Drie jaar geleden lag de focus voor managed service providers (MSP's) die een cybersecuritypraktijk opbouwden vooral op de keuze van een 'vCISO-platform'. Dit begrip dekte destijds de lading van werkzaamheden zoals assessments, advisering, rapportages en soms een compliance-module. Inmiddels is deze term achterhaald, omdat het werkveld aanzienlijk is uitgebreid. In 2026 is de term Security Growth Platform beter passend voor de software die MSP's en MSSP's gebruiken om hun beveiligingspraktijk te beheren. Dit platform combineert management van beveiligingsprogramma's, besluitvorming op CISO-niveau, een multi-tenant architectuur voor portfoliobeheer en omzetintelligentie in één systeem.

Traditionele GRC-platforms richten zich vooral op compliance en zijn ontworpen voor één enkele klant met een interne securityafdeling. vCISO-tools ondersteunen doorgaans individuele adviesopdrachten, terwijl enterprise compliance-platforms direct op eindklanten zijn gericht. Geen van deze systemen is echter gebouwd rondom het portfolio als werkunit, wat juist kenmerkend is voor moderne MSP-beveiligingspraktijken. De vraag naar cybersecurity groeit sterk, met een verwachte uitgave van 109 miljard dollar in 2026 door het mkb, dat ongeveer 60% van de wereldwijde cybersecurityuitgaven voor zijn rekening neemt, grotendeels via serviceproviders zoals MSP's (Analysys Mason).

Omdat veel mkb-organisaties geen interne CISO-functie hebben, vervult de MSP deze rol. De taken van deze 'securityfunctie' zijn echter veel uitgebreider geworden dan wat een traditionele vCISO-methodiek kan ondersteunen. De tools die voor individuele vCISO-opdrachten zijn ontwikkeld, dekken slechts een deel van het werk, terwijl enterprise compliance-platforms niet zijn ontworpen voor deze klantgroep. Hierdoor ontstond een kloof tussen bestaande categorieën, die alleen maar groter werd zonder dat de terminologie meeveranderde.

Deze nieuwe categorie, het Security Growth Platform, ontstond door drie structurele tekortkomingen in bestaande softwarecategorieën. Ten eerste zijn GRC-platforms niet gebouwd voor MSP-levering; ze zijn geoptimaliseerd voor één klant met een interne securityafdeling en kunnen niet eenvoudig worden aangepast aan een multi-tenant omgeving waarin een MSP beveiligingsprogramma's beheert voor tientallen tot honderden klanten. Ten tweede missen standalone vCISO-tools de diepgang op het gebied van compliance en automatisering die nodig is voor continue beveiligingsprogramma's over meerdere accounts. De markt voor vCISO-diensten groeit weliswaar en wordt in 2026 geschat op 1,2 miljard dollar met een jaarlijkse groei van 6,3% (Business Research Insights), maar de tools zijn vooral gericht op individuele consultants en niet op grootschalige MSP-operaties. Ten derde zijn compliance-eisen complexer geworden; 85% van de organisaties ervaart compliance als ingewikkelder dan drie jaar geleden (PwC Global Compliance Study 2025), wat vraagt om diepere automatisering dan vCISO-tools bieden.