De Belgische NIS2-wet is sinds 18 oktober 2024 van kracht en de klok tikt. Essentiële entiteiten moeten uiterlijk op 18 april 2026 hun eerste conformiteitsbeoordeling afronden. Dat betekent dat u nu een keuze moet maken: werkt u met ISO 27001 of met CyberFundamentals (CyFun®)? Beide kaders bieden een geldig pad naar NIS2-compliance, maar ze verschillen flink in aanpak, kosten en doorlooptijd. In dit artikel helpen we u de juiste keuze te maken voor uw organisatie.
Waarom u een kader nodig hebt voor NIS2
De NIS2-wetgeving verplicht organisaties om “passende en evenredige” maatregelen te nemen voor cybersecurity. Maar hoe toont u aan dat u daaraan voldoet? Het Centrum voor Cybersecurity België (CCB) biedt drie opties voor de verplichte conformiteitsbeoordeling:
- Een CyberFundamentals-certificering of -verificatie door een geaccrediteerde instantie.
- Een ISO 27001-certificering door een geaccrediteerde instantie.
- Een inspectie door de inspectiedienst van het CCB.
In de praktijk kiezen de meeste organisaties voor een van de eerste twee opties. Driekwart van de geregistreerde NIS2-entiteiten in België heeft inmiddels een kader gekozen, en de meerderheid kiest voor CyFun. Maar dat wil niet zeggen dat ISO 27001 de verkeerde keuze is. Het hangt af van uw situatie.
Wat is ISO 27001 en hoe helpt het bij NIS2?
ISO/IEC 27001:2022 is een internationale norm voor informatiebeveiliging. De kern is een Information Security Management System (ISMS): een gestructureerde aanpak om risico’s te identificeren, maatregelen te kiezen en continu te verbeteren. U bepaalt zelf welke beveiligingsmaatregelen van toepassing zijn op basis van een risicoanalyse. Dat maakt ISO 27001 flexibel, maar ook complexer om te implementeren.
De sterkte van ISO 27001 zit in de internationale herkenbaarheid. Als uw bedrijf internationaal opereert, deel uitmaakt van complexe toeleveringsketens of werkt met klanten die ISO 27001 als eis stellen in hun vendor risk assessments, dan heeft dit certificaat een duidelijke meerwaarde. Denk aan softwarebedrijven die werken voor overheidsinstanties of EU-instellingen, of productiebedrijven die leveren aan grote multinationals.
Voor NIS2-compliance moet u bij ISO 27001 wel extra aandacht besteden aan de afstemming. De “Statement of Applicability” (SoA) moet nauwgezet gemapt worden aan de NIS2-eisen. U moet het toepassingsgebied en de SoA voorleggen aan het CCB als onderdeel van de conformiteitsbeoordeling.
Wat is CyberFundamentals en waarom kiest België hiervoor?
CyberFundamentals (CyFun®) is het Belgische cybersecuritykader, ontwikkeld door het CCB als een pragmatisch antwoord op NIS2. Het is gebaseerd op internationaal erkende standaarden zoals NIST CSF 2.0, ISO 27001 en CIS Controls, maar specifiek afgestemd op de Belgische markt.
Het kader werkt met vier maturiteitsniveaus: Small (voor micro-organisaties), Basic (basisbeveiliging voor alle ondernemingen), Important (bescherming tegen gerichte aanvallen) en Essential (bescherming tegen geavanceerde dreigingen). Elke organisatie kiest het niveau dat past bij haar risicoprofiel.
De kracht van CyFun® zit in de prescriptieve aanpak. Waar ISO 27001 u vraagt om zelf uw maatregelen te bepalen, vertelt CyFun® precies welke controls u moet implementeren. Dat scheelt veel interpretatie en maakt het traject voorspelbaarder. Bovendien biedt het CCB gratis tools aan, waaronder self-assessment spreadsheets en de CyFun® Selection Tool.
Met de lancering van CyFun 2025 is het kader verder aangescherpt. De update sluit aan bij NIST CSF 2.0, besteedt meer aandacht aan supply chain-beveiliging en voegt governance-maatregelen toe vanaf het Important-niveau. Er is ook specifiek aandacht voor OT-omgevingen (Operational Technology), wat relevant is voor productiebedrijven.
ISO 27001 vs. CyberFundamentals: de praktische vergelijking
De keuze tussen beide kaders hangt af van enkele concrete factoren. Hier vindt u de belangrijkste vergelijkingspunten.
Implementatietijd. Een ISO 27001-traject duurt doorgaans 6 tot 13 maanden, afhankelijk van de bestaande maturiteit en complexiteit van uw organisatie. CyberFundamentals kunt u vaak binnen 3 tot 6 maanden volledig implementeren, mede dankzij de prescriptieve controls en gratis tooling.
Kosten. De totale kosten voor ISO 27001-certificering liggen voor een gemiddeld kmo tussen de 15.000 en 35.000 euro, inclusief consultancy, auditkosten en interne tijdsinvestering. Daarbij komen jaarlijkse surveillance-audits van 1.200 tot 3.000 euro. CyberFundamentals is als kader gratis beschikbaar. De kosten zitten in de implementatie en de verplichte verificatie of certificering door een geaccrediteerde instantie (CAB). Voor de meeste kmo’s is het totaalplaatje bij CyFun aanzienlijk lager.
Juridische bescherming in België. Dit is een cruciaal verschil. Het behalen van een CyFun®-label biedt een direct wettelijk “vermoeden van conformiteit” onder de Belgische NIS2-wet. Dat betekent dat u bij een incident juridisch sterker staat. Bij ISO 27001 moet u actief aantonen dat uw maatregelen voldoen aan de NIS2-eisen, wat een extra vertaalslag vereist.
Internationale erkenning. Hier scoort ISO 27001 duidelijk beter. Het certificaat wordt wereldwijd erkend en is bij veel internationale klanten en aanbestedingen een vereiste. CyFun® wint aan bekendheid buiten België (onder meer in Ierland en Roemenië), maar is vandaag primair een Belgisch kader.
Geschiktheid voor kmo’s. CyFun® is expliciet ontworpen voor een kmo-economie zoals België. Johan Klykens van het CCB omschrijft het als een kader waar “één controle en één bewijs idealiter door meerdere partijen hergebruikt kunnen worden.” De modulaire opbouw laat toe om stap voor stap te groeien, wat beter aansluit bij de realiteit van een middelgroot bedrijf.
Wanneer kiest u voor ISO 27001?
ISO 27001 is de betere keuze als uw organisatie aan een of meerdere van deze criteria voldoet:
U opereert internationaal en werkt met klanten of partners die ISO 27001 als eis stellen. Denk aan softwarebedrijven die applicaties leveren aan overheidsinstanties, EU-instellingen of grote multinationals. Een ISO 27001-certificaat bespaart u het invullen van eindeloze security-vragenlijsten en opent deuren bij aanbestedingen.
U hebt al een bestaand managementsysteem (zoals ISO 9001 of ISO 14001). De High Level Structure (HLS) van deze normen overlapt, waardoor een gecombineerde aanpak efficiënter is. Organisaties met een volwassen governance-structuur profiteren van de synergie.
U wilt maximale flexibiliteit in uw beveiligingsaanpak. ISO 27001 laat u toe om zelf uw controls te kiezen op basis van uw specifieke risico-analyse en risico-appetijt. Dat is een voordeel voor complexe organisaties met hybride IT-omgevingen of meerdere vestigingen.
Wanneer kiest u voor CyberFundamentals?
CyberFundamentals past beter als uw organisatie zich herkent in deze situatie:
U focust primair op de Belgische markt en hebt geen internationale compliance-eisen. CyFun® biedt dan de snelste en meest kostenefficiënte route naar NIS2-compliance, met het directe juridische voordeel van een “vermoeden van conformiteit.”
U bent een kmo zonder dedicated compliance-team. De prescriptieve aanpak van CyFun® maakt het traject voorspelbaarder. U hoeft niet zelf te interpreteren welke maatregelen nodig zijn. Het kader vertelt u precies wat er verwacht wordt.
De deadline van april 2026 komt snel dichterbij en u bent nog niet gestart. Met een gemiddelde implementatietijd van 3 tot 6 maanden biedt CyFun® een realistischer tijdspad dan een ISO 27001-traject dat vaak dubbel zo lang duurt.
U bent een productiebedrijf met OT-omgevingen. CyFun 2025 besteedt specifieke aandacht aan Operational Technology en industriële netwerken, waardoor het kader goed aansluit bij de realiteit van maakbedrijven.
De hybride aanpak: het beste van beide werelden
Wat veel organisaties over het hoofd zien: u hoeft niet per se te kiezen. CyberFundamentals is gebouwd op ISO 27001, NIST CSF 2.0 en CIS Controls. Wie start met CyFun® en daar succesvol doorheen komt, heeft al een stevige basis gelegd voor een eventuele ISO 27001-certificering in een latere fase.
Deze gefaseerde aanpak is bijzonder interessant voor groeiende bedrijven. U start met CyFun® om snel aan uw NIS2-verplichtingen te voldoen, en bouwt vervolgens door naar ISO 27001 wanneer internationale ambities of klantvereisten dat nodig maken. Zo spreidt u de investering en voorkomt u dat u onder tijdsdruk dure keuzes moet maken.
De deadlines: wat moet er wanneer gebeurd zijn?
Voor essentiële entiteiten gelden de volgende deadlines:
Uiterlijk 18 april 2026: een CyFun®-verificatie op niveau Basic of Important behalen, of het toepassingsgebied en de Statement of Applicability van uw ISO 27001-traject voorleggen aan het CCB. Uiterlijk 18 april 2027: de volledige certificering op het vereiste eindniveau afronden.
Voor belangrijke entiteiten is de conformiteitsbeoordeling in principe vrijwillig, maar sterk aanbevolen. Wie beschikt over een CyFun®-label of ISO 27001-certificering geniet een “vermoeden van conformiteit.” Bij een incident of klacht staat u dan juridisch veel sterker.
Momenteel zijn in België ongeveer 1.500 essentiële en 2.500 belangrijke entiteiten geregistreerd bij het CCB. Tegen april 2026 verwacht het CCB voldoende capaciteit voor grootschalige conformiteitsaudits. Maar de beschikbaarheid van geaccrediteerde auditors is beperkt. Wie wacht tot het laatste moment, riskeert vertragingen.
VLAIO-subsidies verlagen de drempel
Ongeacht welk kader u kiest: via VLAIO kunt u een aanzienlijk deel van de kosten terugkrijgen. Sinds februari 2026 is de KMO-portefeuille voor advies exclusief beperkt tot cybersecurity. Dat maakt de subsidie extra relevant.
Via de KMO-portefeuille krijgen kleine ondernemingen 45% subsidie op cybersecurity-advies en -opleiding, middelgrote ondernemingen 35%, met een maximum van 7.500 euro per jaar. Daarnaast bieden de Cybersecurity Verbetertrajecten van VLAIO 50% subsidie voor kmo’s op begeleidingstrajecten van 7.100 tot 39.900 euro. Niet-kmo’s die onder NIS2 vallen, kunnen aanspraak maken op 35% subsidie.
Concreet betekent dit dat u een professioneel begeleidingstraject voor uw ISO 27001- of CyFun-implementatie voor bijna de helft van de prijs kunt laten uitvoeren. Die subsidie maakt het verschil tussen “we wachten nog even” en “we starten nu.”
Veelgestelde vragen over ISO 27001 en CyberFundamentals
Moet mijn bedrijf kiezen tussen ISO 27001 en CyberFundamentals?
Niet noodzakelijk. Beide kaders zijn geldig voor NIS2-compliance. U kunt zelfs starten met CyFun® en later doorgroeien naar ISO 27001 als uw internationale ambities dat vereisen. De kaders sluiten elkaar niet uit.
Wat kost een CyberFundamentals-implementatie vergeleken met ISO 27001?
CyFun® is als kader gratis beschikbaar. De totale implementatiekosten voor een kmo liggen doorgaans lager dan bij ISO 27001, dat tussen de 15.000 en 35.000 euro kost. De exacte kosten hangen af van uw huidige maturiteit, bedrijfsgrootte en of u externe begeleiding inschakelt.
Wat is het verschil tussen een CyFun-verificatie en een CyFun-certificering?
Een verificatie geldt voor de niveaus Basic en Important en wordt uitgevoerd door een geaccrediteerde conformiteitsbeoordelingsinstantie (CAB). Een certificering is vereist voor het niveau Essential en volgt een strenger auditproces. Beide bieden een wettelijk vermoeden van conformiteit.
Kan ik via VLAIO subsidie krijgen voor zowel ISO 27001 als CyberFundamentals?
Ja. De KMO-portefeuille subsidieert cybersecurity-advies, ongeacht welk kader u kiest. Kleine ondernemingen krijgen 45% terug, middelgrote 35%. Daarnaast subsidiëren de Cybersecurity Verbetertrajecten tot 50% van de begeleidingskosten.
Wat gebeurt er als ik de deadline van april 2026 niet haal?
Essentiële entiteiten die hun conformiteitsbeoordeling niet tijdig afronden, lopen het risico op handhavingsmaatregelen van het CCB. De mogelijke boetes lopen op tot 10 miljoen euro of 2% van de jaaromzet. Maar ook zonder boete: bij een incident bent u zonder conformiteitsbeoordeling juridisch kwetsbaarder.
Is CyberFundamentals alleen geldig in België?
CyFun® is een Belgisch kader, maar wint aan internationale bekendheid. Landen als Ierland en Roemenië tonen interesse. Voor puur Belgische compliance is het een volwaardige keuze. Opereert u internationaal, dan biedt ISO 27001 bredere erkenning.
De juiste keuze maken met begeleiding op maat
Of u nu kiest voor ISO 27001, CyberFundamentals of een combinatie van beide: het traject begint altijd met een duidelijk beeld van waar u vandaag staat. Een gap-analyse legt bloot welke maatregelen u al getroffen hebt en waar de prioriteiten liggen. Zo voorkomt u dat u tijd en budget besteedt aan zaken die u eigenlijk al op orde hebt.
Cyberplan begeleidt Vlaamse bedrijven bij het volledige traject, van de initiële doorlichting en risicoanalyse tot de technische implementatie en voorbereiding op de conformiteitsbeoordeling. Met een team van meer dan 22 gecertificeerde cybersecurity-experts (OSCP, CISSP, CEH, CISM) combineren we diepgaande technische kennis met begrijpelijke communicatie. En als geregistreerde VLAIO-dienstverlener kunt u via de KMO-portefeuille tot 45% subsidie ontvangen op onze diensten.
Wilt u weten welk kader het beste past bij uw organisatie? Boek een vrijblijvend gesprek en we helpen u de juiste richting te bepalen, op tijd en binnen budget.
