NIS2 België: CyFun-niveaus

De CyFun-zekerheidsniveaus en de termijnen

CyFun kent vier cumulatieve zekerheidsniveaus: Small, Basic, Important en Essential. Het niveau dat u nodig heeft, hangt af van uw risicoprofiel en van uw categorie onder de wet van 26 april 2024. Op deze pagina ziet u wie welk niveau nodig heeft en tegen wanneer.

Het CCB raadt Basic aan als basislijn

Voor elke Belgische organisatie is Basic de aanbevolen basislijn. Essentiële entiteiten werken toe naar Essential, met een verplichte certificering tegen 18 april 2027.

De 4 niveaus, van diagnose tot certificering

De niveaus bouwen op elkaar voort. Hieronder, voor elk niveau, voor wie het bedoeld is, hoe u het aantoont en wat het betekent voor NIS2.

Small
Instapdiagnose

Voor wie: Zeer kleine organisaties die een eerste beeld willen van hun basishygiëne op het gebied van cyberbeveiliging.

Attestatie: Een lichte zelfevaluatie, bedoeld als startpunt. Geen certificering door een erkende CAB.

Voor NIS2: Geen waarde voor de NIS2-verplichtingen: Small is een diagnose, geen conformiteitsniveau.

Basic
De aanbevolen basislijn

Voor wie: Kmo's en belangrijke entiteiten met een gematigd risicoprofiel. Ook de overgangsfase voor essentiële entiteiten (zelfevaluatie).

Attestatie: Zelfevaluatie of een Basic-label van een erkende CAB. Het CCB raadt Basic aan als geloofwaardige basislijn voor elke Belgische organisatie.

Voor NIS2: Telt mee voor NIS2 als basislijn en als overgangsoplossing voor essentiële entiteiten tot de certificering op niveau Essential.

Important
Verhoogd niveau

Voor wie: Belangrijke entiteiten met een verhoogd risicoprofiel en essentiële entiteiten met een lagere kriticiteit, in de overgangsfase.

Attestatie: Certificering door een erkende CAB (BELAC-geaccrediteerd en gemachtigd door het CCB).

Voor NIS2: Dekt de NIS2-beveiligingsmaatregelen en geeft een vermoeden van conformiteit voor wie vrijwillig certificeert.

Essential
Het wettelijke doel voor essentiële entiteiten

Voor wie: Essentiële entiteiten (wet art. 9): operatoren van kritieke infrastructuur in energie, water, gezondheid, financiën, vervoer en digitale infrastructuur.

Attestatie: Verplichte certificering door een erkende CAB. Diepere controles: monitoring (SOC), EDR/XDR/SIEM, red teaming, een jaarlijkse onafhankelijke audit en bestuur op directieniveau.

Voor NIS2: Het wettelijk verplichte doel voor essentiële entiteiten, te bereiken tegen 18 april 2027.

De wettelijke termijnen

18 oktober 2024
Inwerkingtreding
De wet van 26 april 2024 en het koninklijk besluit van 9 juni 2024 treden in werking. De NIS2-verplichtingen worden van kracht voor essentiële en belangrijke entiteiten.
18 april 2026
Zelfevaluatie Basic of Important
Uiterste datum voor essentiële entiteiten om een CyFun-zelfevaluatie op niveau Basic of Important in te dienen bij het CCB via atwork.safeonweb.be.
18 april 2027
Certificering Essential
Verplichte certificering op niveau Essential door een erkende CAB voor essentiële entiteiten. Een gelijkwaardige ISO/IEC 27001:2022-certificering wordt aanvaard.

Data uit de kalender van het CCB. Belangrijke entiteiten kunnen vrijwillig certificeren om te genieten van het vermoeden van conformiteit.

Veelgestelde vragen

Hoeveel CyFun-niveaus zijn er en hoe verhouden ze zich?
Er zijn vier niveaus: Small, Basic, Important en Essential. Ze zijn cumulatief: elk hoger niveau bevat de vereisten van het vorige en voegt er nieuwe aan toe. Small is een instapdiagnose zonder waarde voor NIS2. Voor de NIS2-verplichtingen tellen Basic, Important en Essential.
Welk niveau heeft mijn organisatie nodig?
Het CCB raadt Basic aan als basislijn voor elke organisatie. Belangrijke entiteiten met een verhoogd risico mikken op Important. Essentiële entiteiten moeten het niveau Essential bereiken: dat is hun wettelijke doel, met certificering tegen 18 april 2027. Welke categorie u bent, hangt af van uw sector en omvang onder de wet van 26 april 2024.
Wat zijn de precieze termijnen?
Twee data tellen voor essentiële entiteiten. Tegen 18 april 2026 dient u een CyFun-zelfevaluatie (Basic of Important) in bij het CCB. Tegen 18 april 2027 hebt u een certificering op niveau Essential door een erkende CAB, of een gelijkwaardige ISO/IEC 27001:2022-certificering. Belangrijke entiteiten kunnen vrijwillig certificeren en genieten dan van het vermoeden van conformiteit.
Kan ISO 27001 mijn CyFun-certificering vervangen?
Ja. Het koninklijk besluit van 9 juni 2024 erkent ISO/IEC 27001:2022 uitdrukkelijk als gelijkwaardig alternatief. Bent u al ISO 27001-gecertificeerd door een erkende CAB, dan hoeft u niet over te stappen op CyFun om uw conformiteit aan te tonen. Dat is een Belgische bijzonderheid.

Op tijd op het juiste niveau

Reglyze bepaalt uw waarschijnlijke categorie, stemt uw maatregelen af op het juiste CyFun-niveau en bereidt uw dossier voor de zelfevaluatie of de CAB-certificering voor. Transparante prijzen in euro, hosting in de EU.

Reglyze is een SaaS-platform voor NIS2-conformiteit en vervangt geen juridisch advies. CyFun is een kader van het CCB. Officiële bron: CCB, Safeonweb@work.