NIS2 België: CyFun-maatregelen

De CyFun-maatregelen: 6 functies, 22 categorieën, 218 vereisten

CyFun, het CyberFundamentals-kader van het CCB, vertaalt de NIS2-beveiligingsmaatregelen naar een heldere boomstructuur. Op deze pagina ziet u de volledige opbouw: de zes functies van NIST CSF 2.0, de 22 categorieën die ze opdelen en de 218 vereisten die de concrete maatregelen beschrijven.

Geënt op kaders die u misschien al gebruikt

CyFun is gebaseerd op NIST CSF 2.0 voor de structuur en op ISO/IEC 27001:2022, IEC 62443 en de CIS Controls voor de inhoud. Veel maatregelen die u al hebt, tellen dus mee.

De boomstructuur van CyFun

Drie niveaus van detail: van de zes functies, via 22 categorieën, tot 218 controleerbare vereisten. Hieronder de zes functies met al hun categorieën.

Besturen
GV
6 categorieën

Strategie, beleid, rollen en risicobeheer, inclusief de toeleveringsketen. Toegevoegd in CyFun 2025, in lijn met NIST CSF 2.0.

  • GV.OC
    Organisatorische context
  • GV.RM
    Risicobeheerstrategie
  • GV.RR
    Rollen, verantwoordelijkheden en bevoegdheden
  • GV.PO
    Beleid
  • GV.OV
    Toezicht
  • GV.SC
    Risicobeheer voor cyberbeveiliging in de toeleveringsketen
Identificeren
ID
3 categorieën

Inzicht in activa, risico's en verbeterpunten als basis voor onderbouwde beslissingen.

  • ID.AM
    Beheer van bedrijfsmiddelen
  • ID.RA
    Risicobeoordeling
  • ID.IM
    Verbetering
Beschermen
PR
5 categorieën

De technische en organisatorische maatregelen die de kans op of de impact van een incident verkleinen.

  • PR.AA
    Identiteitsbeheer, authenticatie en toegangscontrole
  • PR.AT
    Bewustwording en opleiding
  • PR.DS
    Gegevensbeveiliging
  • PR.PS
    Platformbeveiliging
  • PR.IR
    Veerkracht van de technologische infrastructuur
Detecteren
DE
2 categorieën

Het tijdig opmerken en analyseren van afwijkingen en cyberbeveiligingsgebeurtenissen.

  • DE.CM
    Continue monitoring
  • DE.AE
    Analyse van ongewenste gebeurtenissen
Reageren
RS
4 categorieën

Het beheer, de analyse, de communicatie en de beperking van een incident.

  • RS.MA
    Incidentbeheer
  • RS.AN
    Incidentanalyse
  • RS.CO
    Incidentresponsrapportage en -communicatie
  • RS.MI
    Incidentbeperking
Herstellen
RC
2 categorieën

De uitvoering van het herstelplan en de communicatie tijdens het herstel.

  • RC.RP
    Uitvoering van het incidentherstelplan
  • RC.CO
    Communicatie over incidentherstel

Functie- en categorienamen volgens de officiële CyFun-documentatie van het CCB. In totaal 22 categorieën en 218 vereisten, plus de sleutelmaatregelen die het CCB als prioritair aanduidt.

Van vereiste naar bewijs

Een lijst van 218 vereisten is geen actieplan. De kunst is om per vereiste te weten waar u staat, wat er ontbreekt en welk bewijs een auditor zal vragen. Reglyze beoordeelt uw hiaten per functie en per categorie, stelt met AI de bijbehorende beleidsregels en documenten op en houdt het auditspoor bij. Zo gaat u van een onoverzichtelijke lijst naar een dossier dat klaar is voor de CAB-certificering.

Veelgestelde vragen

Hoe is CyFun opgebouwd?
CyFun kent drie niveaus van detail. Bovenaan staan de zes functies (Besturen, Identificeren, Beschermen, Detecteren, Reageren, Herstellen). Daaronder vallen 22 categorieën die elke functie verder opdelen, en daaronder 218 vereisten die de concrete, controleerbare maatregelen beschrijven. Het is dezelfde boomstructuur als het NIST Cybersecurity Framework 2.0.
Waar komt CyFun vandaan?
CyFun is het werk van het Centrum voor Cybersecurity België (CCB). Het integreert verschillende erkende referentiekaders: NIST CSF 2.0 voor de structuur, en ISO/IEC 27001:2022, IEC 62443 en de CIS Controls voor de inhoud van de maatregelen. Daardoor sluit het aan op kaders die organisaties vaak al gebruiken.
Gelden alle 218 vereisten voor mijn organisatie?
Nee. Het aantal toepasselijke vereisten hangt af van uw zekerheidsniveau. Op het niveau Basic geldt een kleinere selectie dan op Important of Essential. De niveaus zijn cumulatief: een hoger niveau voegt vereisten toe en verdiept de bestaande. Op de pagina over de zekerheidsniveaus leest u welk niveau voor u geldt.
Wat is de rol van de functie Besturen in CyFun?
De functie Besturen (GV) kwam erbij in CyFun 2025, parallel met NIST CSF 2.0. Ze plaatst cyberbeveiliging op het niveau van de directie: strategie, beleid, rollen en het risicobeheer in de toeleveringsketen (categorie GV.SC). Dat sluit aan op de NIS2-eis dat de leiding verantwoordelijk is voor het risicobeheer en de maatregelen goedkeurt.

De 218 vereisten beheersbaar maken

Reglyze brengt de CyFun-functies tot leven: een beoordeling van uw hiaten, de juiste beleidsregels en het bewijs per vereiste. Transparante prijzen in euro, hosting in de EU.

Reglyze is een SaaS-platform voor NIS2-conformiteit en vervangt geen juridisch advies. CyFun is een kader van het CCB. Officiële bron: CCB, Safeonweb@work.