Het Visma Security Program (VSP) versterkt de cyberweerbaarheid van 180+ bedrijven met een maturity-model, duidelijke targets en centrale regie. Nieuwe en bestaande Visma-bedrijven bereiken snel een hoger securityniveau, met bestuurlijke verankering en lokale verantwoordelijkheid.
Algemene beschrijving (incl. samenvatting van onderstaande vier punten)
Visma heeft cyber resilience verankerd in de kern van haar organisatie via het Visma Security Program (VSP): een groepsbreed programma dat meer dan 180 Visma-bedrijven ondersteunt bij het structureel verhogen van hun digitale weerbaarheid. Als softwaregroep die deels groeit via overnames van snelgroeiende bedrijven, weet Visma dat security niet overal vanaf dag één op hetzelfde volwassenheidsniveau is ingericht. Het securityprogramma zorgt ervoor dat nieuwe en bestaande bedrijven in korte tijd grote stappen kunnen maken, zonder dat zij alles zelf hoeven uit te vinden of zelfstandig dezelfde investeringen hoeven te doen in tooling en expertise.
De kern van het programma is een helder gedefinieerd maturity-model met verschillende securityniveaus (van basis tot hoog volwassen), gekoppeld aan concrete eisen en meetbare doelstellingen. Bedrijven krijgen duidelijke targets en hebben doorgaans circa zes maanden om het afgesproken niveau te behalen.
Het programma is opgebouwd rond risicogebaseerde monitoring, uniforme security-eisen en transparante rapportage richting management. Cyber resilience wordt niet alleen technisch aangestuurd, maar ook bestuurlijk geborgd: Managing Directors zijn verantwoordelijk voor voortgang en worden actief meegenomen in de risicostatus van hun organisatie. Zo ontstaat een combinatie van centrale regie en lokale verantwoordelijkheid die schaalbaar en effectief is.
Beschrijf hoe risico’s herkend worden, hoe kritische applicaties en data worden beschermd, hoe afwijkingen worden gedetecteerd, hoe er op gereageerd wordt en hoe het herstellen van toegang geregeld is
Het Visma Security Program is in de kern een risicomanagementinstrument. Risico’s worden herkend via een centraal dashboard waarin security-informatie uit verschillende bronnen wordt samengebracht. Ook wordt er gewerkt met een security score, een berekening op basis van de data uit het securityprogramma. Hierdoor ontstaat continu inzicht in kwetsbaarheden, openstaande risico’s en de snelheid waarmee issues worden opgelost.
Het maturity-model koppelt elk niveau aan concrete beveiligingsmaatregelen, zoals secure development-controles, vulnerability management, monitoring en testvereisten. Naarmate een bedrijf stijgt in niveau, worden de beschermingsmaatregelen aantoonbaar uitgebreider en strenger. Kritische applicaties en klantdata worden daarmee systematisch beter beschermd naarmate de organisatie doorgroeit in volwassenheid.
Wanneer risico’s niet tijdig worden gemitigeerd, wordt dit zichtbaar in het dashboard en gerapporteerd. Deze zichtbaarheid zorgt ervoor dat afwijkingen niet onder de radar blijven, maar actief worden opgevolgd. Bedrijven kunnen niet langdurig onder het afgesproken securityniveau blijven. Nieuwe bedrijven en producten krijgen doorgaans tot zes maanden om het targetniveau te bereiken. Voor bestaande producten binnen het securityprogramma geldt dat eventuele afwijkingen snel moeten worden opgelost, doorgaans binnen één maand.
De opvolging is niet vrijblijvend: Managing Directors rapporteren maandelijks aan de Board over de voortgang op het gebied van security en risicobeheersing. CISO’s leveren waar nodig toelichting of advies om risico’s te duiden en verbeteringen te stimuleren. Daarmee is cyber resilience geen losse IT-activiteit, maar een onderwerp in de boardroom.
Beschrijf hoe het verlagen van risico’s, de financiële impact en het voorkomen van reputatieschade zijn vastgelegd in de cyber resilience-strategie
Het primaire doel van het Visma Security Program is het structureel verlagen van cyberrisico’s. Door inzichtelijk te maken waar kwetsbaarheden zitten en hoe snel deze worden opgelost, ontstaat een meetbare reductie van risico’s. De combinatie van maturity-niveaus en een vaste verbetertermijn van één maand voorkomt dat risico’s langdurig blijven bestaan.
Door risico’s eerder te signaleren en sneller te mitigeren, wordt de kans op ernstige incidenten, langdurige uitval en datalekken aanzienlijk verkleind. Daarmee wordt indirect ook de potentiële financiële impact van verstoringen of compliance-overtredingen verminderd.
Daarnaast verlaagt het programma de structurele kosten voor individuele bedrijven. Security tooling, monitoring en kennis worden op groepsniveau georganiseerd en gedeeld. Denk aan een Global Security Operations Center (24/7 incident response), Vulnerability Management, Cyber Threat Intelligence en de eerder genoemde security score. Hierdoor bereiken bedrijven binnen korte tijd een hoger securityniveau tegen aanzienlijk lagere kosten dan wanneer zij dit zelfstandig zouden moeten realiseren.
Ook reputatiebescherming is expliciet onderdeel van de strategie. Doordat bedrijven hun securityniveau aantoonbaar kunnen verbeteren en inzichtelijk maken, versterken zij het vertrouwen van klanten en partners. Transparantie over risico’s en voortgang maakt het mogelijk om niet alleen schade te voorkomen, maar ook actief te laten zien dat cyberweerbaarheid serieus wordt genomen.
Beschrijf hoe innovatief het product of de strategie is
De innovatie van het Visma Security Program zit vooral in de combinatie van schaalbaarheid, transparantie en bestuurlijke verankering. In een organisatie met meer dan 180 zelfstandige bedrijven is het uitzonderlijk om cybersecurity uniform te organiseren zonder de ondernemende autonomie van die bedrijven te beperken.
Het maturity-model met concrete niveaus en tijdgebonden targets maakt security vergelijkbaar en te benchmarken binnen de hele groep. Bedrijven kunnen hun positie ten opzichte van andere Visma-bedrijven zien en gericht verbeteren. Deze combinatie van transparantie en accountability is onderscheidend.
Bovendien is cybersecurity volledig geïntegreerd in de bredere riskmanagementstrategie. Managing Directors hebben inzicht in hun totale risicoprofiel, waarbij security één van de expliciete pijlers is. Hierdoor wordt cyber resilience niet beperkt tot IT, maar onderdeel van strategische besluitvorming.
Het programma wordt daarnaast continu doorontwikkeld, onder andere door slimmer gebruik te maken van data uit het overnameproces en door te onderzoeken hoe AI kan helpen om implementatie en beheer eenvoudiger en efficiënter te maken.
Beschrijf hoe de digitale autonomie wordt gewaarborgd in het product of de strategie
Digitale autonomie binnen Visma betekent dat bedrijven en hun klanten controle houden over hun data en digitale infrastructuur. Het uitgangspunt is dat data van Europese Visma-bedrijven binnen Europa blijft. Alleen wanneer het echt noodzakelijk is, wordt daarvan afgeweken, en dan uitsluitend met passende risicoanalyses en juridische waarborgen.
Daarnaast behoudt Visma de regie over haar security-inrichting doordat tooling kan worden aangepast of vervangen wanneer dat nodig is. Het securityprogramma is een intern ontwikkeld raamwerk, waardoor Visma niet afhankelijk is van één specifieke externe leverancier.
Door deze combinatie van datalocatiebeleid, governance en technische flexibiliteit ondersteunt Visma niet alleen de beveiliging van systemen, maar ook de autonomie van bedrijven en hun klanten in een steeds complexer digitaal landschap.