Czym różni się MSSP od MSP?

MSP (Managed Service Provider) to dostawca usług zarządzanych IT, który zajmuje się operacyjnym utrzymaniem infrastruktury - serwerów, sieci, stacji roboczych, helpdesk. MSP prowadzi NOC (Network Operations Center) , którego głównym celem jest uptime - ciągłość działania systemów. MSSP (Managed Security Service Provider) to wyspecjalizowany dostawca bezpieczeństwa, który prowadzi SOC (Security Operations Center) - centrum monitoringu bezpieczeństwa 24/7, którego celem jest wykrywanie i neutralizacja zagrożeń . Kluczowa różnica: MSP dąży do "wszystko działa", MSSP dąży do "wszystko jest bezpieczne". Konflikt interesów : ten sam administrator IT, który skonfigurował system (być może źle, dla wygody), nie powinien go monitorować pod kątem bezpieczeństwa - istnieje ryzyko ukrywania własnych błędów. MSSP jako niezależny audytor (Segregation of Duties) eliminuje ten problem

Ile naprawdę kosztuje własny SOC 24/7?

Budowa wewnętrznego SOC to nie tylko koszt jednego etatu analityka - to minimum 5-6 analityków na jeden pełny etat w systemie zmianowym (24/7/365 wymaga pokrycia weekendów, nocy, urlopów, chorób, szkoleń). Przykładowy breakdown kosztów rocznych: Kadra: 5-6 analityków SOC Tier 1/2 po 120-180k PLN = 600-900k PLN/rok, 1-2 ekspertów Tier 3 po 200-250k PLN = 200-500k PLN/rok, 1 SOC Manager 180-250k PLN = 180-250k PLN/rok. Infrastruktura: SIEM/XDR licencje 200-800k PLN/rok, Threat Intelligence feeds 100-300k PLN/rok, szkolenia i certyfikaty (SANS, GCIA) 50-150k PLN/rok. SUMA: 1.3-2.9 mln PLN/rok dla małego/średniego SOC. MSSP oferuje podobną jakość usług za 20-40% tego kosztu (300-800k PLN/rok) dzięki efektowi skali amortyzowanemu na wielu klientach. Dla firm <2000-3000 pracowników in-house SOC jest ekonomicznie nieracjonalny

Czy outsourcing do MSSP zwalnia mnie z odpowiedzialności NIS2?

Absolutnie NIE. Dyrektywa NIS2 (implementowana w Polsce przez nowelizację Ustawy o KSC) wprowadza bezpośrednią, osobistą odpowiedzialność członków zarządu za niedbalstwo w zakresie cyberbezpieczeństwa. Outsourcing do MSSP nie usuwa tej odpowiedzialności - zmienia jedynie jej charakter z wykonawczej na nadzorczą . Pozostajesz odpowiedzialny za: (1) Due diligence przy wyborze dostawcy (weryfikacja certyfikatów, referencji, zgodności z art. 8 ustawy), (2) Nadzór nad wykonaniem umowy - regularne audyty, przegląd raportów, testy procedur incident response, (3) Zarządzanie ryzykiem dostawców - MSSP sam musi być audytowany (łańcuch dostaw), (4) Weryfikacja skuteczności - PoC, testy penetracyjne, tabletop exercises. Musisz audytować swojego audytora! Niewykonanie nadzoru = osobista odpowiedzialność zarządu, nawet jeśli MSSP zawiód

Jak zweryfikować, czy MSSP jest wiarygodny?

Wiarygodność MSSP weryfikujesz poprzez kombinację certyfikatów, audytów i testów praktycznych . Certyfikaty (must-have): (1) SOC 2 Type II - to złoty standard, dowodzi, że procedury bezpieczeństwa faktycznie działały skutecznie przez ostatnie 12 miesięcy (nie tylko istnieją na papierze jak SOC 2 Type I). Type II weryfikuje skuteczność w czasie, nie tylko design. (2) ISO 27001 - zarządzanie bezpieczeństwem informacji, (3) ISO 9001 - jakość procesów (opcjonalnie). Due diligence: Sprawdź referencje od klientów z Twojej branży, przeprowadź wizytę w SOC dostawcy (czy fizycznie istnieje? Jak wygląda?), zweryfikuj kadry - jaki jest wskaźnik rotacji analityków? Jakie mają certyfikaty (GIAC, OSCP, GCIH)? Proof of Concept (PoC): Przed podpisaniem umowy - uruchom 30-90 dniowy test z prawdziwymi danymi, wykonaj symulowany atak (Red Team) i zweryfikuj, czy MSSP go wykrył i zareagował zgodnie z regułą 1-10-60. PoC to obowiązek, nie opcja

Co to jest model co-managed SOC?

Co-managed SOC (hybrydowy) to model, w którym odpowiedzialność za bezpieczeństwo jest dzielona między wewnętrzny zespół klienta a zewnętrzny MSSP. Typowy podział: MSSP (outsourcing) odpowiada za: Tier 1 (monitoring 24/7, triage alarmów, First Response), platformę techniczną (SIEM/XDR/SOAR - infrastruktura, licencje, utrzymanie), Threat Intelligence (feed'y zagrożeń, aktualizacje reguł detekcji). Klient (in-house) zachowuje: Tier 2/3 (zaawansowana analiza, Threat Hunting, incydenty strategiczne), domain expertise (głęboka wiedza o biznesie, aplikacjach, infrastrukturze), decyzje eskalacyjne (kiedy odłączyć serwer produkcyjny? Czy płacić okup ransomware?). Zalety: Niższy koszt niż pełny in-house SOC (potrzebujesz tylko 1-2 analityków senior zamiast 5-6 junior), zachowanie kontroli nad strategicznymi decyzjami, lepsza znajomość środowiska niż pełny outsourcing. Dla kogo: Średnie/duże firmy (500-5000 pracowników), które potrzebują elastyczności i nie chcą całkowicie tracić kontroli

Jak wygląda model pełnego outsourcingu (Full MSSP)?

Model pełnego outsourcingu (Full MSSP / MDR - Managed Detection and Response) oznacza, że MSSP przejmuje całkowitą odpowiedzialność operacyjną za bezpieczeństwo - klient nie potrzebuje własnych analityków SOC. MSSP zapewnia: Monitoring 24/7/365 - wszystkie warstwy: endpoint (EDR/XDR), sieć (NDR), chmura (CSPM/CWPP), identity (UEBA), Platforma jako usługa - SIEM/XDR dostarczony i zarządzany przez MSSP (często model SaaS), Detekcja i Response - analiza alertów, inwentygacja incydentów, aktywna reakcja (izolacja endpointów, blokowanie IP, usuwanie malware), Raportowanie - okresowe raporty executive + compliance (NIS2, GDPR), Threat Intelligence - dostęp do globalnych feed'ów zagrożeń. Zalety: Najniższy koszt dla małych/średnich firm (20-40% kosztu in-house SOC), brak problemów z rekrutacją i retencją analityków, natychmiastowy dostęp do ekspertów, skalowalność. Wady: Mniejsza kontrola, zależność od dostawcy, potencjalnie wolniejsza reakcja na incydenty wymagające business context. Dla kogo: Małe/średnie firmy (<500 pracowników), firmy bez wewnętrznych kompetencji SOC, podmioty NIS2 szukające szybkiego compliance

Czym jest reguła 1-10-60 i dlaczego jest ważniejsza niż "15 minut reakcji"?

Reguła 1-10-60 to branżowy benchmark skuteczności SOC (pochodzący z Splunk .conf), który definiuje, jak szybko organizacja powinna wykrywać, inwentygować i neutralizować zagrożenie: 1 minuta - maksymalny czas na wykrycie zagrożenia (detection), 10 minut - maksymalny czas na pełną inwentygację i potwierdzenie skali incydentu (investigation, triage), 60 minut - maksymalny czas na remediację - izolację zagrożonego systemu i całkowite usunięcie intruza (remediation). Dlaczego to ważniejsze niż SLA "15 minut reakcji"? Bo standardowe SLA często oznaczają jedynie czas, w którym automat potwierdził otrzymanie alertu , nie czas do MEANINGFUL response (znaczącej reakcji człowieka). Prawdziwy miernik to MTTD (Mean Time to Detect) i MTTR (Mean Time to Respond) . Przy wyborze MSSP żądaj zobowiązania do reguły 1-10-60 lub podobnego SLA opartego na time-to-remediation, nie time-to-acknowledge. W przeciwnym razie możesz mieć "potwierdzenie w 15 minut", ale usunięcie intruza dopiero po 48 godzinach

Jakie wskaźniki KPI powinienem śledzić w relacji z MSSP?

Skuteczność MSSP mierz poprzez konkretne, mierzalne KPI operacyjne i biznesowe , nie metryki próżności (np. "liczba przetworzonych logów"). KPI Operacyjne: (1) MTTD (Mean Time to Detect) - średni czas wykrycia zagrożenia [cel: <10 min dla krytycznych alertów], (2) MTTR (Mean Time to Respond) - średni czas reakcji i remediacji [cel: <60 min zgodnie z regułą 1-10-60], (3) False Positive Rate - odsetek fałszywych alarmów [cel: <15%, najlepiej <10%], (4) Dwell Time - średni czas, jaki intruz spędza w sieci nieodkryty [cel: <24h, najlepiej <4h], (5) Alert Closure Rate - odsetek incydentów zamkniętych w określonym czasie (np. 95% w <4h). KPI Biznesowe: (6) Incydent NIS2-reportable - liczba incydentów wymagających raportowania do CSIRT (czy MSSP pomógł dotrzymać terminu 24/72h?), (7) SLA Compliance - % dotrzymania umówionych SLA, (8) Analyst Availability - dostępność senior analityka (Tier 3) w razie krytycznego incydentu. Raportuj miesięcznie i eskaluj do zarządu kwartalnie. Żądaj od MSSP dashboard z live KPI

Czy mogę używać MSSP i mieć jednocześnie własny zespół IT?

Tak, i to jest rekomendowany model dla większości firm. MSSP zajmuje się bezpieczeństwem (SOC) , Twój wewnętrzny zespół IT/MSP zajmuje się operacjami (NOC) - nie ma konfliktu. Podział odpowiedzialności: Twój zespół IT/MSP (NOC): Zarządzanie infrastrukturą (serwery, sieci, stacje robocze), administracja systemami (Active Directory, Exchange, chmura), helpdesk i wsparcie użytkowników, update'y i patching (koordynacja z MSSP), backup i disaster recovery. MSSP (SOC): Monitoring bezpieczeństwa 24/7 (logi, alerty, anomalie behawioralne), detekcja zagrożeń i inwentygacja incydentów, reagowanie na ataki (izolacja, blokowanie, usuwanie malware), raportowanie incydentów (NIS2 compliance), Threat Hunting i Vulnerability Management. Model współpracy: MSSP audytuje pracę zespołu IT (Segregation of Duties) - np. wykrywa, że administrator otwarł niebezpieczny port lub źle skonfigurował firewall. To eliminuje konflikt interesów i zwiększa bezpieczeństwo. Zespół IT i MSSP powinny regularnie współpracować przy remediacji (np. MSSP wykrywa, IT wykonuje patching

Jak długo trwa wdrożenie MSSP?

Czas wdrożenia MSSP zależy od modelu usług i złożoności środowiska , ale typowe timeline'y to: Model MDR/pełny outsourcing (mała/średnia firma): 2-6 tygodni. Faza 1 (tydzień 1-2): Kick-off, discovery środowiska (inwentaryzacja assetów, aplikacji, integracji), instalacja agentów EDR/XDR na endpoints. Faza 2 (tydzień 3-4): Konfiguracja integracji (SIEM, firewall, cloud logs), baseline normalnej aktywności (uczenie modeli AI/ML), dostrojenie reguł detekcji do środowiska klienta. Faza 3 (tydzień 5-6): Testy PoC (symulowane ataki Red Team), trening zespołu klienta (procedury eskalacji, współpraca), Go-Live - pełne monitorowanie 24/7. Model co-managed / hybrydowy (średnia/duża firma): 2-4 miesiące. Dodatkowa złożoność: integracja z istniejącym SOC/SIEM klienta, definicja Segregation of Duties (kto odpowiada za co?), dostosowanie procesów i playbook'ów, szkolenia wewnętrznego zespołu Tier 2/3. Krytyczny czynnik: Im bardziej złożone środowisko (OT/ICS, multi-cloud, legacy systemy), tym dłużej trwa baseline i tuning (nawet 6+ miesięcy). Pytanie do MSSP: "Jaki jest Wasz typowy Time to Value dla klienta mojej wielkości

Co zrobić, jeśli MSSP zawodzi?

Jeśli MSSP nie spełnia oczekiwań, musisz działać szybko - każdy dzień słabego monitoringu to ryzyko niewykreowanego ataku. FAZA 1 - Diagnoza (tydzień 1-2): Zbierz konkretne dowody nieprawidłowości (pominięte alerty, opóźniona reakcja, brak raportów), porównaj faktyczne KPI z umowionymi SLA (MTTD, MTTR, FPR, dostępność), przeprowadź test kontrolny - np. symulowany atak (czy MSSP go wykrył?), zorganizuj spotkanie eskalacyjne z Account Manager i SOC Manager dostawcy. FAZA 2 - Remediation (tydzień 3-4): Żądaj Corrective Action Plan (CAP) od MSSP - konkretne kroki naprawcze i timeline, rozważ czasowe przeniesienie krytycznych alertów do internal triage (jeśli masz zespół), zintensyfikuj nadzór - daily check-in, weekly KPI review, jeśli brak poprawy → eskaluj do C-level dostawcy . FAZA 3 - Exit Strategy (miesiąc 2-3): Równolegle rozpocznij RFP dla alternatywnych dostawców (nie czekaj na całkowite załamanie!), zorganizuj Proof of Concept z 2-3 nowymi kandydatami, zaplanuj płynną migrację (unikaj luk w monitoringu - nowy MSSP musi wejść, zanim stary wyjdzie), rozwiąż umowę zgodnie z notice period (typowo 30-90 dni). Pamiętaj: Umowa MSSP powinna zawierać klauzule wyjścia - prawo do audytu, benchmarking KPI, możliwość wypowiedzenia bez penalty jeśli SLA nie są spełniane przez 2-3 miesiące

Czy małe firmy potrzebują MSSP?

Tak, małe firmy często potrzebują MSSP BARDZIEJ niż duże , ponieważ: (1) Nie mają własnych analityków SOC - budowa in-house SOC to minimum 1.3-2.9 mln PLN/rok (totally nieracjonalne dla firm <500 osób), (2) Są równie atrakcyjnym celem - ransomware atakuje wszystkich, nie tylko korporacje (small business = łatwiejszy cel), (3) Wymogi NIS2 - wiele małych/średnich firm (50+ osób, 10 mln EUR+ obrotu) podlega dyrektywie i musi mieć monitoring 24/7, (4) Brak kompetencji - typowy administrator IT w małej firmie nie jest analitykiem cybersecurity. Rekomendowany model dla małych firm: MDR as a Service - pełny outsourcing MSSP oferujący monitoring 24/7, EDR/XDR, detekcję i response, raportowanie compliance. Koszt: 2,000-5,000 USD/miesiąc (8-20k PLN/m) w zależności od liczby endpoints i złożoności. To 20-30% kosztu zatrudnienia jednego analityka , a otrzymujesz cały zespół SOC 24/7 z dostępem do Threat Intelligence i ekspertów. Alternatywa: MDR "lite" dla mikrofirm (<50 osób) - uproszczona ochrona (EDR + managed service) za 1-2k USD/m. Bottom line: Dla małych firm MSSP to nie luksus, to konieczność - zwłaszcza w kontekście NIS2

MSSP 2025: 4 Traps When Choosing a Managed Security Provider (And Why Your Own SOC Costs 5x More) - Wiadomości SecurHUB

In today's digital ecosystem, where threats evolve faster than fashion trends, the decision to secure a company is not just another line item in the IT budget. It is a strategic imperative.

More and more enterprises are deciding to outsource security to specialized Managed Security Services Providers (MSSPs). The problem is that the market is full of traps, and the most "obvious" choices often turn out to be expensive mistakes.

We analyzed strategic trends and documents to extract four counter-intuitive insights you need to know before signing a contract.

1. Your Own SOC Department Costs You 5-6 Times More Than You Think

If you are considering building an internal Security Operations Center (in-house SOC), you need to multiply your estimates for a single analyst position. And you need to multiply it by 5 or 6.

Why? Criminals don't know weekends or overtime. Statistics show that critical ransomware attacks often begin on Friday afternoons. Maintaining operations 24/7/365 requires hiring a minimum of 5-6 analysts for one full-time equivalent shift position, taking into account shifts, vacations, training, and absences. This generates colossal fixed costs and an unimaginable talent retention problem in the face of a dramatic skills gap in the market.

"MSSP, thanks to economies of scale, is able to deliver the same or higher quality monitoring for a fraction of the costs incurred in the in-house model."

MSSP providers amortize these costs across multiple clients and can offer specialists better career paths, which paradoxically makes them a cheaper and more stable choice for most organizations with fewer than 2000-3000 employees.

2. MSP is Not MSSP: Falling into the Conflict of Interest Trap

Many decision-makers confuse Managed Service Providers (MSP, focused on IT) with Security Providers (MSSP). This is a critical error.

The difference lies in the DNA:

MSP (NOC) aims for Uptime (operational continuity).
MSSP (SOC) aims for Security and Integrity (protection of assets).

When the same IT administrator (MSP) is responsible for configuring the system and monitoring it for security, a dangerous conflict of interest is created. The administrator might have configured the system insecurely for convenience (e.g., opening a port), and then may unconsciously ignore or try to hide their own mistake in the logs. An MSSP acts as an independent guardian (Segregation of Duties), actively looking for errors, even those committed by the internal IT team.

3. NIS2: Outsourcing Does Not Absolve the Board of Personal Responsibility

With the implementation of the NIS2 directive, choosing an MSSP becomes a legal decision. The most important change? New regulations introduce direct, personal responsibility of board members for failing to implement appropriate security measures.

What does this mean in practice? Outsourcing to an MSSP does not release you from responsibility—it merely changes its nature from executive to supervisory. You must still actively verify and audit the partner to whom you entrust protection.

You must audit your auditor! It is necessary to ensure that the provider themselves meets regulatory requirements (e.g., holds ISO 27001 and the crucial SOC 2 Type II, which is the gold standard proving that security procedures actually worked effectively over the last 12 months, rather than just being a one-time "snapshot").

4. 15 Minutes is a Myth: The 1-10-60 Rule Matters

Standard promises in Service Level Agreements (SLAs) regarding a "15-minute response time" are often worthless. They frequently only mean the time it takes for an automated system to confirm it has received an alert.

The true measure of an MSSP's value is not "Response Time," but Time to Meaningful Response and the ability to quickly eliminate the threat. This is where the industry benchmark comes in: The 1-10-60 Rule:

1 minute to detect the threat.
10 minutes to investigate and confirm its scale.
60 minutes to remediate (isolate the compromised system and remove the intruder).

When choosing an MSSP, reject offers focused on "vanity metrics" (such as the volume of logs processed). Demand guarantees based on MTTD/MTTR (Mean Time to Detect/Respond) and the capability to actively stop attacks (MDR model - Managed Detection and Response), which is an evolution from passive notification.

Looking for the Right Managed Security Provider?

If you're considering choosing an MSSP, implementing cybersecurity outsourcing, or auditing your existing provider – contact us. We'll help you select the optimal model (full outsourcing, co-managed, MDR) tailored to your budget, infrastructure, and NIS2 regulatory requirements.

What we offer

MSSP strategic consulting - needs analysis and recommendation of optimal model (in-house SOC vs outsourcing vs hybrid model)
RFP (Request for Proposal) preparation - assistance in creating effective tender for MSSP providers
Existing MSSP audit - verification of service quality, procedures, certifications (ISO 27001, SOC 2 Type II)
Proof of Concept (PoC) - organizing provider tests before selecting final partner
MSSP relationship management - optimization of SLA, reporting, and cooperation model
NIS2 compliance support - adapting security outsourcing to regulatory requirements

📧 Contact an MSSP expert →

FAQ - Frequently Asked Questions about MSSP

What's the difference between MSSP and MSP?

MSP (Managed Service Provider) is an IT managed services provider that handles operational infrastructure maintenance - servers, networks, workstations, helpdesk. MSP runs a NOC (Network Operations Center) whose main goal is uptime - system continuity. MSSP (Managed Security Service Provider) is a specialized security provider that runs a SOC (Security Operations Center) - a 24/7 security monitoring center whose goal is threat detection and neutralization. Key difference: MSP aims for "everything works," MSSP aims for "everything is secure." Conflict of interest: the same IT administrator who configured the system (possibly incorrectly, for convenience) should not monitor it for security - there's a risk of hiding their own mistakes. MSSP as an independent auditor (Segregation of Duties) eliminates this problem.

How much does a 24/7 in-house SOC really cost?

Building an internal SOC is not just the cost of one analyst position - it's a minimum of 5-6 analysts for one full-time equivalent in shift system (24/7/365 requires covering weekends, nights, vacations, sick leave, training). Annual cost breakdown example: Staff: 5-6 SOC Tier 1/2 analysts at PLN 120-180k = PLN 600-900k/year, 1-2 Tier 3 experts at PLN 200-250k = PLN 200-500k/year, 1 SOC Manager PLN 180-250k = PLN 180-250k/year. Infrastructure: SIEM/XDR licenses PLN 200-800k/year, Threat Intelligence feeds PLN 100-300k/year, training and certifications (SANS, GCIA) PLN 50-150k/year. TOTAL: PLN 1.3-2.9 million/year for a small/medium SOC. MSSP offers similar service quality for 20-40% of this cost (PLN 300-800k/year) thanks to economies of scale amortized across multiple clients. For companies <2000-3000 employees, an in-house SOC is economically irrational.

Does outsourcing to MSSP absolve me from NIS2 responsibility?

Absolutely NOT. The NIS2 directive (implemented in Poland through amendments to the KSC Act) introduces direct, personal responsibility of board members for negligence in cybersecurity. Outsourcing to MSSP does not remove this responsibility - it merely changes its nature from executive to supervisory. You remain responsible for: (1) Due diligence when selecting a provider (verification of certifications, references, compliance with Article 8 of the Act), (2) Contract execution oversight - regular audits, report reviews, incident response procedure tests, (3) Supplier risk management - MSSP itself must be audited (supply chain), (4) Effectiveness verification - PoC, penetration tests, tabletop exercises. You must audit your auditor! Failure to exercise oversight = personal board responsibility, even if MSSP failed.

How to verify if an MSSP is trustworthy?

Verify MSSP credibility through a combination of certifications, audits, and practical tests. Certifications (must-have): (1) SOC 2 Type II - this is the gold standard, proving that security procedures actually worked effectively for the last 12 months (not just existing on paper like SOC 2 Type I). Type II verifies effectiveness over time, not just design. (2) ISO 27001 - information security management, (3) ISO 9001 - process quality (optional). Due diligence: Check references from clients in your industry, conduct a visit to the provider's SOC (does it physically exist? What does it look like?), verify staff - what is the analyst turnover rate? What certifications do they have (GIAC, OSCP, GCIH)? Proof of Concept (PoC): Before signing a contract - run a 30-90 day test with real data, perform a simulated attack (Red Team) and verify if MSSP detected and responded according to the 1-10-60 rule. PoC is mandatory, not optional.

What is the co-managed SOC model?

Co-managed SOC (hybrid) is a model where security responsibility is shared between the client's internal team and an external MSSP. Typical division: MSSP (outsourcing) is responsible for: Tier 1 (24/7 monitoring, alert triage, First Response), technical platform (SIEM/XDR/SOAR - infrastructure, licenses, maintenance), Threat Intelligence (threat feeds, detection rule updates). Client (in-house) retains: Tier 2/3 (advanced analysis, Threat Hunting, strategic incidents), domain expertise (deep knowledge of business, applications, infrastructure), escalation decisions (when to disconnect production server? Whether to pay ransomware ransom?). Advantages: Lower cost than full in-house SOC (you only need 1-2 senior analysts instead of 5-6 juniors), maintaining control over strategic decisions, better environment knowledge than full outsourcing. For whom: Medium/large companies (500-5000 employees) that need flexibility and don't want to completely lose control.

What does the full outsourcing model (Full MSSP) look like?

Full outsourcing model (Full MSSP / MDR - Managed Detection and Response) means that MSSP takes complete operational responsibility for security - the client doesn't need their own SOC analysts. MSSP provides: 24/7/365 monitoring - all layers: endpoint (EDR/XDR), network (NDR), cloud (CSPM/CWPP), identity (UEBA), Platform as a Service - SIEM/XDR delivered and managed by MSSP (often SaaS model), Detection and Response - alert analysis, incident investigation, active response (endpoint isolation, IP blocking, malware removal), Reporting - periodic executive + compliance reports (NIS2, GDPR), Threat Intelligence - access to global threat feeds. Advantages: Lowest cost for small/medium companies (20-40% of in-house SOC cost), no recruitment and retention problems, immediate access to experts, scalability. Disadvantages: Less control, vendor dependency, potentially slower response to incidents requiring business context. For whom: Small/medium companies (<500 employees), companies without internal SOC competencies, NIS2 entities seeking quick compliance.

What is the 1-10-60 rule and why is it more important than "15-minute response"?

The 1-10-60 rule is an industry benchmark for SOC effectiveness (originating from Splunk .conf) that defines how quickly an organization should detect, investigate, and neutralize a threat: 1 minute - maximum time to detect the threat (detection), 10 minutes - maximum time to fully investigate and confirm the scale of the incident (investigation, triage), 60 minutes - maximum time for remediation - isolating the compromised system and completely removing the intruder (remediation). Why is this more important than a "15-minute response" SLA? Because standard SLAs often only mean the time it takes for an automated system to confirm receipt of an alert, not the time to MEANINGFUL response (meaningful human reaction). The true measure is MTTD (Mean Time to Detect) and MTTR (Mean Time to Respond). When choosing an MSSP, demand commitment to the 1-10-60 rule or similar SLA based on time-to-remediation, not time-to-acknowledge. Otherwise you might have "confirmation in 15 minutes," but intruder removal only after 48 hours.

What KPIs should I track in the MSSP relationship?

Measure MSSP effectiveness through specific, measurable operational and business KPIs, not vanity metrics (e.g., "number of processed logs"). Operational KPIs: (1) MTTD (Mean Time to Detect) - average threat detection time [goal: <10 min for critical alerts], (2) MTTR (Mean Time to Respond) - average response and remediation time [goal: <60 min according to 1-10-60 rule], (3) False Positive Rate - percentage of false alarms [goal: <15%, ideally <10%], (4) Dwell Time - average time an intruder spends in the network undetected [goal: <24h, ideally <4h], (5) Alert Closure Rate - percentage of incidents closed within specified time (e.g., 95% in <4h). Business KPIs: (6) NIS2-reportable incident - number of incidents requiring CSIRT reporting (did MSSP help meet the 24/72h deadline?), (7) SLA Compliance - % of agreed SLAs met, (8) Analyst Availability - availability of senior analyst (Tier 3) in case of critical incident. Report monthly and escalate to management quarterly. Demand a dashboard with live KPIs from MSSP.

Can I use MSSP and have my own IT team at the same time?

Yes, and this is the recommended model for most companies. MSSP handles security (SOC), your internal IT/MSP team handles operations (NOC) - no conflict. Division of responsibilities: Your IT/MSP team (NOC): Infrastructure management (servers, networks, workstations), system administration (Active Directory, Exchange, cloud), helpdesk and user support, updates and patching (coordination with MSSP), backup and disaster recovery. MSSP (SOC): Security monitoring 24/7 (logs, alerts, behavioral anomalies), threat detection and incident investigation, attack response (isolation, blocking, malware removal), incident reporting (NIS2 compliance), Threat Hunting and Vulnerability Management. Cooperation model: MSSP audits IT team's work (Segregation of Duties) - e.g., detects that an administrator opened a dangerous port or misconfigured a firewall. This eliminates conflict of interest and increases security. IT team and MSSP should regularly collaborate on remediation (e.g., MSSP detects, IT performs patching).

How long does MSSP implementation take?

MSSP implementation time depends on service model and environment complexity, but typical timelines are: MDR/full outsourcing model (small/medium company): 2-6 weeks. Phase 1 (weeks 1-2): Kick-off, environment discovery (asset, application, integration inventory), EDR/XDR agent installation on endpoints. Phase 2 (weeks 3-4): Integration configuration (SIEM, firewall, cloud logs), normal activity baseline (AI/ML model training), detection rule tuning to client environment. Phase 3 (weeks 5-6): PoC tests (Red Team simulated attacks), client team training (escalation procedures, cooperation), Go-Live - full 24/7 monitoring. Co-managed / hybrid model (medium/large company): 2-4 months. Additional complexity: integration with client's existing SOC/SIEM, Segregation of Duties definition (who is responsible for what?), process and playbook customization, internal Tier 2/3 team training. Critical factor: The more complex the environment (OT/ICS, multi-cloud, legacy systems), the longer the baseline and tuning takes (even 6+ months). Question for MSSP: "What is your typical Time to Value for a client of my size?"

What to do if MSSP fails?

If MSSP doesn't meet expectations, you must act quickly - every day of weak monitoring is a risk of an undetected attack. PHASE 1 - Diagnosis (weeks 1-2): Gather concrete evidence of irregularities (missed alerts, delayed response, missing reports), compare actual KPIs with agreed SLAs (MTTD, MTTR, FPR, availability), conduct a control test - e.g., simulated attack (did MSSP detect it?), organize an escalation meeting with the provider's Account Manager and SOC Manager. PHASE 2 - Remediation (weeks 3-4): Demand a Corrective Action Plan (CAP) from MSSP - specific corrective steps and timeline, consider temporarily transferring critical alerts to internal triage (if you have a team), intensify oversight - daily check-in, weekly KPI review, if no improvement → escalate to provider's C-level. PHASE 3 - Exit Strategy (months 2-3): In parallel, start RFP for alternative providers (don't wait for complete failure!), organize Proof of Concept with 2-3 new candidates, plan smooth migration (avoid monitoring gaps - new MSSP must enter before old one exits), terminate contract according to notice period (typically 30-90 days). Remember: MSSP contract should contain exit clauses - right to audit, KPI benchmarking, ability to terminate without penalty if SLAs are not met for 2-3 months.

Do small companies need MSSP?

Yes, small companies often need MSSP MORE than large ones, because: (1) They don't have their own SOC analysts - building an in-house SOC costs a minimum of PLN 1.3-2.9 million/year (totally irrational for companies <500 people), (2) They are equally attractive targets - ransomware attacks everyone, not just corporations (small business = easier target), (3) NIS2 requirements - many small/medium companies (50+ people, €10 million+ turnover) are subject to the directive and must have 24/7 monitoring, (4) Lack of competencies - typical IT administrator in a small company is not a cybersecurity analyst. Recommended model for small companies: MDR as a Service - full MSSP outsourcing offering 24/7 monitoring, EDR/XDR, detection and response, compliance reporting. Cost: $2,000-5,000/month (PLN 8-20k/m) depending on number of endpoints and complexity. This is 20-30% of the cost of hiring one analyst, and you get an entire 24/7 SOC team with access to Threat Intelligence and experts. Alternative: "Lite" MDR for micro companies (<50 people) - simplified protection (EDR + managed service) for $1-2k/m. Bottom line: For small companies, MSSP is not a luxury, it's a necessity - especially in the context of NIS2.

Conclusion: You Are Buying a Partnership, Not a License

In 2025, security is a battle of speed and competence that an internal team is often unable to deliver on a 24/7 basis. The right MSSP becomes a strategic extension of your company, transforming security from passive prevention to active defense.

Remember: the Request for Proposal (RFP) should address processes and people (turnover of L1/L2/L3 staff, quality of reports), not just the price of a license. Always demand verification during a Proof of Concept (PoC). Success depends on trust, but that trust must be backed by certificates and measurable indicators.

Aleksander

Sources: