Easy Cyber Protection

POSITIONERINGSNOTA

ECP-WP-001

Waarom ECP voor Belgische MSP's

§1 Executieve positionering

Bestemd voor: Belgische CyFun-practici.
Onderwerp: De argumentatie in vier pijlers om voor ECP te kiezen boven alternatieven.
Doelgroep: Belgische MSP's die CyFun- en NIS2-compliance-tooling evalueren.
Positionering: Het enige CyFun-native compliance-platform gebouwd voor MSP-economie.
Conclusie: Betere marge, half zoveel uren per klant, native CyFun, geen vendor lock-in.
Aanbeveling: Walkthrough van 20 minuten met de oprichter.

Boek een gesprek van 20 min

Scan to book

Boek een gesprek van 20 min

cal.com/tojans/apply-4-ecp

Kader: Belgische CyberFundamentals (CCB) — Small tot Essential
Opgesteld door: Tom Janssens · Oprichter, ECP
Talen: NL · FR · EN

§2 De vier pijlers in een oogopslag

§2 De vier pijlers in een oogopslag
#	Pijler	Kernuitspraak	Onderbouwing
01	De marge is voor jou	70%+ marge typisch op Practice-tier — geen omzetdeling, geen feature-gating.	zie §3
02	Half zoveel uren per klant	≈40–50% minder CISO-tijd op het routinewerk rond je oordeel.	zie §4
03	Native CyFun	Rechtstreeks gebouwd op de officiële CCB CyberFundamentals-spec.	zie §5
04	Local-first als standaard	Tamper-evident audit-trail; veilig door architectuur, niet door beloftes.	zie §6

De marge is voor jou

70%+ marge typisch op Practice-tier — geen omzetdeling, geen feature-gating.

zie §3

Half zoveel uren per klant

≈40–50% minder CISO-tijd op het routinewerk rond je oordeel.

zie §4

Native CyFun

Rechtstreeks gebouwd op de officiële CCB CyberFundamentals-spec.

zie §5

Local-first als standaard

Tamper-evident audit-trail; veilig door architectuur, niet door beloftes.

zie §6

De argumentatie in 30 seconden. Elke pijler wordt uitgewerkt in §3 tot §6.

§3 De marge is voor jou

MSP-tier prijzen afgestemd op jouw schaal, plus je klantgroottemix. White-label, geen omzetdeling, geen feature-gating — elke tier komt met het volledige product.

§3 De marge is voor jou
Aanpak	Indicatieve kost (J1)	Geschikt voor MSP's
Consultancy-opdracht (per klant)	€10.000–€20.000	Geen schaalvoordeel — elke klant herstart de teller.
Generiek GRC-platform	€8.000–€30.000 + integrator	Framework-agnostisch — CyFun is een skin, niet de spec.
Spreadsheet + handmatig bewijs	Goedkoop; duur in CISO-uren	Schaalplafond rond 5–10 klanten voor het spreadsheet wint.
ECP (voorbeeld Practice-tier)	~€1.950/mnd bij 50 SME-klanten; retail €5.000+	70%+ marge typisch, white-label inbegrepen.

Consultancy-opdracht (per klant)

€10.000–€20.000

Geen schaalvoordeel — elke klant herstart de teller.

Generiek GRC-platform

€8.000–€30.000 + integrator

Framework-agnostisch — CyFun is een skin, niet de spec.

Spreadsheet + handmatig bewijs

Goedkoop; duur in CISO-uren

Schaalplafond rond 5–10 klanten voor het spreadsheet wint.

ECP (voorbeeld Practice-tier)

~€1.950/mnd bij 50 SME-klanten; retail €5.000+

70%+ marge typisch, white-label inbegrepen.

Volledig tariefoverzicht (per-klant categorieën en looptijd) in de engagement-briefing — zie /.

Waarom dit werkt

Wholesale-prijzen per klant (€25 tot €750/maand naar entiteit-aantal) — jij bepaalt de retail.
White-label overal — jouw logo op policies, rapporten, bewijspakketten, het klantportaal.
Geen feature-gating — elke tier komt met white-label, elke integratie, volledige AI.
Geen omzetdeling, geen commissie — pure marge.

§4 Half zoveel uren per klant

Controle-mapping, bewijsverzameling, gap-detectie en auditpakketten zijn geautomatiseerd. Het routinewerk rond je oordeel is weg — het oordeel, de klantgesprekken en de CAB-klok blijven van jou.

§4 Half zoveel uren per klant
Fase	Volgorde	Output
Onboarding & assessment	Eerst	Scope, entiteiten, CyFun-tier, risicoregister per klant, live gap-rapport.
Opbouw & bewijs	Daarna	AI-gegenereerde policies (NL/FR/EN), gestructureerd bewijskluis, cross-doc consistentie.
Auditpakket	Tot slot	Ondertekende .zip met één klik — officiële CCB-Excel ingevuld met gelinkt bewijs.

Eerst

Onboarding & assessment

Scope, entiteiten, CyFun-tier, risicoregister per klant, live gap-rapport.

Daarna

Opbouw & bewijs

AI-gegenereerde policies (NL/FR/EN), gestructureerd bewijskluis, cross-doc consistentie.

Tot slot

Auditpakket

Ondertekende .zip met één klik — officiële CCB-Excel ingevuld met gelinkt bewijs.

Volgorde van fasen, geen looptijd — de CAB-klok hangt af van de uitgangspositie van je klant en jouw bandbreedte, niet van een marketingbelofte.

§5 Native CyFun

CyFun is geen vinkje op een featurelijst — het is het hele product. Rechtstreeks gebouwd op de officiële Centre for Cybersecurity Belgium (CCB) specificatie, in NL, FR en EN.

Frameworkversie: CCB CyberFundamentals 2025 (Small · Basic · Important · Essential)
Aantal controles: Small 7 · Basic 34 · Important 132 · Essential 217 — bij elke release geverifieerd tegen de CCB-spec.
Op te leveren: CAB-klaar auditpakket — officiële CCB-Excel ingevuld met al het bewijs, in een digitaal ondertekende .zip.
Upgradepad: Tier-progressie Small → Basic → Important → Essential. Bewijs vastgelegd op één tier draagt over naar de volgende — je doet alleen de delta.

Waarom dit telt voor je CAB-resultaat

Bewijsvereisten per controle volgen de CCB-spec — geen giswerk over wat auditoren verwachten.
NL/FR/EN overal — controles, policies, bewijslabels en exports.
Direct CCB-Excel-output — het auditpakket is het artefact dat de CAB beoordeelt, geen vertaalslag.
Geen retrofit: beginnen op Basic sluit Important of Essential later niet uit.

§6 Architecturale waarborgen

Local-first is geen slogan — het is de architectuur. Drie principes, elk met een concrete consequentie voor je data-residency-antwoord.

§6 Architecturale waarborgen
Principe	Wat het betekent	Consequentie voor jou
6.1 Local-first als standaard	Compliance-data van elke klant zit in een draagbare, digitaal ondertekende bundel op hun eigen infrastructuur — niet in onze cloud.	Data-residency-antwoord is "klantopslag van je eigen klant" — geen cross-border SaaS-vragenlijst in te vullen.
6.2 Cloud enkel tijdens werk	De bundel wordt server-side gehost tijdens actieve bewerkingen, daarna teruggegeven aan de klant als snapshot.	Geen permanente cloud-kopie — het breach- en subpoena-oppervlak is beperkt tot actieve sessies.
6.3 Tamper-evident audit-trail	Elke wijziging is een digitaal ondertekend event. De CAB-auditor kan de volledige historiek onafhankelijk replayen en verifiëren — zonder vertrouwen in ECP.	Je auditverdediging is "verifieer de bundel zelf" — de sterkst mogelijke positie tegenover een CAB-auditor.

6.1 Local-first als standaard

Compliance-data van elke klant zit in een draagbare, digitaal ondertekende bundel op hun eigen infrastructuur — niet in onze cloud.

Data-residency-antwoord is "klantopslag van je eigen klant" — geen cross-border SaaS-vragenlijst in te vullen.

6.2 Cloud enkel tijdens werk

De bundel wordt server-side gehost tijdens actieve bewerkingen, daarna teruggegeven aan de klant als snapshot.

Geen permanente cloud-kopie — het breach- en subpoena-oppervlak is beperkt tot actieve sessies.

6.3 Tamper-evident audit-trail

Elke wijziging is een digitaal ondertekend event. De CAB-auditor kan de volledige historiek onafhankelijk replayen en verifiëren — zonder vertrouwen in ECP.

Je auditverdediging is "verifieer de bundel zelf" — de sterkst mogelijke positie tegenover een CAB-auditor.

§7 Veelgestelde vragen — waarom ECP vs. alternatieven

Q1. Waarom geen generiek GRC-platform dat veel frameworks ondersteunt?

Generieke GRC-platforms herschilderen een controle-bibliotheek zodat het op CyFun lijkt. Ze zijn framework-agnostisch by design, wat betekent dat CyFun-specifieke bewijsvereisten, de CCB-Excel-output en de vier-tier-progressie allemaal als configuratie bovenop zitten. ECP is gebouwd vanuit de spec — elke controle, elk bewijstype, elke export komt overeen met wat de CAB-auditor verwacht, omdat er geen vertaalslag is.

Q2. Kan een enkele ervaren CyFun-consultant dit sneller leveren?

Voor één klant: mogelijk. Voor vijf, tien, vijftig — de consultant wordt de bottleneck en de factuur schaalt lineair. ECP automatiseert het routinewerk (controle-mapping, AI-gegenereerde policies, gestructureerde bewijsverzameling, gap-detectie, auditpakket-samenstelling) zodat het oordeel van de consultant verder reikt. Senior consultants zijn nog steeds beschikbaar op aanvraag, per dag gefactureerd; het platform maakt hun uren tellen.

Q3. Waarom geen spreadsheets en een gedeelde drive?

Bij vijf klanten wint het spreadsheet. Cross-document consistentie breekt; bewijs raakt los van policy; de CAB-auditor merkt het verschil als eerste. ECP codeert de structuur één keer en de workflow blijft hetzelfde bij 5 of 500 klanten — dat is wat je niet repliceert met gedeelde drives.

Q4. Wat gebeurt er met de data van mijn klant als ik ECP verlaat?

Je exporteert de ondertekende bundel — policies, bewijs, assessments, volledige event-sourced historiek — en je wandelt weg. De bundel is de bron van waarheid, niet onze database. Elke wijziging is reconstrueerbaar uit de bundel alleen, door iedereen met de publieke verificatiesleutel. De CAB-auditor kan het onafhankelijk replayen. Soevereiniteit is door architectuur, niet door beloftes.

Q5. Hoe gaat ECP om met Belgische context — taal, CCB-referenties, NIS2-deadlines?

NL, FR en EN overal — UI, controles, policies, bewijslabels, exports. CCB- en BELAC-referenties zijn first-class, geen nagedachten. NIS2-supply-chain-readiness is gemapt op verwacht bewijs per CyFun-tier. De omzettingsdeadline van april 2026 wordt op organisatieniveau gevolgd zodat je weet welke klanten op de teller staan.

Q6. Is ECP zelf geauditeerd of gecertificeerd?

ECP is een tool, niet de auditor. De CAB (Conformity Assessment Body) auditeert je klant; ECP produceert de artefacten die de CAB beoordeelt. De architecturale waarborgen in §6 — local-first opslag, ondertekende events, replaybare historiek — laten de CAB het bewijs onafhankelijk verifiëren. Vertrouwen hoeft niet in ons bedrijf te zitten; het zit in de wiskunde.

Loop er samen met ons doorheen.

Gesprek van 20 minuten. We nemen een echte klant van jou en lopen de vier pijlers erop door.

Boek een gesprek van 20 min