverlening in het MKB-segment. Voor enterprise-tier liggen tarieven hoger; voor zeer klein MKB lager. Het gaat hier om de structuur, niet om absolute cijfers.

Vijf veelgemaakte fouten

Fout 1: over-customizen voor de eerste klant. De eerste serieuze klant van een nieuwe service-line lijkt te vragen om volledige aanpassing. Geef daar gedeeltelijk toe, maar bewaak dat je framework standaard blijft. Een eerste klant die “iets unieks” krijgt, vermenigvuldigt zich met klant tien en zorgt voor verlies van schaal.

Fout 2: onderinvesteren in onboarding. Verkoopdruk drijft naar snelle Operate-start. Maar een te lichte foundation maakt Operate inefficient en klantrelatie kwetsbaar. Onboarding is een investering, geen kostenpost.

Fout 3: compliance als bolt-on op IT-services. MSP’s met sterke IT-roots behandelen security en compliance vaak als extra module op het bestaande contract. Dat ondermijnt de waardepropositie. Security en compliance verdienen een eigen serviceline met eigen specialisten en eigen pricing.

Fout 4: te lang vasthouden aan handmatig werk. Wat in jaar een acceptabel handmatig werk was (klantcommunicatie via e-mail, evidence in mappen), wordt in jaar drie de bottleneck. Investeer continu in automatisering, ook als de huidige schaal het niet eist.

Fout 5: niet meten waar de marge weglekt. Veel MSP-eigenaren weten op portfolio-niveau wat de security-praktijk oplevert, maar niet per klant. Identificeer welke klanten boven en onder de gemiddelde marge zitten, en waarom. Soms is een klant niet onrendabel, maar het servicemodel niet passend.

Hoe wij ernaar kijken

Onze stelling: de MSP die de komende vijf jaar wint in security en compliance, is niet de MSP met de meeste certificeringen of de slimste specialisten, maar de MSP met het meest schaalbare model. Schaalbaar betekent: een raamwerk dat klantverschillen accommodeert zonder elke klant als maatwerkproject te behandelen, een commercieel model dat recurring revenue beschermt tegen marge-erosie, en een operationeel model waarin specialisten advies geven in plaats van administratie verwerken.

De combinatie van een framework als ruggengraat, white-label als merkstrategie, en AI als gerichte versneller, maakt dit model haalbaar voor MSP’s met 10 tot 200 securitygerichte klanten. Boven die schaal helpen andere factoren mee (sectorfocus, internationalisering, M&A), maar het fundament blijft hetzelfde: stop met administreren per klant, begin met sturen op risico en kader-overstijgende controls.

Voor Pulse Comply zit hier ook onze partnerstrategie achter. Wij geloven dat MSP’s met sterke security-specialisten een wezenlijk verschil maken in de markt, en dat ze daarvoor een platform nodig hebben dat hun werk versterkt zonder hun klantrelatie te kannibaliseren. Dat is geen marketing, dat is operationele economie. De MSP’s met wie wij samenwerken, schalen omdat het framework hen ondersteunt, niet beperkt. Dat is in de kern wat een goede partnerrelatie moet doen.

Heb je vragen over dit onderwerp?

Plan een gesprek met een Pulse-consultant. Concreet, met je eigen situatie als uitgangspunt.

Plan een gesprek Naar Kennisbank