Cybersecurityadvies is voor veel MKB-organisaties simpelweg te duur. Niet omdat de kennis te weinig waarde heeft, maar omdat die kennis vooral ligt bij experts die beperkt beschikbaar zijn. Een goede cybersecurityconsultant kost al snel €150 per uur. Dat tarief is goed te verklaren. De kennis is specialistisch, het aanbod is beperkt en de vraag naar ervaren cyberprofessionals blijft hoog. Vraag en aanbod zijn daarmee logisch in verhouding, maar voor veel ondernemers, directeuren en kleinere organisaties blijft structureel cybersecuritymanagement daardoor buiten bereik.

Dat is zonde. Niet alleen voor die organisaties zelf, maar ook voor de digitale weerbaarheid van het midden- en kleinbedrijf als geheel. Cybersecurity is namelijk allang geen puur technisch onderwerp meer. Als systemen uitvallen, klantgegevens lekken of een kritieke leverancier niet kan leveren, dan raakt dat direct aan continuïteit.

Daar begint voor mij de vraag achter VirtualISO. Niet: hoe verkoop ik meer securityadvies? Maar: hoe maken we goede cybersecuritykennis toegankelijker voor organisaties die het nodig hebben, maar niet continu dure expertise kunnen inkopen?

Naar mijn visie verandert kunstmatige intelligentie, oftewel Artificial Intelligence (AI), precies die vergelijking. Niet omdat AI de securityprofessional overbodig maakt. Wel omdat AI de kosten van niche-expertise kan verlagen door delen van kenniswerk beter voor te bereiden, te structureren en herbruikbaar te maken. En daar zit de kans voor VirtualISO.

De AI-revolutie is al begonnen

We hoeven niet te wachten op de volgende AI-revolutie. Die revolutie is er al. AI wordt vandaag al gebruikt om teksten te schrijven, code te genereren en documenten samen te vatten. De ontwikkeling gaat snel, maar de kans is vooral dat AI de kosten van niche-expertise verlaagt door kenniswerk schaalbaarder te maken.

Dat raakt cybersecurity direct, omdat cybersecurity niet alleen uit techniek bestaat. Natuurlijk zijn firewalls, monitoring en kwetsbaarheidsscans belangrijk. Maar een groot deel van cybersecuritymanagement bestaat uit analyseren, ordenen, prioriteren en vertalen. Een technische bevinding moet worden vertaald naar bedrijfsimpact. Een control moet worden vertaald naar een maatregel die past bij de organisatie. Een risico moet worden gekoppeld aan continuïteit.

Een bestuurder wil uiteindelijk niet alleen weten wat er technisch mis kan gaan. Hij wil vooral weten welke keuze verstandig is met beperkte tijd, mensen en budget. Dat is kenniswerk. En juist dat werk kan door AI deels worden versneld, niet door het oordeel van de expert te vervangen, maar door voorbereiding, structurering en hergebruik beter te organiseren.

Voor mij persoonlijk is dat een belangrijk uitgangspunt. Mijn expertise is waardevol, maar mijn tijd is beperkt. Als elk advies volledig afhankelijk blijft van handmatige uren, dan blijft de impact beperkt. AI verandert dat. Niet door mijn rol kleiner te maken, maar door mijn rol anders schaalbaar te maken.

De meeste AI-discussies in cybersecurity zijn te technisch

Als er wordt gesproken over AI in cybersecurity, gaat het vaak over technische toepassingen. AI voor detectie. AI voor malwareanalyse. AI voor Security Operations Centers. Dat zijn nuttige ontwikkelingen, maar ze vertellen niet het hele verhaal.

Voor veel MKB-organisaties begint het probleem niet met de vraag of er nog een extra technische tool nodig is. Het begint met andere vragen. Waar lopen wij nu echt risico? Welke risico's raken onze continuïteit? Welke maatregelen moeten eerst? Dat zijn managementvragen.

En precies daar wordt AI nog te weinig besproken. De grootste kans voor het MKB zit niet alleen in AI die aanvallen sneller detecteert, maar in AI die helpt om betere securitybesluiten te nemen. Daarmee verschuift de discussie van techniek naar keuzes. Van dreiging naar beheersing. Van compliance-theater naar aantoonbare weerbaarheid.

Dat is belangrijk, zeker nu wetgeving zoals de Network and Information Security Directive 2 (NIS2) bestuurders dwingt om cybersecurity serieuzer te organiseren. Niet omdat iedere organisatie ineens een groot securityteam nodig heeft, maar omdat bestuurders beter moeten kunnen uitleggen welke risico's zij lopen, welke maatregelen zij nemen en waarom die keuzes passend zijn.

En als dat de opgave is, dan vraagt dit om een andere manier van werken.

Cybersecuritymanagement moet schaalbaarder worden

De kern is niet dat cybersecurityadvies minder deskundig moet worden. De kern is dat we beter onderscheid moeten maken tussen werk dat altijd menselijke expertise vraagt en werk dat slimmer voorbereid kan worden.

Traditioneel cybersecurityadvies is vaak sterk afhankelijk van uren. Een expert voert gesprekken, beoordeelt maatregelen en vertaalt risico's naar advies. Dat blijft waardevol. Maar als elk advies opnieuw volledig handmatig wordt opgebouwd, blijft goede begeleiding vooral beschikbaar voor organisaties met voldoende budget.

AI verandert die vergelijking. Niet omdat AI alle antwoorden heeft, maar omdat AI kan helpen om repeterend kenniswerk te versnellen. Denk aan het voorbereiden van standaardvragen, het structureren van interviewinformatie en het vertalen van technische signalen naar managementtaal. Als je dat goed organiseert, kan een expert meer organisaties helpen zonder dat de kwaliteit automatisch omlaag hoeft.

Automatiseren waar het kan. Menselijk beoordelen waar het moet.

Die zin klinkt eenvoudig, maar hij is belangrijk. AI zonder menselijke beoordeling kan snel generiek, onjuist of onrealistisch worden. Tegelijkertijd blijft menselijke expertise zonder slimme automatisering voor veel organisaties te duur. De waarde zit dus niet in mens óf machine. De waarde zit in de combinatie.

Maar zodra je AI inzet in cybersecurity, ontstaat direct een tweede vraag: wat doe je met vertrouwelijke informatie?

Vertrouwen vraagt om bewuste AI-keuzes

Terughoudendheid rond AI is terecht. Veel organisaties voelen zich niet comfortabel bij het invoeren van gevoelige bedrijfsinformatie in grote externe AI-diensten. Dat begrijp ik goed. Cybersecurityvragen gaan vaak over kwetsbaarheden, incidenten en kritieke leveranciers. Dat is geen informatie die je zonder nadenken ergens in plakt.

Daarom is de vraag niet alleen welk AI-model het krachtigst is. De betere vraag is welke AI-architectuur past bij de gevoeligheid van de informatie, het doel van de toepassing en de verantwoordelijkheid die je als organisatie hebt. Soms past een groot extern model prima. Soms wil je lokaal of afgeschermd werken. Soms is een hybride vorm logisch. Het hangt af van de data, het doel en de mate waarin menselijke controle nodig is.

Dat zijn geen technische details. Dat zijn bestuurlijke keuzes. Voor VirtualISO is dat essentieel. AI moet niet worden ingezet omdat het nieuw is. AI moet worden ingezet omdat het helpt om betere keuzes te maken, met voldoende controle over data, context en verantwoordelijkheid.

Die vertrouwensvraag leidt naar een belangrijk ontwerpprincipe: geef een AI-systeem niet zomaar alles, maar laat het werken met gecontroleerde context. Daar komt Retrieval-Augmented Generation in beeld.

Wat is Retrieval-Augmented Generation?

Een belangrijk concept hierin is Retrieval-Augmented Generation (RAG). De afkorting klinkt technisch, maar het idee is vrij eenvoudig. Retrieval-Augmented Generation is een methode waarbij een AI-model eerst relevante informatie ophaalt uit een vooraf gekozen kennisbasis, voordat het een antwoord geeft.

Simpel gezegd: RAG geeft het model een gecontroleerd dossier voordat het antwoord geeft.

In plaats van volledig te vertrouwen op de algemene kennis van een AI-model, krijgt het model context mee uit documenten, playbooks of risicoanalyses. Daardoor kan het antwoord beter aansluiten op de specifieke organisatie en kan het systeem sterker worden verbonden aan eigen, gecontroleerde informatie. Dat is belangrijk, want een algemeen AI-model weet niet automatisch welke processen kritiek zijn, welke leveranciers essentieel zijn of welke risico's eerder bewust zijn geaccepteerd.

Zonder context krijg je al snel generiek advies. Met goede context kan AI veel gerichter ondersteunen. Niet omdat het model zelf mag bepalen wat de organisatie nodig heeft, maar omdat het werkt met zorgvuldig vastgelegde informatie. RAG is daarom voor VirtualISO geen technisch speeltje. Het is een manier om AI bruikbaar te maken voor echte organisaties, met echte beperkingen, echte afhankelijkheden en echte keuzes.

Als context gecontroleerd kan worden aangeboden, wordt ook de keuze voor het model interessanter. Dan gaat het niet meer alleen om het grootste of bekendste model, maar om de vraag welke oplossing past bij de taak en de gevoeligheid van de informatie.

Open-source en lokale modellen maken nieuwe keuzes mogelijk

Veel aandacht gaat naar grote AI-modellen van bekende aanbieders. Die modellen zijn krachtig en vaak erg bruikbaar. Maar ze zijn niet altijd de enige logische optie. Voor specifieke taken kunnen kleinere, lokale of open-source modellen interessant zijn, zeker wanneer ze worden gecombineerd met een goede kennisbasis, duidelijke instructies en menselijke controle. Juist wanneer vertrouwelijkheid, datalocatie of controle belangrijk zijn, wordt de architectuurkeuze onderdeel van het vertrouwen.

Niet elke taak vraagt om het grootste model. Voor afgebakende toepassingen kan een kleiner model met goede context voldoende zijn om waarde te leveren. Denk aan het beantwoorden van standaard securityvragen, het voorbereiden van risico-inschattingen of het structureren van leveranciersrisico's. Daarmee ontstaan nieuwe architectuurkeuzes.

Een organisatie kan bewuster bepalen welke data lokaal blijft, welke taken AI mag voorbereiden en welke uitkomsten altijd door een mens worden beoordeeld. Die keuzes zijn belangrijk. Niet alleen technisch, maar ook voor vertrouwen. Want als organisaties AI vermijden omdat zij hun gevoelige informatie niet willen delen, missen zij mogelijk waardevolle kansen.

De oplossing is dan niet om die zorg weg te wuiven. De oplossing is om architecturen te kiezen die passen bij de gevoeligheid van de data en de behoefte van de organisatie. Die modelkeuze raakt direct aan de rol van de mens.

De menselijke rol wordt belangrijker, niet minder belangrijk

Een veelgehoorde zorg is dat AI banen overneemt. Die zorg is begrijpelijk, maar te beperkt. In mijn optiek verdwijnt de waarde van de securityprofessional niet. Die waarde verschuift.

Als AI helpt bij structureren, samenvatten, vergelijken en voorbereiden, dan wordt de menselijke rol juist belangrijker op andere punten. Welke informatie is relevant? Welke context ontbreekt? Is het advies proportioneel? Dat vraagt om ervaring, gevoel voor context en professioneel oordeel.

AI kan veel versnellen, maar het begrijpt niet vanzelf wat een organisatie aankan, welke maatregel realistisch is of hoe een ondernemer naar risico kijkt. Daarvoor blijft menselijke expertise nodig. De rol van de expert wordt daarmee minder uitvoerend en meer richtinggevend.

De expert wordt curator van de kennisbasis, reviewer van de uitkomsten en vertaler naar de realiteit van de klant. Dat is precies waar VirtualISO op wil bouwen.

Waarom vISO Essentials en vISO Standard hierin passen

Binnen VirtualISO werken we aan producten en werkwijzen die deze visie praktisch maken. Twee belangrijke onderdelen daarin zijn vISO Essentials en vISO Standard.

vISO Essentials richt zich op het sneller zichtbaar maken van concrete securitysignalen. Denk aan technische bevindingen, zichtbare kwetsbaarheden en eerste prioriteiten. vISO Essentials helpt om informatie sneller te verzamelen, te ordenen en te vertalen naar een begrijpelijk beeld. De kernvraag van vISO Essentials is: waar lopen we nu zichtbaar risico?

Daarmee automatiseer je een deel van het werk dat normaal veel tijd kost. Inventariseren. Ordenen. Eerste duiding geven. Maar technische signalen zijn niet genoeg. Een kwetsbaarheid is pas echt relevant als je begrijpt welk systeem geraakt wordt, welk proces ervan afhankelijk is en wat uitval betekent voor de organisatie. Daar komt vISO Standard in beeld.

vISO Standard richt zich op de diepere context. Het helpt om samen met een organisatie vast te leggen welke bedrijfsprocessen belangrijk zijn, welke leveranciers kritiek zijn en welke impact uitval heeft op continuïteit. Die context kun je niet volledig uit een scan halen. Daarvoor is gesprek nodig. Interpretatie. Doorvragen. Begrijpen hoe een organisatie werkt.

Precies daar blijft menselijke expertise nodig. Maar zodra die context goed is vastgelegd, ontstaat er iets waardevols. Dan kan AI helpen om die context te ordenen, te vergelijken, te koppelen aan maatregelen en te vertalen naar advies.

Daarom passen vISO Essentials en vISO Standard goed bij de AI-visie van VirtualISO. Ze zijn niet alleen rapportages. Ze helpen om de juiste context vast te leggen voor beter, schaalbaarder en betrouwbaarder securitymanagement. vISO Advanced bouwt daarop voort als platformlaag waarin deze context, inzichten en AI-ondersteuning samenkomen.

Compliance by design

Als je AI inzet voor cybersecuritymanagement, moet je vanaf het begin nadenken over compliance en verantwoordelijkheid. Daarbij spelen onder meer de Algemene verordening gegevensbescherming (AVG), internationaal bekend als de General Data Protection Regulation (GDPR), de Artificial Intelligence Act (AI Act) en de Network and Information Security Directive 2 (NIS2) een rol.

Maar compliance moet niet worden gezien als rem op innovatie. Het is eerder een ontwerpvoorwaarde. De kernvraag is niet: mogen we AI gebruiken? De betere vraag is: hoe gebruiken we AI op een manier die past bij de data, de verantwoordelijkheid en het risico?

Dat betekent nadenken over welke data wordt verwerkt, waar die data wordt verwerkt en welke output altijd door een mens wordt beoordeeld. Voor VirtualISO is dit belangrijk. Niet omdat we AI willen inzetten om verantwoordelijkheid weg te automatiseren, maar juist omdat AI alleen waardevol is als het verantwoord wordt ingebed.

De VirtualISO-aanpak

VirtualISO bouwt vanuit een eenvoudige overtuiging:

Cybersecurity moet begrijpelijker, toegankelijker en beter toepasbaar worden voor organisaties die geen groot securityteam hebben.

AI maakt dat mogelijker dan voorheen. Maar alleen als het goed wordt ingezet. Daarom draait de VirtualISO-aanpak om vier principes.

Eerst: automatiseren waar het kan. Repeterend analysewerk, standaardvragen en eerste ordening kunnen deels worden ondersteund door AI. Dat verlaagt de kosten en versnelt het proces.

Ten tweede: menselijk beoordelen waar het moet. Risicoacceptatie, prioritering en eindadvies blijven menselijke verantwoordelijkheid. AI ondersteunt. De expert beoordeelt.

Ten derde: context eerst. Zonder context is AI snel generiek. Daarom zijn goede intake, procesinzicht en continuïteitsanalyse essentieel. vISO Standard speelt hierin een belangrijke rol.

Ten vierde: verantwoord ontwerpen. AI moet passen bij de gevoeligheid van de data, de wettelijke context en het vertrouwen dat een klant mag verwachten. Architectuurkeuzes, dataminimalisatie en menselijke controle zijn geen bijzaak. Ze horen bij het fundament.

Die aanpak is nog geen eindpunt. Het is de richting waarin VirtualISO stap voor stap bouwt.

Waar we naartoe bouwen

VirtualISO is geen verhaal over AI om de AI. Het is een zoektocht naar een betere manier om cybersecuritymanagement beschikbaar te maken voor meer organisaties.

Voor mij persoonlijk begint dat met een eenvoudige realiteit: mijn tijd als securityprofessional is waardevol, maar beperkt. Als elk advies volledig afhankelijk blijft van handmatige uren, dan blijft de impact beperkt.

AI verandert dat. Niet door mijn expertise overbodig te maken, maar door die expertise beter schaalbaar te maken. Door AI goed te combineren met menselijke beoordeling, gecontroleerde context en praktische producten zoals vISO Essentials en vISO Standard, ontstaat een manier van werken waarin meer organisaties toegang krijgen tot betere securityinzichten.

Dat is waar VirtualISO aan bouwt. Niet als hype. Niet als belofte dat alles automatisch kan. Niet als vervanging van verantwoordelijkheid. Maar als praktische journey.

We delen de komende periode wat we leren over AI, cybersecuritymanagement, lokale en open-source modellen, Retrieval-Augmented Generation, compliance, menselijke controle en schaalbaar advies.

AI verandert de manier waarop kenniswerk wordt georganiseerd. Cybersecuritymanagement hoort daarbij.

De vraag is niet meer of die verandering komt.

De vraag is of organisaties het inzicht ontwikkelen om deze verandering risicogedreven, verantwoord en praktisch toe te passen.

Verder lezen

Deze bronnen zijn bedoeld als achtergrond bij de thema's schaarste aan cyberprofessionals, Retrieval-Augmented Generation en lokale AI-architecturen.