Met zijn GRC-gerichte platform ontwikkelt het Belgische Secrato in feite een virtuele CISO. Niet in de zin dat menselijke securityverantwoordelijken overbodig worden, maar als een digitale laag die CISO’s en complianceverantwoordelijken een groot deel van hun juridische, administratieve en documentatie-intensieve werk uit handen neemt. In een markt waar NIS2, DORA en andere regels elkaar in hoog tempo opvolgen, ziet oprichter Selim Ourtani juist daar een kans: organisaties hebben behoefte aan overzicht, structuur en bewijsvoering, niet aan nog meer versnipperde oplossingen of losse Excel-bestanden.
De directe aanleiding voor Secrato was opvallend praktisch. Ourtani zag tijdens zijn werk als CISO en securityadviseur hoe compliance in veel organisaties nog altijd neerkomt op handmatig werk: spreadsheets zoeken, frameworks naast elkaar leggen, metingen opnieuw uitvoeren en telkens dezelfde informatie opnieuw invoeren in een andere vorm. Ourtani: “Die versnippering kost niet alleen tijd, maar maakt compliance ook moeilijk beheersbaar.” Volgens hem werken veel bedrijven nog met momentopnames, terwijl regelgeving juist vraagt om aantoonbare en continue controle.
Losse activiteiten samenbrengen
Daar kwam nog iets bij. Vanuit de praktijk kreeg hij de vraag of er geen platform kon bestaan dat compliance structureel beheert, zonder dat daarvoor permanent een zwaar en kostbaar profiel nodig is om alles handmatig te coördineren. Vanuit die ervaring is Secrato ontstaan: als softwarelaag die losse complianceactiviteiten samenbrengt en de vertaalslag maakt tussen verschillende normen, risico’s en bewijslasten.
Dat speelt in op een fundamenteel Europees vraagstuk. De compliancecontext in Europa verschilt volgens Ourtani namelijk wezenlijk van die in de Verenigde Staten. “Europese organisaties hebben niet alleen te maken met veel regelgeving, maar ook met een andere gevoeligheid rond data, auditbaarheid en soevereiniteit. Bedrijven willen niet alleen aantonen dat ze iets technisch hebben ingericht, maar ook dat het juridisch, procedureel en operationeel correct is ingebed.”
Dat verschil verklaart volgens Ourtani ook waarom een puur technische benadering tekortschiet: “Een vinkje in een systeem betekent nog niet dat een organisatie echt compliant is.”
Vaak ontbreekt er nog veel
Daarmee positioneert Secrato zich ook tegenover Amerikaanse GRC-spelers als Drata en Vanta. Die partijen proberen wel Europa binnen te komen, maar volgens Ourtani vertrekken ze te vaak uitsluitend vanuit automatisering. Zijn kritiek is duidelijk: wie een tool koppelt en automatisch bewijs verzamelt, kan nog niet concluderen dat een controle volledig op orde is. “Vaak ontbreekt nog documentatie, beleidscontext of een menselijke validatie. Compliance blijft dus deels mensenwerk, ook als automatisering veel voorbereidend werk kan overnemen.”
De doelgroep van het platform is breed, maar niet willekeurig. Secrato richt zich niet uitsluitend op grote ondernemingen en evenmin alleen op het mkb. In de praktijk ziet het bedrijf vooral een duidelijke markt bij organisaties vanaf circa 150 medewerkers, omdat daar de behoefte aan structurele compliance-aansturing snel toeneemt. Tegelijk is er ook een aanbod voor kleinere organisaties die bijvoorbeeld ISO 27001 willen structureren, hun leveranciersrisico’s beter in kaart willen brengen of een trustcenter willen opzetten. Voor grotere groepen werkt Secrato bovendien aan een aanpak waarbij governance top-down kan worden beheerd over verschillende vestigingen, landen en businessunits.
Veranderende rol van GRC
Dat sluit aan bij de veranderende rol van GRC. Door NIS2 en DORA verschuift compliance van een eenmalige auditvoorbereiding naar een continu proces. Organisaties moeten niet alleen inzicht geven in hun risico’s, maar ook aantonen dat ze planmatig werken aan verbetering. Juist daar wil Secrato het verschil maken. Het platform bevat niet alleen klassieke frameworkmodules, maar ook evaluaties en maturiteitsmetingen. Die maken zichtbaar waar de hiaten zitten en hoe een organisatie stap voor stap naar een hoger volwassenheidsniveau kan groeien. Voor CISO’s wordt dat tegelijk een instrument om budgetten en prioriteiten beter te onderbouwen.
De kern van het platform is wat Secrato zelf een ‘unified control layer’ noemt. In plaats van elk framework afzonderlijk te behandelen, heeft het bedrijf een eigen set van 132 universele controles ontwikkeld. Die vormen het hart van het systeem. ISO-normen, NIS2-gerelateerde checklists, DORA en andere kaders worden daaraan gekoppeld. Het voordeel is duidelijk: wie later een extra framework activeert, hoeft niet helemaal opnieuw te beginnen. Bestaande mappings en eerder verzamelde informatie kunnen opnieuw worden gebruikt. Zo probeert Secrato de wildgroei aan overlappende controles om te zetten in één beheersbaar model.
Drie vragen
Voor gebruikers vertaalt zich dat in een werkomgeving waarin controles niet alleen als ja/nee-vragen worden benaderd. Ourtani: “Secrato splitst een controle op in drie onderdelen: een validatievraag, een technische vraag en een documentatievraag. Met andere woorden: ben je compliant, is de technologie daadwerkelijk geïmplementeerd en is alles ook correct gedocumenteerd? Die driedeling is belangrijk, omdat ze voorkomt dat technische integratie automatisch wordt gelijkgesteld aan volledige compliance.”
Op het gebied van integraties wil Secrato nadrukkelijk verder gaan dan handmatige invoer. Inmiddels zijn er meerdere API-koppelingen beschikbaar en het platform is modulair opgebouwd, zodat nieuwe databronnen relatief snel kunnen worden toegevoegd. Denk aan omgevingen zoals Microsoft, IAM-systemen en andere securitytools waarvan technische statussen automatisch kunnen worden opgehaald. “Een typisch voorbeeld is multifactor-authenticatie: via een API kan het platform controleren of MFA actief is en die status vastleggen als bewijsmateriaal. Daarbij wordt ook het technische bewijs als artifact opgeslagen.”
Geautomatiseerd bewijsmateriaal
Geautomatiseerd bewijsmateriaal speelt dus een belangrijke rol, maar volledig automatisch wordt het nooit. Dat is ook hoe Secrato AI inzet. Kunstmatige intelligentie wordt gebruikt voor automapping: nieuwe frameworks of controles kunnen automatisch worden gekoppeld aan bestaande universele controles. Die koppeling wordt vervolgens altijd handmatig gevalideerd door een compliance-expert. “AI fungeert hier niet als autonome beslisser, maar als versneller van een proces dat uiteindelijk menselijke controle vereist”, aldus Ourtani.
Opvallend is ook de nadruk op EU-soevereiniteit. Voor Ourtani is dat geen marketingterm, maar een technische en operationele keuze. Het bedrijf wil de volledige omgeving lokaal hosten, zonder afhankelijkheid van AWS of Azure, en verhuist zijn platform daarom naar een datacenter in Antwerpen. Die keuze hangt samen met de aard van de data: in een GRC-platform worden juist de risico’s, kwetsbaarheden en bewijsstukken van klanten verzameld. Als zo’n platform wordt gecompromitteerd, kan de impact aanzienlijk zijn. Daarom ziet hij soevereiniteit als meer dan alleen hosting: het draait om controle, afscherming en vertrouwen.
Of digitale soevereiniteit voor klanten doorslaggevend is of vooral voortkomt uit compliance-eisen, lijkt in de praktijk samen te vallen. Volgens Ourtani groeit het bewustzijn snel, mede door de politieke en geopolitieke context. Organisaties zoeken zekerheid: de garantie dat gevoelige compliance- en risicodata binnen Europa blijven en niet toegankelijk zijn voor externe partijen.
Een concreet voorbeeld bevindt zich momenteel nog in de pilotfase. Secrato werkt met een aantal Belgische organisaties die het platform als ambassadeur testen. Daarnaast richt het bedrijf zich op grotere groepen met meerdere entiteiten in verschillende landen. Voor dit type organisaties kan het platform bijvoorbeeld mogelijk maken dat lokale vestigingen een deel van de controles zelf beheren, terwijl het groepsniveau de overkoepelende governance bewaakt. Juist daarin ligt de ambitie van Secrato: een GRC-platform ontwikkelen dat de rol van de CISO schaalbaar, structureel en beter verdedigbaar maakt.