Met zijn GRC-gerichte platform ontwikkelt het Belgische Secrato in feite een virtuele CISO. Niet in de zin dat menselijke securityverantwoordelijken overbodig worden, wel als een digitale laag die CISO’s en complianceverantwoordelijken een groot deel van hun juridische, administratieve en documentatie-intensieve werk uit handen neemt. In een markt waar NIS2, DORA en andere regels elkaar in snel tempo opvolgen, ziet oprichter Selim Ourtani precies daar een kans: organisaties hebben nood aan overzicht, structuur en bewijsvoering, niet aan nog meer versnipperde oplossingen of losse Excel-bestanden.
De directe aanleiding voor Secrato was opvallend praktisch. Ourtani zag tijdens zijn werk als CISO en securityadviseur hoe compliance in veel organisaties nog altijd neerkomt op handmatig werk: spreadsheets zoeken, frameworks naast elkaar leggen, metingen opnieuw doen en telkens weer dezelfde informatie invullen in een andere vorm. Ourtani vertelt: “Die versnippering kost niet alleen tijd, maar maakt compliance ook moeilijk beheersbaar.” Volgens hem werken veel bedrijven nog met momentopnames, terwijl regelgeving net vraagt om aantoonbare en blijvende controle.
Losse activiteiten samenbrengen
Daar kwam nog iets bij. Vanuit de praktijk kreeg hij de vraag of er geen platform kon bestaan dat compliance structureel beheert, zonder dat daarvoor permanent een zwaar en duur profiel nodig is om alles manueel te coördineren. Vanuit die ervaring is Secrato ontstaan: als softwarelaag die losse compliance-activiteiten samenbrengt en de vertaalslag maakt tussen verschillende normen, risico’s en bewijslasten.
Dat speelt in op een fundamenteel Europees probleem. De compliancecontext in Europa verschilt volgens Ourtani namelijk wezenlijk van die in de Verenigde Staten. “Europese organisaties hebben niet alleen te maken met veel regelgeving, maar ook met een andere gevoeligheid rond data, auditbaarheid en soevereiniteit. Bedrijven willen niet enkel aantonen dat ze iets technisch hebben ingeschakeld, maar ook dat het juridisch, procedureel en operationeel correct is ingebed.”
Dat verschil verklaart volgens Ourtani ook waarom een louter technische benadering tekortschiet: “Een vinkje in een systeem betekent nog niet dat een organisatie echt compliant is.”
Vaak ontbreekt er nog veel
Daarmee positioneert Secrato zich ook tegenover Amerikaanse GRC-spelers als Drata en Vanta. Die spelers proberen wel Europa binnen te raken, maar volgens Ourtani vertrekken ze te vaak vanuit automatisering alleen. Zijn kritiek is helder: wie een tool koppelt en automatisch bewijs binnenhaalt, kan nog niet besluiten dat een controle volledig in orde is. “Vaak ontbreekt nog documentatie, beleidscontext of een menselijke validatie. Compliance blijft dus deels mensenwerk, ook als automatisering veel voorbereidend werk kan overnemen.”
De doelgroep van het platform is breed, maar niet willekeurig. Secrato mikt niet uitsluitend op grote ondernemingen, en evenmin alleen op kmo’s. In de praktijk ziet het bedrijf vooral een duidelijke markt bij organisaties vanaf pakweg 150 medewerkers en groter, omdat daar de nood aan structurele compliance-opvolging snel toeneemt. Tegelijk is er ook een aanbod voor kleinere bedrijven die bijvoorbeeld ISO 27001 willen structureren, hun leveranciersrisico’s beter in kaart willen brengen of een trust center willen opbouwen. Voor grote groepen werkt Secrato bovendien aan een aanpak waarbij governance top-down kan worden beheerd over verschillende vestigingen, landen en businessunits heen.
Veranderende rol van GRC
Dat sluit aan bij de veranderende rol van GRC. Door NIS2 en DORA verschuift compliance van een eenmalige auditvoorbereiding naar een continu proces. Organisaties moeten niet alleen tonen waar hun risico’s zitten, maar ook dat ze planmatig werken aan verbetering. Net daar wil Secrato verschil maken. Het platform bevat niet alleen klassieke frameworkmodules, maar ook evaluaties en maturiteitsmetingen. Die moeten zichtbaar maken waar de hiaten zitten en hoe een organisatie stap voor stap naar een hoger volwassenheidsniveau kan groeien. Voor CISO’s wordt dat tegelijk een middel om budgetten en prioriteiten beter te onderbouwen.
De kern van het platform is wat Secrato zelf een ‘unified control layer’ noemt. In plaats van elk framework apart te behandelen, bouwde het bedrijf een eigen set van 132 universele controles. Die vormen het hart van het systeem. ISO-normen, NIS2-gerelateerde checklists, DORA en andere kaders worden daaraan gekoppeld. Het voordeel is duidelijk: wie later een bijkomend framework activeert, hoeft niet helemaal opnieuw te beginnen. Bestaande mappings en eerder verzamelde informatie kunnen opnieuw worden gebruikt. Zo probeert Secrato de wildgroei aan overlappende controles om te zetten in één beheersbaar model.
Drie vragen
Voor gebruikers vertaalt zich dat in een werkruimte waarin controles niet alleen als ja/nee-vragen worden bekeken. Ourtani: “Secrato splitst een controle op in drie onderdelen: een validatievraag, een technische vraag en een documentatievraag. Met andere woorden: ben je compliant, is de technologie effectief ingevoerd, en is alles ook correct gedocumenteerd? Die driedeling is belangrijk, omdat ze vermijdt dat technische integratie automatisch gelijkgesteld wordt aan volledige compliance.”
Qua integraties wil Secrato nadrukkelijk verder gaan dan handmatig invullen. Vandaag zijn er al meerdere API-koppelingen beschikbaar en het platform is modulair opgezet zodat nieuwe databronnen relatief snel kunnen worden toegevoegd. Denk aan omgevingen zoals Microsoft, IAM-systemen en andere securitytools waarvan technische statussen automatisch kunnen worden opgehaald. “Een typisch voorbeeld is multifactor-authenticatie: via een API kan het platform controleren of MFA actief staat en die status opslaan als bewijsmateriaal. Daarbij wordt ook het technische bewijs mee opgenomen als artifact.”
Geautomatiseerd bewijsmateriaal
Geautomatiseerd bewijsmateriaal speelt dus een belangrijke rol, maar volledig automatisch wordt het nooit. Dat is meteen ook hoe Secrato AI inzet. Kunstmatige intelligentie wordt gebruikt voor automapping: nieuwe frameworks of controles kunnen automatisch aan bestaande universele controles worden gekoppeld. Die mapping wordt daarna nog altijd manueel gevalideerd door een compliance-expert. “AI dient hier dus niet als autonome beslisser, maar als versneller van een proces dat finaal menselijke controle nodig houdt”, licht Ourtani toe.
Opvallend is ook de nadruk op EU-soevereiniteit. Voor Ourtani is dat geen marketinglabel, maar een technische en operationele keuze. Het bedrijf wil de volledige omgeving lokaal hosten, zonder AWS of Azure erachter, en verhuist zijn platform daarom momenteel naar een datacenter in Antwerpen. Die keuze hangt samen met de aard van de data: in een GRC-platform zitten net de risico’s, zwaktes en bewijsstukken van klanten samengebracht. Wordt zo’n platform gecompromitteerd, dan is de impact bijzonder groot. Precies daarom ziet hij soevereiniteit als meer dan hosting alleen: het gaat ook om controle, afscherming en vertrouwen.
Of digitale soevereiniteit voor klanten doorslaggevend is of eerder een afgeleide van compliance, lijkt in de praktijk samen te vallen. Volgens Ourtani groeit het bewustzijn snel, mede door de politieke en geopolitieke context. Organisaties zoeken assurance: de garantie dat gevoelige compliance- en risicodata binnen Europa blijven en niet via externe actoren toegankelijk worden.
Een concreet voorbeeld komt vandaag nog uit de pilotfase. Secrato werkt met een aantal Belgische organisaties die het platform als ambassadeur testen. Daarnaast kijkt het bedrijf ook naar grotere groepen met meerdere entiteiten in verschillende landen. Voor zo’n type organisatie kan het platform bijvoorbeeld toelaten dat lokale vestigingen een deel van de controles zelf beheren, terwijl groepsniveau de overkoepelende governance bewaakt. Net daarin schuilt de ambitie van Secrato: een GRC-platform bouwen dat de rol van de CISO schaalbaar, structureel en beter verdedigbaar maakt.
