CyFun is het kader van het Centrum voor Cybersecurity België (CCB) om aan te tonen dat u voldoet aan de NIS2-maatregelen van art. 30 van de wet van 26 april 2024. Het is opgebouwd rond zes functies en drie zekerheidsniveaus, evenredig met uw risicoprofiel, omvang en sector.
ISO 27001 telt ook mee
Het KB van 9 juni 2024 erkent zowel CyFun als ISO/IEC 27001:2022 als geldig kader voor NIS2-conformiteit. Bent u al ISO 27001-gecertificeerd door een erkende CAB, dan hoeft u niet over te stappen op CyFun.
CyFun 2025 volgt de zes functies van het NIST Cybersecurity Framework 2.0. De functie Besturen, in de officiële CCB-zelfevaluatietool Beheren genoemd, kwam erbij in de editie 2025.
De niveaus zijn cumulatief: elk niveau bouwt voort op het vorige. Naast deze drie bestaat er een instapniveau Small, een diagnose zonder waarde voor NIS2.
Voor wie: Kmo's en belangrijke entiteiten met een gematigd risicoprofiel. Ook de overgangsfase voor essentiële entiteiten (zelfevaluatie).
Attestatie: Zelfevaluatie of een Basic-label van een erkende CAB. Het CCB raadt Basic aan als geloofwaardige basislijn voor elke Belgische organisatie.
Voor wie: Belangrijke entiteiten met een verhoogd risicoprofiel en essentiële entiteiten met een lagere kriticiteit (tot 18 april 2027).
Attestatie: Certificering door een erkende CAB (BELAC + machtiging CCB). Dekt de tien NIS2-maatregelen van art. 21(2)(a-j).
Voor wie: Essentiële entiteiten (wet art. 9): de wettelijk verplichte doelstelling. Operatoren van kritieke infrastructuur (energie, water, gezondheid, financiën, transport, digitale infrastructuur).
Attestatie: Verplichte certificering door een erkende CAB tegen 18 april 2027. Diepere controles: SOC, EDR/XDR/SIEM, red teaming, jaarlijkse onafhankelijke audit, bestuur op directieniveau.
Tellingen op hoofdniveau uit de officiële CyFun-booklets van het CCB. Met de subcontroles erbij ligt het aantal maatregelen hoger.
Het CCB beveelt CyFun aan, maar het KB van 9 juni 2024 erkent ISO/IEC 27001:2022 als gelijkwaardig alternatief: een organisatie die al een gecertificeerd ISMS heeft, kan een groot deel van haar maatregelen hergebruiken. Twee deadlines tellen voor essentiële entiteiten: een CyFun-zelfevaluatie (Basic of Important) tegen 18 april 2026, en een verplichte CAB-certificering op niveau Essential (of een gelijkwaardige ISO 27001-certificering) tegen 18 april 2027. Belangrijke entiteiten kunnen vrijwillig certificeren en genieten dan van het vermoeden van conformiteit.
Reglyze beoordeelt uw hiaten tegenover de CyFun-functies, stelt de bijbehorende beleidsregels op met AI en documenteert het bewijs, zodat u klaar bent voor de CAB-certificering. Transparante prijzen in euro, hosting in de EU.
Reglyze is een SaaS-platform voor NIS2-conformiteit en vervangt geen juridisch advies. CyFun is een kader van het CCB. Officiële bron: CCB, Safeonweb@work.