Ja. België zette NIS2 vroeg om: de wet van 26 april 2024 (gepubliceerd in het Belgisch Staatsblad op 17 mei 2024) trad in werking op 18 oktober 2024. De verplichtingen rond risicobeheer, incidentmelding en registratie bij het CCB zijn dus al van kracht voor essentiële en belangrijke entiteiten.
Wat is CyFun en wie beheert het?
CyFun (CyberFundamentals) is het cyberbeveiligingskader van het Centrum voor Cybersecurity België (CCB). Het is gestructureerd volgens de zes functies van NIST CSF 2.0 en gebaseerd op ISO/IEC 27001:2022, IEC 62443 en de CIS Controls. Het koninklijk besluit van 9 juni 2024 erkent CyFun als kader om de conformiteit met de NIS2-maatregelen van de wet van 26 april 2024 aan te tonen.
Hoe weet ik of ik onder NIS2 val?
U valt onder NIS2 als essentiële entiteit (wet art. 9) of belangrijke entiteit (wet art. 10), op basis van uw sector (bijlage I of II) en uw omvang. De drempel ligt in de regel op 50 werknemers of meer dan 10 miljoen euro jaaromzet of balanstotaal. Sommige aanbieders, zoals DNS-aanbieders en gekwalificeerde vertrouwensdienstverleners, vallen eronder ongeacht hun omvang.
Welke CyFun-niveaus zijn er en welk niveau heb ik nodig?
Er zijn vier cumulatieve niveaus: Small, Basic, Important en Essential. Small is een instapdiagnose zonder NIS2-waarde. Het CCB raadt Basic aan als basislijn voor elke organisatie, Important voor verhoogde risico's en Essential voor essentiële entiteiten. Essentiële entiteiten moeten tegen 18 april 2027 het niveau Essential laten certificeren.
Wat zijn de wettelijke termijnen?
Voor essentiële entiteiten tellen twee data. Tegen 18 april 2026 dient u een CyFun-zelfevaluatie (Basic of Important) in bij het CCB. Tegen 18 april 2027 hebt u een certificering op niveau Essential door een erkende CAB, of een gelijkwaardige ISO 27001-certificering. De incidentmelding kent eigen termijnen: 24 uur, 72 uur en 1 maand.
Hoe en waar meld ik een incident?
Bij het CSIRT van het CCB (CERT.be), via het platform atwork.safeonweb.be, met aanmelding via CSAM of itsme. U doet een vroege waarschuwing binnen 24 uur, een melding binnen 72 uur en een eindverslag binnen 1 maand, telkens vanaf het moment dat u kennis krijgt van het belangrijke incident. Reglyze bereidt de inhoud voor, maar u dient zelf in.
Kan ik mijn ISO 27001-certificering gebruiken in plaats van CyFun?
Ja. Het koninklijk besluit van 9 juni 2024 erkent ISO/IEC 27001:2022 uitdrukkelijk als gelijkwaardig alternatief om de conformiteit aan te tonen. Bent u al ISO 27001-gecertificeerd door een erkende CAB, dan hoeft u niet over te stappen op CyFun. Dat is een Belgische bijzonderheid die u toelaat bestaande maatregelen te hergebruiken.
Is Reglyze een Belgisch bedrijf en waar staan mijn gegevens?
Reglyze is een Europees SaaS-platform met transparante prijzen in euro. Uw gegevens worden gehost binnen de Europese Unie (Hetzner, Duitsland), conform de AVG. Reglyze dient nooit in uw plaats in bij het CCB en verstuurt nooit zelf een incidentmelding: u behoudt de controle. Het platform vervangt geen juridisch advies, maar versnelt het werk naar uw CyFun-niveau met AI.