NIS2 België: CyFun

CyberFundamentals (CyFun): uw weg naar NIS2-conformiteit

CyFun is het kader van het Centrum voor Cybersecurity België (CCB) om aan te tonen dat u voldoet aan de NIS2-maatregelen van art. 30 van de wet van 26 april 2024. Het is opgebouwd rond zes functies en drie zekerheidsniveaus, evenredig met uw risicoprofiel, omvang en sector.

ISO 27001 telt ook mee

Het KB van 9 juni 2024 erkent zowel CyFun als ISO/IEC 27001:2022 als geldig kader voor NIS2-conformiteit. Bent u al ISO 27001-gecertificeerd door een erkende CAB, dan hoeft u niet over te stappen op CyFun.

De 6 CyFun-functies (NIST CSF 2.0)

CyFun 2025 volgt de zes functies van het NIST Cybersecurity Framework 2.0. De functie Besturen, in de officiële CCB-zelfevaluatietool Beheren genoemd, kwam erbij in de editie 2025.

Besturen
GV
Strategie, beleid, rollen en verantwoordelijkheden voor cyberbeveiliging. Cyberbeveiliging wordt als een strategische prioriteit behandeld, niet als een louter technische kwestie. Deze functie kwam erbij in CyFun 2025 (afstemming op NIST CSF 2.0).
Identificeren
ID
Inzicht in de activa, gegevens, mensen, systemen en risico's van de organisatie, als basis voor onderbouwde beslissingen over cyberbeveiligingsrisico's.
Beschermen
PR
Technische en organisatorische maatregelen om de kans op een cyberincident te verkleinen of de impact ervan te beperken: toegangsbeheer, gegevensbeveiliging, opleiding, configuratiebeheer.
Detecteren
DE
Het vermogen om cyberbeveiligingsgebeurtenissen tijdig op te merken, via monitoring en analyse van afwijkingen.
Reageren
RS
De acties die u onderneemt wanneer zich een cyberincident voordoet: indammen, communiceren en de gevolgen beperken.
Herstellen
RC
Het herstel van diensten en het leren uit het incident, om de weerbaarheid voor de toekomst te verbeteren.

De 3 zekerheidsniveaus voor NIS2

De niveaus zijn cumulatief: elk niveau bouwt voort op het vorige. Naast deze drie bestaat er een instapniveau Small, een diagnose zonder waarde voor NIS2.

Basic
34 maatregelen op hoofdniveau

Voor wie: Kmo's en belangrijke entiteiten met een gematigd risicoprofiel. Ook de overgangsfase voor essentiële entiteiten (zelfevaluatie).

Attestatie: Zelfevaluatie of een Basic-label van een erkende CAB. Het CCB raadt Basic aan als geloofwaardige basislijn voor elke Belgische organisatie.

Important
117 maatregelen op hoofdniveau

Voor wie: Belangrijke entiteiten met een verhoogd risicoprofiel en essentiële entiteiten met een lagere kriticiteit (tot 18 april 2027).

Attestatie: Certificering door een erkende CAB (BELAC + machtiging CCB). Dekt de tien NIS2-maatregelen van art. 21(2)(a-j).

Essential
140 maatregelen op hoofdniveau

Voor wie: Essentiële entiteiten (wet art. 9): de wettelijk verplichte doelstelling. Operatoren van kritieke infrastructuur (energie, water, gezondheid, financiën, transport, digitale infrastructuur).

Attestatie: Verplichte certificering door een erkende CAB tegen 18 april 2027. Diepere controles: SOC, EDR/XDR/SIEM, red teaming, jaarlijkse onafhankelijke audit, bestuur op directieniveau.

Tellingen op hoofdniveau uit de officiële CyFun-booklets van het CCB. Met de subcontroles erbij ligt het aantal maatregelen hoger.

CyFun, ISO 27001 en de kalender

Het CCB beveelt CyFun aan, maar het KB van 9 juni 2024 erkent ISO/IEC 27001:2022 als gelijkwaardig alternatief: een organisatie die al een gecertificeerd ISMS heeft, kan een groot deel van haar maatregelen hergebruiken. Twee deadlines tellen voor essentiële entiteiten: een CyFun-zelfevaluatie (Basic of Important) tegen 18 april 2026, en een verplichte CAB-certificering op niveau Essential (of een gelijkwaardige ISO 27001-certificering) tegen 18 april 2027. Belangrijke entiteiten kunnen vrijwillig certificeren en genieten dan van het vermoeden van conformiteit.

Veelgestelde vragen

Wat is CyFun (CyberFundamentals) en wie beheert het?
CyFun (CyberFundamentals) is het cyberbeveiligingskader van het Centrum voor Cybersecurity België (CCB). Het is gestructureerd volgens de zes functies van NIST CSF 2.0 (Besturen, Identificeren, Beschermen, Detecteren, Reageren, Herstellen) en in zekerheidsniveaus. Het KB van 9 juni 2024 erkent CyFun als kader om de conformiteit met de maatregelen van art. 30 van de wet van 26 april 2024 (de Belgische omzetting van NIS2) aan te tonen.
Welke CyFun-niveaus bestaan er en welk niveau heb ik nodig?
Er zijn vier zekerheidsniveaus: Small (een instapdiagnose zonder NIS2-waarde), Basic, Important en Essential. Voor NIS2 tellen Basic, Important en Essential. Het CCB raadt Basic aan als basislijn voor elke organisatie, Important voor verhoogde risico's en Essential voor essentiële entiteiten. Essentiële entiteiten moeten tegen 18 april 2027 het niveau Essential laten certificeren.
Kan ik mijn ISO 27001-certificering gebruiken in plaats van CyFun?
Ja. Het KB van 9 juni 2024 erkent ISO/IEC 27001:2022 uitdrukkelijk als gelijkwaardig alternatief voor CyFun om de conformiteit met art. 30 aan te tonen. Een Belgische organisatie die door een erkende CAB (BELAC-geaccrediteerd) ISO 27001-gecertificeerd is, hoeft niet over te stappen op CyFun. Dat is een Belgische bijzonderheid: in Frankrijk en Italië moet de nationale autoriteit de gelijkwaardigheid per geval beoordelen.
Wat zijn de CyFun-deadlines voor essentiële entiteiten?
Twee data uit de kalender van het CCB. Tegen 18 april 2026 moesten essentiële entiteiten een CyFun-zelfevaluatie (niveau Basic of Important) indienen bij het CCB via Safeonweb@work. Tegen 18 april 2027 is een CAB-certificering op niveau Essential (of een gelijkwaardige ISO 27001-certificering) verplicht. Belangrijke entiteiten kunnen vrijwillig certificeren om te genieten van het vermoeden van conformiteit.

Uw CyFun-niveau bereiken, zonder gokwerk

Reglyze beoordeelt uw hiaten tegenover de CyFun-functies, stelt de bijbehorende beleidsregels op met AI en documenteert het bewijs, zodat u klaar bent voor de CAB-certificering. Transparante prijzen in euro, hosting in de EU.

Reglyze is een SaaS-platform voor NIS2-conformiteit en vervangt geen juridisch advies. CyFun is een kader van het CCB. Officiële bron: CCB, Safeonweb@work.