Sinds de Belgische NIS2-wet op 18 oktober 2024 van kracht werd, heeft uw organisatie een concreet kader nodig om cybersecurity-maatregelen te structureren. Het CyberFundamentals framework (CyFun) is precies dat kader. Ontwikkeld door het Centrum voor Cybersecurity België (CCB), vertaalt CyFun de abstracte NIS2-verplichtingen naar meetbare, praktische stappen die u als IT-manager direct kunt implementeren. In dit artikel leggen we uit hoe het framework is opgebouwd, welk niveau bij uw organisatie past en welke deadlines u in 2026 absoluut niet mag missen.
Wat is het CyberFundamentals framework precies?
CyberFundamentals is een set concrete beveiligingsmaatregelen waarmee uw organisatie data beschermt, de kans op veelvoorkomende cyberaanvallen verkleint en de digitale weerbaarheid structureel verhoogt. Het CCB heeft het framework gebouwd op vier internationaal erkende standaarden: NIST Cybersecurity Framework 2.0, ISO 27001/27002, CIS Controls en IEC 62443 (voor operationele technologie). Die combinatie maakt CyFun zowel internationaal herkenbaar als specifiek afgestemd op de Belgische context.
Belangrijk voor uw dagelijkse praktijk: het framework is gratis beschikbaar, modulair opgebouwd en biedt een duidelijk groeipad. U hoeft niet alles in één keer te implementeren. CyFun laat u stap voor stap werken aan een hoger beveiligingsniveau, precies zoals uw organisatie dat aankan.
En het is meer dan een aanbeveling. Voor organisaties die onder de Belgische NIS2-wet vallen, is CyFun een van de twee erkende routes naar compliance. De andere is ISO 27001-certificering. Beide worden door het CCB als gelijkwaardig beschouwd.
Zes functies vormen de ruggengraat van CyFun
De 2025-versie van het CyberFundamentals framework is volledig afgestemd op NIST CSF 2.0. De grootste verandering ten opzichte van de vorige versie? Er zijn nu zes kernfuncties in plaats van vijf. De nieuwe functie “Govern” (Besturen) is toegevoegd als fundament onder de vijf bestaande functies.
Govern (Besturen) legt de basis voor alles wat volgt. Hier bepaalt u het cybersecuritybeleid, wijst u rollen en verantwoordelijkheden toe en verankert u security in uw risicomanagementstrategie. Dit is ook de functie die de NIS2-eis rond bestuurlijke aansprakelijkheid afdekt.
Identify (Identificeren) brengt uw digitale omgeving in kaart. Welke systemen, data en processen zijn bedrijfskritisch? Waar zitten de kwetsbaarheden? Een goede asset-inventarisatie en business impact analyse vormen hier de kern.
Protect (Beschermen) richt zich op preventieve maatregelen. Denk aan toegangsbeheer met multi-factor authenticatie, netwerksegmentatie, data-encryptie en security awareness trainingen voor medewerkers.
Detect (Detecteren) zorgt ervoor dat u verdachte activiteiten tijdig opmerkt. Logging, continue monitoring en inbraakdetectiesystemen zijn typische maatregelen in deze functie.
Respond (Reageren) beschrijft hoe u handelt tijdens een incident. Van incident response planning tot crisiscommunicatie en het beperken van de schade.
Recover (Herstellen) omvat alles wat nodig is om na een incident de normale werking te herstellen. Back-up beheer, disaster recovery en de essentiële post-incident analyse (“wat hebben we geleerd?”) vallen hieronder.
De toevoeging van Govern is niet zomaar een administratieve wijziging. In de CyFun 2025-versie is het aantal governance-gerelateerde controls verdubbeld ten opzichte van 2023. Dat weerspiegelt een fundamentele verschuiving: cybersecurity is geen technisch project meer, maar een bestuurlijke verantwoordelijkheid.
Vier CyberFundamentals niveaus: welk past bij uw organisatie?
Het framework werkt met vier zekerheidsniveaus (assurance levels) die elk een ander risicoprofiel bedienen. Elk niveau bouwt voort op het vorige.
Small is bedoeld voor micro-organisaties zonder eigen IT-afdeling. Dit niveau bevat tien fundamentele vuistregels voor basisveiligheid. Het is een startpunt, geen eindbestemming.
Basic is de minimale standaard die het CCB aanbeveelt voor elke Belgische onderneming. Met 34 controls richt dit niveau zich op het afweren van opportunistische aanvallen. Volgens data van het CCB dekt het Basic-niveau ongeveer 82% van de historisch bekende cyberaanvallen af.
Important voegt 99 extra controls toe en verhoogt de dekkingsgraad naar 94%. Dit niveau is gericht op organisaties die te maken hebben met gerichte aanvallen. Belangrijk: organisaties die als “belangrijke entiteit” onder NIS2 vallen, wordt aangeraden minimaal dit niveau na te streven.
Essential is het hoogste niveau, met circa 140 tot 200 controls die bescherming bieden tegen geavanceerde aanvallen (Advanced Persistent Threats). Essentiële NIS2-entiteiten zijn wettelijk verplicht om naar dit niveau toe te werken.
Welk niveau voor uw organisatie van toepassing is, bepaalt u met de CyFun Selection Tool. Dat is een risicobeoordeling die het CCB beschikbaar stelt. De tool houdt rekening met uw sector, bedrijfsgrootte en de potentiële impact van een cyberincident op de maatschappij.
De deadline van 18 april 2026: wat moet u wanneer klaar hebben?
Voor organisaties die als essentiële entiteit onder de Belgische NIS2-wet vallen, is 18 april 2026 de eerste harde deadline. Tegen die datum moet u een bewijs van conformiteit kunnen voorleggen aan het CCB. U heeft daarbij twee opties.
Optie 1: het CyFun-traject. U moet ten minste een verificatieverklaring (Verification Statement) hebben behaald voor het Basic- of Important-niveau. Dit is een tussenstap naar de volledige Essential-certificering, die tegen 18 april 2027 moet zijn afgerond.
Optie 2: het ISO 27001-traject. U dient uw Statement of Applicability (SoA) in bij het CCB, waarin u aantoont dat uw gekozen maatregelen gelijkwaardig zijn aan de vereisten van het relevante CyFun-niveau. De inspectiedienst van het CCB zal specifiek controleren of de key measures uit CyFun zijn afgedekt.
Belangrijk om te weten: het CCB kan organisaties sanctioneren die onterecht een te laag zekerheidsniveau claimen. Een degelijke risicoanalyse is dus geen vrijblijvende oefening, maar de juridische basis voor uw keuze.
Voor belangrijke entiteiten gelden dezelfde zorgplichtverplichtingen, maar de handhaving verloopt reactief: het CCB grijpt primair in na een incident of bij aanwijzingen van ernstige tekortkomingen.
Het CyFun-label behalen: vier stappen van analyse tot certificering
Het Conformity Assessment Scheme (CAS) beschrijft het standaardproces om een CyberFundamentals label te verkrijgen. Als IT-manager doorloopt u samen met uw team vier fasen.
In de eerste fase voert u een risicobeoordeling uit met de CyFun Selection Tool. Het resultaat bepaalt welk assurance level bij uw organisatie past.
De tweede fase is de zelfbeoordeling en implementatie. Met de CyFun Self-Assessment Tool, een Excel-instrument met spinnenwebdiagrammen voor managementrapportage, brengt u de huidige stand van zaken in kaart. De gaps die u identificeert, vormen uw implementatie-roadmap.
In de derde fase laat u een externe verificatie uitvoeren door een geautoriseerde Conformity Assessment Body (CAB) die geaccrediteerd is door BELAC. De CAB beoordeelt de implementatie en de maturiteit van uw controls.
Na een positief auditrapport vraagt u in de vierde fase het CyFun-label aan via het Safeonweb@Work-portaal. Daarmee beschikt u over een formeel bewijs van conformiteit.
De doorlooptijd hangt af van uw startpositie. Organisaties die al basismaatregelen hebben, kunnen binnen een tot drie maanden compliant zijn. Begint u vrijwel vanaf nul, dan is drie tot zes maanden een realistischer tijdlijn.
CyFun 2025: wat is er nieuw ten opzichte van de vorige versie?
De update naar CyFun 2025 is meer dan een cosmetische aanpassing. Ongeveer 70% van de oorspronkelijke 2023-maatregelen is behouden, maar de overige 30% is geüpdatet of vervangen door controls met een sterkere focus op governance en incident response.
De belangrijkste vernieuwingen op een rij. Het aantal controls rond incident management is verdubbeld. Controls gericht op leveranciers- en supply chain-beveiliging zijn eveneens verdubbeld. Het aantal governance-controls is uitgebreid van 8 naar ruim 20. En er zijn voor het eerst OT-specifieke richtlijnen opgenomen binnen elk domein.
Die nadruk op supply chain security is bijzonder relevant. Onder NIS2 bent u niet alleen verantwoordelijk voor uw eigen beveiliging, maar moet u ook de cyberrisico’s van uw directe leveranciers in kaart brengen. Het CCB adviseert alle organisaties in de toeleveringsketen van een NIS2-entiteit om minimaal het CyFun Basic-niveau te behalen. Een NIS2-entiteit kan dit zelfs contractueel opleggen aan haar leveranciers.
Beide versies van het framework (2023 en 2025) blijven tijdelijk naast elkaar bestaan, maar alleen de nieuwe versie wordt op termijn geaccepteerd voor zelfevaluaties en conformiteitsbeoordelingen.
CyberFundamentals of ISO 27001: hoe kiest u het juiste kader?
Dit is een van de meest gestelde vragen. Beide frameworks worden door het CCB erkend als routes naar NIS2-compliance, maar ze verschillen wezenlijk in aanpak.
CyFun is specifiek ontworpen voor de Belgische context, houdt rekening met lokale vereisten en is gratis beschikbaar. De modulaire opbouw maakt het praktischer en minder complex voor middelgrote organisaties. Het framework is actiegericht: u weet precies welke maatregelen u moet implementeren.
ISO 27001 is een internationaal erkende standaard met een bredere scope die ook informatiebeveiliging in het algemeen afdekt. De certificering is wereldwijd herkenbaar, wat waardevol kan zijn als u internationale klanten heeft die specifiek naar ISO 27001 vragen.
Voor de meeste Belgische KMO’s is CyFun de meest pragmatische keuze: sneller te implementeren, direct afgestemd op NIS2 en zonder certificeringskosten voor het framework zelf. Wilt u een uitgebreide vergelijking? Lees dan ons artikel over ISO 27001 of CyberFundamentals: zo kiest u het juiste kader voor NIS2-compliance.
De boetes en sancties bij niet-naleving
De Belgische NIS2-wet hanteert stevige sancties. Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde omzet.
Maar de financiële sancties zijn niet het enige risico. Bestuurders kunnen bij ernstige nalatigheid persoonlijk aansprakelijk worden gesteld. In het ergste geval kan hen zelfs tijdelijk de uitoefening van hun functie worden ontzegd. De wet eist expliciet dat het management de cybersecurity-maatregelen goedkeurt en toezicht houdt op de implementatie ervan.
Meer weten over de specifieke Belgische NIS2-verplichtingen? Onze complete NIS2-gids voor Vlaamse bedrijven geeft u het volledige overzicht.
Gebruik de VLAIO-subsidie om de kosten te drukken
Wist u dat u als Vlaamse KMO tot 45% subsidie kunt krijgen op cybersecurity-advies en opleidingen? Sinds februari 2026 is cybersecurity het enige adviesonderwerp dat nog in aanmerking komt voor de KMO-portefeuille van VLAIO. Kleine ondernemingen krijgen 45% terug, middelgrote ondernemingen 35%, met een maximum van 7.500 euro per jaar.
Daarnaast biedt VLAIO de Cybersecurity Verbetertrajecten aan: begeleidingstrajecten bij erkende dienstverleners met 50% subsidie voor KMO’s. De kostprijs van deze trajecten varieert van 7.100 tot 39.900 euro. Ook niet-KMO’s die onder NIS2 vallen kunnen aanspraak maken op 35% subsidie.
Cyberplan is een erkende dienstverlener bij VLAIO. Dat betekent dat u onze audits, gap-analyses en opleidingen gedeeltelijk kunt financieren via deze subsidies. Een CyberFundamentals gap-analyse hoeft daardoor geen zware investering te zijn.
Praktisch aan de slag: uw eerste drie stappen
Genoeg theorie. Als IT-manager wilt u weten wat u morgen kunt doen. Dit zijn de drie stappen waarmee u concreet aan de slag gaat.
Stap 1: bepaal uw verplichtingen. Controleer via de CyFun Selection Tool van het CCB of uw organisatie onder NIS2 valt en welk zekerheidsniveau van toepassing is. Registreer uw organisatie op het Safeonweb@Work-portaal als dat nog niet is gebeurd.
Stap 2: voer een zelfbeoordeling uit. Download de CyFun Self-Assessment Tool en breng uw huidige beveiligingsniveau in kaart. De tool genereert automatisch een overzicht van de gaps die u moet dichten, inclusief maturiteitsscores per categorie.
Stap 3: maak een implementatieplan. Vertaal de geïdentificeerde gaps naar een concrete roadmap met prioriteiten, verantwoordelijken en tijdlijnen. Focus eerst op de key measures, dat zijn de maatregelen die bij een audit als eerste worden getoetst.
Heeft uw team de capaciteit niet om dit traject intern te begeleiden? Dan is het verstandig om een gespecialiseerde cybersecurity-partner in te schakelen die het CyFun-framework kent en ervaring heeft met Belgische KMO’s.
Hoe Cyberplan u helpt met CyberFundamentals-compliance
Cyberplan begeleidt Vlaamse bedrijven door het volledige CyFun-traject: van de eerste gap-analyse tot de voorbereiding op de externe audit. Ons team van meer dan 20 gecertificeerde experts (OSCP, CISSP, CEH, CISM) voert technische audits uit die direct worden geplot op de CyFun-vereisten. Het resultaat is geen dik rapport dat stof verzamelt, maar een concrete roadmap met duidelijke prioriteiten in begrijpelijke taal.
Als erkend VLAIO-dienstverlener komen onze trajecten in aanmerking voor subsidie. Kleine ondernemingen betalen effectief tot 45% minder via de KMO-portefeuille.
Wilt u weten waar uw organisatie staat ten opzichte van het CyberFundamentals framework? Boek een vrijblijvend gesprek en we bekijken samen welke stappen voor u het meest urgent zijn.
Veelgestelde vragen over het CyberFundamentals framework
Is het CyberFundamentals framework verplicht voor mijn bedrijf?
Dat hangt af van uw NIS2-classificatie. Organisaties die als essentiële of belangrijke entiteit onder de Belgische NIS2-wet vallen, moeten kiezen tussen CyFun of ISO 27001 als compliance-route. Voor alle andere Belgische ondernemingen is CyFun sterk aanbevolen maar niet wettelijk verplicht.
Wat is het verschil tussen een CyFun-verificatie en een CyFun-certificering?
Een verificatie geldt voor de niveaus Basic en Important en wordt uitgevoerd door een geautoriseerde Conformity Assessment Body. Een certificering is voorbehouden aan het Essential-niveau en volgt een uitgebreider auditproces. Beide resulteren in een officieel CyFun-label.
Hoelang duurt het om CyberFundamentals-compliant te worden?
De doorlooptijd hangt af van uw startpositie. Organisaties met al bestaande basismaatregelen kunnen binnen een tot drie maanden compliant zijn. Begint u grotendeels vanaf nul, reken dan op drie tot zes maanden voor het volledige traject inclusief implementatie.
Kan ik het CyFun-traject combineren met VLAIO-subsidies?
Ja. Cybersecurity-advies en opleidingen komen in aanmerking voor de KMO-portefeuille (45% voor kleine ondernemingen, 35% voor middelgrote). Daarnaast subsidieert VLAIO de Cybersecurity Verbetertrajecten met 50% voor KMO’s. Beide subsidies zijn cumuleerbaar met het CyFun-implementatietraject.
Wat zijn de key measures in CyFun en waarom zijn ze belangrijk?
Key measures zijn de maatregelen die het CCB als kritiek beschouwt. Bij een formele audit worden deze als eerste getoetst. Het niet voldoen aan een key measure kan leiden tot een automatische “fail”, ook als de overige controls wel op orde zijn. Voorbeelden zijn multi-factor authenticatie, back-up beheer en incident response procedures.
