CyberFundamentals (CyFun): het Belgische framework uitgelegd
CyberFundamentals is het Belgische cybersecurity-framework van het CCB. Vier niveaus, gratis tools en de route naar NIS2-compliance voor KMO’s.
CyberFundamentals is het Belgische cybersecurity-framework. Ontwikkeld door het CCB (Centre for Cybersecurity Belgium), specifiek voor de Belgische economie met haar duizenden KMO's. Het framework vertaalt de NIS2-verplichtingen naar concrete, toetsbare maatregelen. Geen vaag managementsysteem, maar een checklist die je kunt afwerken.
Ongeveer 75% van de geregistreerde NIS2-entiteiten in België kiest CyFun boven ISO 27001. Begrijpelijk: het is specifieker, praktischer en je kunt het zelf starten met gratis tools van het CCB.
- CyberFundamentals (CyFun) is het Belgische cybersecurity-framework van het CCB, met vier niveaus: Small, Basic, Important en Essential
- CyFun Basic dekt 82% van veelvoorkomende cyberaanvallen af met 34 concrete controls
- De CyFun 2025-versie is afgestemd op NIST CSF 2.0 en bevat 6 domeinen, 22 categorieën en 106 subcategorieën
- Het CCB biedt gratis tools aan: een self-assessment in Excel en een selection tool om je vereiste niveau te bepalen
Vier niveaus: van starter tot kritieke infrastructuur
CyFun werkt met vier assurance-niveaus. Elk niveau bouwt voort op het vorige. Je begint onderaan en werkt omhoog tot het niveau dat past bij je organisatie en je NIS2-classificatie.
| Niveau | Voor wie | Aantal controls | Bescherming |
|---|---|---|---|
| Small | Micro-organisaties zonder eigen IT | 7 aanbevelingen | Basishygiëne |
| Basic | KMO's, instapniveau voor NIS2 | 34 controls | 82% van aanvallen |
| Important | Belangrijke entiteiten onder NIS2 | 133 controls (34 + 99) | 94% van aanvallen |
| Essential | Essentiële entiteiten onder NIS2 | 218 controls (133 + 85) | 100% van bekende aanvalstypen |
Small: de startersgids
Zeven niet-technische aanbevelingen. Denk aan: bewustzijn creëren, wachtwoorden verbeteren, updates instellen. Geen auditeerbaar niveau, maar een opstap. Geschikt voor zelfstandigen en micro-ondernemingen die hun basisbeveiliging willen verbeteren zonder technische kennis. Het CCB biedt hiervoor een aparte gids aan.
Basic: de basis op orde
34 concrete controls verdeeld over zes domeinen. Dit is het instapniveau voor NIS2-compliance en het niveau waar de meeste KMO's naartoe werken. Het dekt 82% van de veelvoorkomende cyberaanvallen af. Voorbeelden van Basic-controls: MFA voor admin-accounts, regelmatige backups met test-restores, een gedocumenteerd incidentresponsplan en een inventaris van je IT-assets.
Important en Essential
Important voegt 99 controls toe. Essential nog eens 85. Deze niveaus zijn bedoeld voor grotere organisaties met complexere IT-omgevingen. Important richt zich op bescherming tegen gerichte aanvallen. Essential op geavanceerde, persistente dreigingen.
De meeste KMO's hoeven niet verder dan Basic. Maar als je als belangrijke entiteit onder NIS2 valt, is Important het minimum. Essentiële entiteiten moeten naar Essential.
Zes domeinen: wat CyFun meet
De CyFun 2025-versie is volledig afgestemd op het NIST Cybersecurity Framework 2.0. Het framework is opgebouwd rond zes domeinen (functies). Nieuw ten opzichte van eerdere versies is het domein "Govern", dat beleid en bestuurlijke verantwoordelijkheid afdekt.
- Govern: beleid, rollen, risicobeheer en bestuurlijke verantwoordelijkheid. Nieuw sinds CyFun 2025
- Identify: inventarisatie van assets, risico's en kwetsbaarheden. Wat heb je en wat moet je beschermen?
- Protect: toegangsbeheer, training, databeveiliging, configuratiebeheer. De preventieve maatregelen
- Detect: monitoring, logging, detectie van verdachte activiteit. Weten wanneer er iets misgaat
- Respond: incidentrespons, communicatie, mitigatie. Wat doe je als het misgaat?
- Recover: herstel, lessen trekken, verbeterplannen. Hoe ga je weer normaal draaien?
Het framework telt in totaal 22 categorieën en 106 subcategorieën. Dat klinkt als veel, maar per assurance-niveau is het overzichtelijk. Bij Basic werk je met 34 specifieke controls. De self-assessment tool filtert automatisch op je niveau.
De toevoeging van Govern sluit aan bij de NIS2-eis dat zaakvoerders persoonlijk verantwoordelijk zijn voor cybersecurity. Het domein vraagt onder meer om een gedocumenteerd beleid, goedgekeurd door het bestuur. Lees meer in onze gids over cybersecurity-beleid.
CyFun in de praktijk: van self-assessment naar certificering
Het CCB heeft het proces bewust laagdrempelig gehouden. Je start gratis en werkt stap voor stap naar formele verificatie.
Stap 1: bepaal je niveau
Gebruik het CyFun Selection Tool op atwork.safeonweb.be. Je beantwoordt vragen over je sector, grootte en NIS2-classificatie. Het tool vertelt je welk assurance-niveau je moet halen.
Stap 2: doe de self-assessment
Download de gratis CyFun Self-Assessment Tool (een Excel-bestand) via de CyFun toolbox op cyfun.be. Het bestand bevat alle controls voor je niveau. Per control geef je aan of je die hebt geïmplementeerd, deels hebt geïmplementeerd of nog moet beginnen.
Het resultaat: een spiderdiagram per domein dat laat zien waar je staat en waar de gaten zitten. Handig voor rapportage aan je bestuur of zaakvoerder.
Stap 3: implementeer de ontbrekende controls
Dit is het echte werk. Afhankelijk van je startpositie duurt dit weken tot maanden. Prioriteer op basis van risico: welke ontbrekende controls dekken de grootste gaten af?
Veel KMO's beginnen met de "quick wins" uit het Protect-domein: MFA inschakelen, backups testen, patchbeleid instellen. Vervolgens het Govern-domein: beleid documenteren en rollen toewijzen.
Stap 4: laat je verifiëren (NIS2-entiteiten)
Als je onder NIS2 valt, moet je je conformiteit laten beoordelen door een BELAC-geaccrediteerde instantie. Brand Compliance was in september 2025 de eerste geaccrediteerde partij. DNV en Bureau Veritas bieden ook CyFun-verificaties aan.
De verificatie beoordeelt je self-assessment op correctheid. Het is geen volledige audit van al je systemen, maar een controle of je self-declaration klopt. Na goedkeuring ontvang je een verificatieverklaring die je indient bij het CCB via Safeonweb@Work.
Essentiële entiteiten moeten voor 18 april 2026 hun CyFun Basic/Important self-assessment of ISO 27001-informatie indienen bij het CCB. Voor 18 april 2027 moet volledige certificering op het vereiste niveau zijn behaald. Wacht niet te lang met starten.
CyFun of ISO 27001?
De Belgische NIS2-wet biedt een keuze: CyFun of ISO 27001. Beide zijn geldige routes. Maar ze zijn fundamenteel anders.
| Eigenschap | CyFun | ISO 27001 |
|---|---|---|
| Focus | Concrete technische en organisatorische controls | Managementsysteem voor informatiebeveiliging |
| Oorsprong | Belgisch (CCB), gebaseerd op NIST CSF 2.0 | Internationaal (ISO/IEC) |
| Aanpak | Checklist: heb je control X geïmplementeerd? | Procesmatig: heb je een ISMS opgezet? |
| Self-assessment | Gratis Excel-tool van het CCB | Niet standaard beschikbaar |
| Certificering | BELAC-geaccrediteerde partijen | ISO-accreditatie-instanties |
| Geschikt voor | KMO's die praktisch willen starten | Organisaties met bestaand kwaliteitssysteem |
| Populariteit (NIS2 BE) | ~75% van entiteiten | ~25% van entiteiten |
Heb je al een ISO 27001-certificering? Dan hoef je niet over te stappen naar CyFun. Je bestaande certificering is geldig. Heb je niets? Dan is CyFun de snelste route, vooral voor KMO's. Het is concreter, de tools zijn gratis en het is ontworpen voor de Belgische markt.
Je kunt ook combineren. Sommige organisaties gebruiken CyFun als operationeel kader en ISO 27001 als managementsysteem.
Waar begin je?
Drie stappen die je vandaag kunt zetten:
- Doe de self-assessment. Download de CyFun Self-Assessment Tool via cyfun.be. Reserveer een dag. Je krijgt een helder beeld van je huidige niveau
- Pak de quick wins aan. MFA voor alle admin-accounts. Automatische updates. Backups testen. Deze controls uit het Basic-niveau kosten weinig geld maar dekken veel risico af
- Plan de rest. Gebruik het spiderdiagram uit de self-assessment om te prioriteren. Begin met de domeinen waar je het laagst scoort. Betrek je zaakvoerder bij het Govern-domein
Voor een gedetailleerde walkthrough van de CyFun Small self-assessment, lees onze stap-voor-stap gids voor CyFun Small. Voor het complete NIS2-plaatje, bekijk de NIS2-gids voor KMO's.
Dit artikel is informatief bedoeld en vervangt geen professioneel advies. Het CyFun framework wordt regelmatig bijgewerkt. Raadpleeg altijd de officiële CCB-documentatie voor de meest actuele versie.
Wil je weten of NIS2 op jouw organisatie van toepassing is en welk CyFun-niveau je nodig hebt? Beantwoord 7 vragen.
Doe de NIS2 CheckVeelgestelde vragen
Bronnen
Gerelateerde artikels
NIS2 voor KMO's: de complete gids
Alles wat Belgische KMO's moeten weten over de NIS2-wet: scope, verplichtingen, CyFun framework, meldplicht en deadlines.
NIS2: valt jouw bedrijf eronder? Checklist
Bepaal in 3 stappen of de Belgische NIS2-wet op jouw KMO van toepassing is. Check je sector, grootte en leveranciersrelaties met onze checklist.
CyFun SMALL: de gratis zelfbeoordeling stap voor stap
CyFun SMALL helpt kleine KMO’s en zelfstandigen hun basisbeveiliging op orde te krijgen. Doorloop de 7 aanbevelingen stap voor stap met deze praktische gids.
Cybersecurity-beleid voor je bedrijf: zo stel je het op
Stap voor stap een cybersecurity-beleid opstellen voor je KMO. Met gratis CCB-sjablonen, NIS2-vereisten en een checklist die je vandaag kunt invullen.