NIS2 België: CyFun

NIS2-conform in België, via CyFun

In België zet de wet van 26 april 2024 de NIS2-richtlijn om. Het Centrum voor Cybersecurity België (CCB) biedt CyFun aan, het CyberFundamentals-kader, om aan te tonen dat u voldoet aan de beveiligingsmaatregelen. Reglyze gebruikt AI om u snel en zonder gokwerk naar uw CyFun-niveau te brengen: een beoordeling van uw hiaten, de bijbehorende beleidsregels en het bewijs dat klaar is voor de certificering.

De verplichtingen zijn al van kracht

De wet trad in werking op 18 oktober 2024. Essentiële en belangrijke entiteiten registreren zich bij het CCB op atwork.safeonweb.be. Een CyFun-zelfevaluatie (Basic of Important) wordt verwacht tegen 18 april 2026, een certificering op niveau Essential tegen 18 april 2027.

Wat NIS2 en CyFun betekenen voor een Belgische organisatie

Valt u onder NIS2, dan bent u een essentiële entiteit (wet art. 9) of een belangrijke entiteit (wet art. 10), afhankelijk van uw sector en omvang. U moet passende beveiligingsmaatregelen nemen, belangrijke incidenten melden bij het CCB en uzelf registreren. CyFun is het praktische kader dat het CCB aanbiedt om die maatregelen te structureren en aan te tonen: het vertaalt de wettelijke verplichtingen naar concrete vereisten, geordend per functie en per zekerheidsniveau. Bent u al ISO/IEC 27001:2022-gecertificeerd door een erkende CAB, dan erkent het koninklijk besluit van 9 juni 2024 dat als een gelijkwaardig alternatief.

De 6 CyFun-functies in één oogopslag

CyFun 2025 volgt de zes functies van het NIST Cybersecurity Framework 2.0. Samen vormen ze 22 categorieën en 218 vereisten.

Besturen
GV
Strategie, beleid, rollen en verantwoordelijkheden voor cyberbeveiliging, inclusief het risicobeheer in de toeleveringsketen. Toegevoegd in CyFun 2025.
Identificeren
ID
Inzicht in de activa, gegevens, systemen en risico's van de organisatie als basis voor onderbouwde beslissingen.
Beschermen
PR
Technische en organisatorische maatregelen die de kans op een incident verkleinen of de impact ervan beperken.
Detecteren
DE
Het tijdig opmerken van cyberbeveiligingsgebeurtenissen via monitoring en analyse van afwijkingen.
Reageren
RS
De acties bij een incident: indammen, analyseren, communiceren en de gevolgen beperken.
Herstellen
RC
Het herstel van diensten en het leren uit het incident om de weerbaarheid te verhogen.

Alle 22 categorieën en 218 vereisten bekijken

De 4 zekerheidsniveaus in één oogopslag

De niveaus zijn cumulatief: elk niveau bouwt voort op het vorige. Het CCB raadt Basic aan als geloofwaardige basislijn.

Small
Instapdiagnose voor zeer kleine organisaties. Een eerste blik op de basishygiëne, zonder waarde voor de NIS2-verplichtingen.
Basic
De door het CCB aanbevolen basislijn voor elke Belgische organisatie. Geschikt voor belangrijke entiteiten met een gematigd risicoprofiel.
Important
Een verhoogd niveau voor entiteiten met een hoger risicoprofiel. Te certificeren door een erkende CAB.
Essential
Het wettelijk verplichte doel voor essentiële entiteiten. Te certificeren door een erkende CAB tegen 18 april 2027.

De niveaus en de termijnen vergelijken

Het CCB en CERT.be

Het Centrum voor Cybersecurity België (CCB) is de nationale autoriteit voor NIS2. Het geeft CyFun uit, houdt toezicht op de essentiële en belangrijke entiteiten en beheert het platform atwork.safeonweb.be voor registratie en melding. Het CSIRT van het CCB, CERT.be, ontvangt de incidentmeldingen en bezorgt u een eerste reactie en, op verzoek, operationele ondersteuning. Reglyze dient nooit in uw plaats in en verstuurt nooit zelf een melding: u behoudt de controle en geeft de informatie door in het portaal van het CCB.

Veelgestelde vragen

Geldt NIS2 al in België?
Ja. België was een van de eerste lidstaten die NIS2 omzette: de wet van 26 april 2024 trad in werking op 18 oktober 2024. De verplichtingen rond risicobeheer, incidentmelding en registratie bij het CCB zijn dus al van kracht voor essentiële en belangrijke entiteiten.
Wat is CyFun en wat is het verband met NIS2?
CyFun (CyberFundamentals) is het cyberbeveiligingskader van het Centrum voor Cybersecurity België (CCB). Het is gestructureerd volgens de zes functies van NIST CSF 2.0 en gebaseerd op ISO/IEC 27001:2022, IEC 62443 en de CIS Controls. Het koninklijk besluit van 9 juni 2024 erkent CyFun als kader om de conformiteit met de NIS2-maatregelen van de wet van 26 april 2024 aan te tonen.
Welke zekerheidsniveaus zijn er?
Er zijn vier cumulatieve niveaus: Small, Basic, Important en Essential. Het CCB raadt Basic aan als basislijn voor elke organisatie. Essentiële entiteiten moeten tegen 18 april 2027 het niveau Essential laten certificeren.
Waar meld ik een incident?
Bij het CSIRT van het CCB (CERT.be), via het platform atwork.safeonweb.be, met aanmelding via CSAM of itsme. De termijnen zijn een vroege waarschuwing binnen 24 uur, een melding binnen 72 uur en een eindverslag binnen 1 maand.

Alle veelgestelde vragen

Begin vandaag aan uw CyFun-traject

Reglyze beoordeelt uw hiaten tegenover de CyFun-functies, stelt met AI de bijbehorende beleidsregels op en documenteert het bewijs, zodat u klaar bent voor de CAB-certificering. Transparante prijzen in euro, hosting in de EU.

Reglyze is een SaaS-platform voor NIS2-conformiteit en vervangt geen juridisch advies. CyFun is een kader van het CCB. Officiële bron: ccb.belgium.be (CCB).