Oma johtopäätös on, että tämä selittää WithSecuren uutta strategiaa hyvin ja siihen liittyy WithSecuren kokoluokassa merkittävä kasvumahdollisuus kasvaa (ChatGPT:n €-määräisisten ennusteiden kanssa olisin varovainen). Nähtäväksi jää, miten tämä toteutuu käytännössä. Hyvä puoli tässä on, että kasvu on tulevaisuudessa ARR-pohjaista, joka on sitä ns. “hyvälaatuista” liikevaihtoa.
4 tykkäystä
Mielenkiintoistahan se olis saada withsecurelta edes jotain pientä vihjettä minkälaista liikevaihdon kasvua NIS2 myötä odotetaan euroina lyhyellä ja pitemmällä tähtäimellä, edes varovaista arviota.
Attekin on päässy niin paraatipaikalle keskelle tonttia että toivottavasti on kysymyslista tikissä 
Me jätetään nyt kaikki Aten varaan että kysyy oikeat kysymykset.
Pitää itekkin keitellä nyt kahvit, sitten odotellaan milloin ensimmäinen divestointikysymys pompsahtaa.
Withsecure longterm plan näyttää kyllä hyvältä
3 tykkäystä
NIS2 on jo pitkälti otettu käyttöön, direktiivi tuli voimaan about kuukausi sitten. En oikein keksi miksi ensi vuonna tulisi joku iso piikki tämän takia myyntiin.
Lisäksi WS:n tuoteportfolio on vain auttamattoman kevyt verratuna kilpailuun, siksi se jyrätään koko ajan jo 50 hengen yrityskokoluokassakin.
1 tykkäys
ChatGPT:n mukaan ainoastaan Belgia on onnistunut implemtoimaan NIS2:n kansallisella tasolla aikataulussa:
Alla on taulukko, joka kuvaa EU-maiden NIS2-direktiivin implementoinnin tilannetta (päivitetty marraskuussa 2024). Tiedot perustuvat saatavilla oleviin lähteisiin, ja maiden statusta on tarkennettu sen mukaan, missä vaiheessa implementointi on.
| EU-maa | Implementointistatus (11/2024) |
|---|---|
| Belgia | Laki astunut voimaan lokakuussa 2024. |
| Saksa | Useita luonnoksia; konsultointi käynnissä, viivästykset mahdollisia. |
| Suomi | Luonnos jätetty eduskuntaan; rekisteröinti alkaa 2025. |
| Ranska | Yksi luonnos; lisätietoja odotetaan keväällä 2024. |
| Italia | Luonnos hyväksytty hallituksessa, mutta odottaa parlamentin hyväksyntää. |
| Alankomaat | Luonnos valmistelussa; konsultointi Q1/2024. |
| Itävalta | Julkinen luonnos julkaistu; täytäntöönpano lokakuuhun 2024 mennessä. |
| Tanska | Ei saatavilla tarkkoja tietoja. |
| Ruotsi | Luonnos odotettavissa helmikuussa 2024. |
| Puola | Luonnos julkaistu huhtikuussa 2024, konsultointi käynnissä. |
| Espanja | Ei ajankohtaista tietoa saatavilla. |
| Portugali | Ei ajankohtaista tietoa saatavilla. |
| Irlanti | Ei ajankohtaista tietoa saatavilla. |
| Kreikka | Ei ajankohtaista tietoa saatavilla. |
| Unkari | Implementointi käynnissä; lisäasetuksia lokakuuhun 2024 mennessä. |
| Kroatia | Luonnos valmis, siirtymäkausi käynnissä. |
| Tšekki | Luonnos valmis, sisältää yksityiskohtaiset vaatimukset. |
| Slovakia | Ei ajankohtaista tietoa saatavilla. |
| Slovenia | Ei ajankohtaista tietoa saatavilla. |
| Romania | Ei ajankohtaista tietoa saatavilla. |
| Bulgaria | Ei ajankohtaista tietoa saatavilla. |
| Viro | Ei ajankohtaista tietoa saatavilla. |
| Latvia | Ei ajankohtaista tietoa saatavilla. |
| Liettua | Ei ajankohtaista tietoa saatavilla. |
| Kypros | Ei ajankohtaista tietoa saatavilla. |
| Luxemburg | Ei ajankohtaista tietoa saatavilla. |
| Malta | Ei ajankohtaista tietoa saatavilla. |
Huomioita:
- Joidenkin maiden tilanteesta ei ole saatavilla yksityiskohtaisia tietoja, mutta nämä maat joutuvat saattamaan direktiivin voimaan lokakuuhun 2024 mennessä.
- Keskeiset maat, kuten Saksa, Ranska ja Italia, ovat edenneet mutta kohtaavat viivästyksiä erityisesti sääntelyn monimutkaisuuden vuoksi.
- Pienempien maiden tilanteesta tarvitaan lisäselvitystä.
Jos haluat tarkempia tietoja tietyn maan tilanteesta, voin yrittää löytää lisätietoja!
2 tykkäystä
Tavallaan joo, käytännössä ei. Vaikka direktiivi tuli voimaan, sen paikallinen soveltaminen maittain ei ole maalissa. Toki valtaosa sen piirissä olevista yrityksistä on taatusti sen parissa jo alkuperäisen aikataulun mukaan toiminut. Mutta kyllä se varmaan joku driveri on. Toki moni saa rastin ruutuun tuon osalta käyttäen vaikka MS:n palveluja suoraan, ei Withsecurella mitään sellaista ole, jota ei moni muu tarjoaisi myös.
@Vestori täältä löydät ihan asiantuntijan lista, joka on aika paljon chatGPT:n “en oikeastaan tiedä” tasoa tarkempi / parempi: The NIS2 directive in EU: A country-by-country breakdown
7 tykkäystä
Ei tällä ole merkitystä, yritykset toimivat suurelta osin direktiivin aikataulujen mukaisesti eikä kansallisen lainsäädännön täytäänpanolla ole suurta merkitystä. Ok, ehkä jossain eteläisemmässä euroopassa ei olla yhtä tunnollisia mutta oma arvioni on että yritykset ovat jo hyvin pitkälti tehneet tarvittavat toimenpiteet.
Ja siis WS:n näkökulmasta NIS2 ei tuo oikeastaan mitään uutta, tietoturva on pitänyt olla kunnossa jo pidempään, ei kukaan järkevä firma ajattele “oho nyt tulee NIS2, meillä pitää olla päätelaitesuoja kunnossa, soitetaas WS:lle”.
Itseasiassa NIS2 voi olla jopa HAITALLISTA WS:lle kun firmat ovat joutuneet miettimään tietoturvaa vähän laajemmin ja siinä kohta WS:n heikko portfolio tulee päivänvaloon.
7 tykkäystä
Kiitos @Seinakadun_Keisari hyvästä opponoinnista! WS:n tuoteportfolion kapeus on kieltämättä ihan validi pointti, jonka sivuutin yllä olevissa viesteissäni.
3 tykkäystä
En töiden takia kuunnellut koko settiä, mutta jotenkin tuon Withsecuren strategia on edelleen mielestäni vähän tempoileva. Ei siitä nyt niin pitkä aika ollut, kun ostettiin konsultointia kalliilla ja nyt siitä yritetään päästä ymmärrettävästi eroon.
Mutta senkin lisäksi koko esityksen alkupuoli korostettiin sitä, miten “co-selling with partners” ja “small and medium sized companies” on kaiken huomion keskipiste (Elementsin osalta erityisesti, mutta tuntui CFO:kin tähän aika paljon upselling potentiaalia perustavan). Sitten kun luen vaikka Q3 rapsaa, niin siellä taas kerrotaan että sen Salesforce-palikan malli on ihan päinvastoin: myydään itse ja suurille asiakkaille. Tämä on jälleen kerran ihmeellinen ristiveto siinä, mitä Withsecure oikeasti haluaa isona olla.
Kun tavoitteetkin määriteltiin puhtaasti Elementsin kautta, niin pitääkö tuosta rivienvälistä lukea, että se Salesforce-palikka on seuraavaksi myynnissä tai strategisen analyysin kohteena?
Konsultoinnin divestointiaikeesta muuten kerrottiin yli vuosi sitten. Ei ole ilmeisesti ostajia jonoksi asti…
edit: Kuuntelin nyt tallenteen Q&A osiosta, jossa tuota Salesforce-puolta sivuttiin. Eli ilmeisesti sanoma oli, että sen kehittämiseen on motivaatiota ja kärsivällisyyttä, mutta ulkopuolinen sijoittajakin saa mukaan tulla.
4 tykkäystä
Konsulttibisnes on aika pitkälti sitä EilaKaisla -hanurinvuokrausta, parhaat työntekijät lähtee helposti muualle niin ostajan kannattaa miettiä aika tarkkaan että mitä itseasiassa on ostamassa.
Ei siis yllätä yhtään.
6 tykkäystä
En jotenkin saanut itse oikeen mitään irti tosta setistä kun toisella korvalla sitä kuuntelin töiden ohessa. Sanoiko noi ukkelit oikeastaan hirveesti mitään? Oliko toi hyvä vai huono juttu
1 tykkäys
Tässäpä se. NIS2 ei oikeasti tuo mitään uutta taivaan alle muutenkaan. Ne jotka vaikkapa aikoinaan GDPR-jumpan yhteydessä pistivät hommansa kuntoon ottivat jo pohjaksi ISO:n, NISTin, ISF:n tms. standardit/viitekehykset ja jos nämä on toteutettu asianmukaisesti, niin NIS2 ei käytännössä juuri edellytä toimenpiteitä. Ja puolestaan ne firmat, jotka eivät vieläkään ole laittaneet hommiansa kuntoon ja viittaavat kintaalla esim. GDPR:lle, niin tuskin tuo NIS2 herätysliikettä saa aikaan. Toivotaan toki näin (ei WS:n, tai muidenkaan alan yhtiöiden takia, vaan yhteiskuntamme resilienssin), mutta epäilen.
Ja ehkä sen verran knoppitietona aiemmin mainittuun NIS vs. NIS2, että sisällöllisesti niissä ei itse asiassa ole niin paljoa eroa. NIS2 vain kertoo tarkemmin, että tee tämä tämä ja tämä. Alkuperäinen NIS ainoastaan totesi, että hoida homma ja käytä siinä apuna jotain kansainvälistä/kansallista standardia/viitekehystä (jotka puolestaan sisältävät jo ne NIS2:ssa erikseen mainitut teemat). Eli jälleen, jos ensimmäinen NIS toteutettiin kuten piti, niin NIS2 on enemmän tai vähemmän tick in the box -harjoitus.
3 tykkäystä
Tuleekos tälle iltaa jonkinlaista raporttia, mitä tänään selvisi sijoittajapäivillä?
Sisällöllisesti ehkä, mutta se iso ero oli sääntelyn piirissä olevien yhtiöiden määrä. Joidenkin arvioiden mukaan alkuperäinen koski suuruusluokaltaan x0 000 yhtiötä, NIS2 taas x00 000. Tarkoista luvuista voi väitellä, mutta on se sovellusala selkeästi suurempi tässä vol 2:ssa.
Ja en nyt sanoisi, että GDPR ja NIS2 menisivät suurelta osin päällekkäin (osin toki, varsinkin konseptiltaan), mutta siitä ollaan samaa mieltä että NIS2 on vain yksi esimerkki ylipäätään kiristyvästä regulaatiosta tietoturvan ja tietosuojan alalla. Eniten koko termiä pitävät pinnalla firmat, jotka haluavat jotain se varjolla myydä.
Vähän tuosta Withsecuren CMD:stä tuli fiilis, että NIS2 oli osin valjastettu vastaamaan kysymykseen ”mikä nyt olisi toisin”, eli miksi juuri nyt kasvu yhtäkkiä ottaa uusia kierroksia. Osittain varmasti siksi, että osa asiakkaista on siitä kysynyt, mutta osin varmasti myös markkinointimielessä. Samaahan se tosiaan oli GDPR:n kanssa aikanaan, mutta ei se tainnut lopulta kyberturvafirmojen bottomlinessa merkittävästi näkyä (vai muistanko väärin?).
1 tykkäys
Siis eihän GDPR:llä ole suoraan mitään tekemistä kyberturvan kanssa, se koskee vain tapaa jolla käyttäjä-/henkilötietoja käsitellään.
1 tykkäys
Standardi-/viitekehysjumppa on hyvin pitkälti päällekkäistä ja yhtä et pysty toteuttamaan ilman huomioimatta toista. Jos nyt esimerkkinä ottaa GDPR:n, niin eihän se sano kuin parilla sanalla, että yksityisyyden suojan lisäksi myös henkilötietojen tietoturvasta täytyy huolehtia. Ja tämän toteuttaakseen on käytännössä pakko soveltaa nippua muita standardeja/viitekehyksiä, jotta voidaan GDPR:n edellyttämä osoitusvelvollisuus hanskata. Eli taas palataan siihen, että alla on oltava jokin ISO27000 -sarja, NISTin CSF, ISF:n SoGP tms. Ja kun jokin näistä on jo alla (ja toteutettuna ihan oikeasti, eikä leikisti), niin NIS2 on pala kakkua (kaikki NIS2:n elementit löytyvät vaikkapa ISO27000-standardeista).
Ja tästä myös seuraa se ei niin iso eroavaisuus NIS vs. NIS2 eli vaikka NIS2:n soveltamisala on laajempi, kuin edeltäjässään, niin GDPR koskee (ja on jo koskenut hyvän tovin) joka tapauksessa myös kaikkia niitä “uusia” toimijoita, joita NIS kakkonenkin (tai jos löytää firman, joka ei käsittele henkilötietoja, niin good catch).
2 tykkäystä
Se ei tosiaan määrittele miten henkilötiedot tulee suojata, vaan kertoo ainoastaan, että henkilötietojen tietoturvasta pitää huolehtia (artikla 32). Ja sen toteuttaminen käytännössä tosiaan sitten edellyttää, että tietoturva perustuu johonkin muuhun, kuin Maken ja Peran hihastaan heittämiin parhaisiin fiiliksiin.
1 tykkäys
Atte on kirjoitellut erinomaiset ja kattavat kommentit WithSecuren sijoittajapäivistä. 
WithSecure järjesti perjantaina sijoittajapäivän, jonka tallenne on katsottavissa täältä. Päivän perusteella iso kuva yhtiön suhteen on pitkälti ennallaan. Viime vuosina yhtiö on rakentanut keskisuurille yrityksille hyvin istuvan tuote- ja palvelutarjooman, jolla on edellytykset menestyä äärimmäisen kilpailulla markkinalla. Yhtiö tavoitteleekin kasvun selvää kiihtymistä vuoteen 2027 mennessä, mikä heijastuisi skaalautuvan kulurakenteen ansiosta myös tulosriveille. Osakkeen erittäin matalaksi painuneen arvostuksen (IFRS16 oik. EV/S 0,7x) valossa sijoittajat tuntuvat jo heittäneen pyyhkeen kehään osakkeen suhteen, eikä tavoitteisiin tällä hetkellä uskota. Mielestämme tämä tekee riski/tuotto-suhteesta houkuttelevan, sillä ennusteisiimme piirretty selvästi tavoitteita heikompikin suoritus puoltaa osakkeelle selvästi nykytasoa korkeampaa arvoa.
9 tykkäystä
Joo hyvää kirjoittelua atelta mutta eipä tässä taaskaan tullut juuri mitään uutta tietoa.
WithSecure tavoittelee kumppanikanavansa kautta erityisesti keskisuuria yrityksiä (200-2000 henkilöä), joiden tarve investoida tietoturvaan on jatkuvassa kasvussa, mutta rajalliset resurssit rajoittavat omien sisäisten tietoturvatiimien rakentamista. Investointipainetta tulee niin jatkuvasti kasvavien kyberuhkien kuin sääntelyn pakottama. WithSecure on rakentanut Elements-alustansa tuotetarjooman ja sitä tukevat palvelut vastaamaan juuri tämän kohderyhmän tarpeita, jotta tietoturva-asiat voitaisiin laittaa kuntoon kustannustehokkaasti ja sääntelyn (esim. NIS2) vaatimalla tavalla
@Atte_Riikola tämä ei vaan pidä paikkaansa, sinun pitäisi nyt oikeasti tutustua kilpailuun alalla ja mitä muilla on tarjolla sen sijaan että uskot WS:n johdon sanomisia suoralta kädeltä.
WS on tällä hetkellä pahasti takamatkalla tarjooman suhteen, se ei pärjää kilpailussa tältä osin. Hinta on ainoa mitä WS voi tarjota mutta ongelmana on se ettei yritykset juurikaan säästele tietoturvan osalta koska siellä jos missä pitää paikkansa että halvalla ei saa hyvää.
3 tykkäystä
Oma tulkintani CMD:n esitysten perusteella oli, että Withsecuren jonkinlainen itse tunnistettu sweet spot on myydä IT-palveluntarjoajille, jotka sitten myy firmoille, joilla ei ole kunnollista omaa IT/Security -toimintoa (tai on tyyliin 1-2 tyyppiä tekemässä kaiken A:sta Ö:hön). Eli usein loppuasiakkaalla ei oikeastaan ole kompetenssia edes arvioida eri ratkaisuja, vaan ottaa sen lisäpalikan saman putiikin kautta, josta läppäri, M365 lisenssit ym tulee.
Ja nämä “IT-palvelutarjoajat” ovat usein myös pienemmästä päästä, eli niillä voi olla oma loppukäyttäjätuki yms, mutta ei omaa tietoturvatiimiä, jonka takia sitten Withsecuren hallinnoima monitorointi on hyödyksi. Ei siinä haetaan cutting edgeä, vaan jotain “rasti ruutuun” tyylistä toimintaa.
En oikein usko, että tämä pieni nurkka on ollut alunperin se kärki, mihin haluttiin, vaan enemmän se, mihin olosuhteiden pakosta on päädytty. Tuolta laatikosta on vaikea laajentaa ulos, mutta sinne sisään voi joku isompi toimija halutessaan kyllä laajentua sisään.
Oon samaa mieltä, että realistisempi sweetspot lienee joku 50-500 tjsp
1 tykkäys