De deadline is 18 april 2026. Elke Belgische organisatie die is geregistreerd onder NIS2 moet tegen die datum zijn CyberFundamentals (CyFun) zelfevaluatie of ISO 27001-documentatie indienen bij het CCB. Volgens de staat van cyberbeveiliging in het middensegment van de markt in België is ongeveer een kwart van de geregistreerde entiteiten nog niet begonnen met een gestructureerde implementatie.
Het probleem is niet bekendheid. De meeste IT-managers weten dat CyFun bestaat. Het probleem is de documentatie: precies weten wat je moet indienen, welk bewijs je per functie moet verzamelen en hoe je dit bij elkaar krijgt zonder een speciaal compliance team. De werklast neemt aanzienlijk af wanneer je beveiligingspakket wordt geconsolideerd in plaats van verspreid over vijf of zes afzonderlijke tools. Deze gids leidt u stap voor stap door het beoordelingsproces.
Wat is een CyFun zelfevaluatie?
CyFun (CyberFundamentals) is het nationale cyberbeveiligingskader van België, ontwikkeld door het Centre for Cybersecurity Belgium (CCB). Het vertaalt NIS2-verplichtingen in meetbare technische en organisatorische controles. De zelfevaluatie is het gestructureerde document dat NIS2-geregistreerde organisaties indienen bij het CCB om hun beveiligingsvolwassenheid aan te tonen. Er wordt gebruik gemaakt van een gestandaardiseerde Excel-tool die door het CCB wordt verstrekt, waarbij voor elke controle een score wordt toegekend op een volwassenheidsschaal die is afgestemd op het conformiteitsbeoordelingsschema.
Wat je tegen april 2026 moet indienen (en aan wie)
Alle inzendingen gaan via het Safeonweb@Work-portaal. De registratie zou al voltooid moeten zijn, aangezien de registratiedeadline in maart 2025 is verstreken.
Je hebt twee nalevingsroutes. Kies het spoor dat bij jouw situatie past.
Track 1: CyFun. Dien een verificatieverklaring in voor CyFun Basic of Important niveau. Dit betekent dat u de zelfbeoordelingstool van de CCB moet invullen en moet aantonen dat u voldoet aan de vereiste controles op de beoogde volwassenheidsscores. Voor de meeste organisaties in het middensegment van de markt is dit de snellere en meer betaalbare route.
Spoor 2: ISO 27001. Dien uw informatiebeveiligingsbeleid, reikwijdte en Verklaring van Toepasselijkheid (SoA) in bij de CCB. Deze route is zinvol als u al een ISO 27001-certificering hebt of deze bijna hebt voltooid.
Beide sporen hebben dezelfde harde deadline: 18 april 2026. Tegen april 2027 moeten organisaties verslag uitbrengen over hun vooruitgang op weg naar volledige naleving op het hun toegewezen CyFun-niveau.
Het onderscheid tussen entiteittypes is van belang voor het toezicht. Essentiële entiteiten in sectoren zoals energie, gezondheidszorg en digitale infrastructuur krijgen te maken met proactieve audits en verplichte conformiteitsbeoordelingen door een door BELAC geaccrediteerde conformiteitsbeoordelingsinstantie (OBI). Belangrijke entiteiten krijgen te maken met reactief (ex post) toezicht, maar worden nog steeds geacht hun zelfevaluatie in te dienen. Zie onze aparte gids voor een volledig overzicht van de NIS2-nalevingsverplichtingen, inclusief registratie, rapportagetijdschema’s en verantwoordelijkheden op bestuursniveau.
CyFun niveaus uitgelegd: welke is van toepassing op jouw organisatie
De selectietool van de CCB bepaalt uw vereiste zekerheidsniveau op basis van sector, omvang van de organisatie en de maatschappelijke impact van een potentieel cyberincident. Er zijn vier niveaus, die elk voortbouwen op het vorige.
| CyFun-niveau | Besturingselementen | NIS2-classificatie | Verificatie deadline |
|---|---|---|---|
| Klein | ~23 | Micro-entiteiten | Vrijwillig |
| Basis | ~34 | Belangrijke entiteiten (uitgangspunt) | April 2026 |
| Belangrijk | ~99 extra | Belangrijke entiteiten (volledig toepassingsgebied) | April 2027 |
| Essentieel | ~85 extra bovenop Belangrijk | Essentiële entiteiten | April 2027 |
De meeste organisaties in het middensegment van de markt met 50 tot 400 werknemers zullen beginnen op het niveau Basic. De 34 controles in Basic omvatten de basis: toegangsbeheer, patchbeheer, back-upprocedures en incidentdetectie. De CCB heeft verklaard dat alleen al Basic ongeveer 82% van de aanvalstypen behandelt die zijn gedocumenteerd in de bedreigingsprofielen van CERT.be.
Het framework is afgestemd op NIST CSF 2.0. De 2025 editie heeft Govern toegevoegd als zesde kernfunctie naast Identify, Protect, Detect, Respond en Recover. Als u eerder met NIST, ISO 27001 of CIS Controls hebt gewerkt, zullen veel CyFun-vereisten u bekend voorkomen. De CCB biedt mappingdocumenten die CyFun-controles vergelijken met alle vier de raamwerken.
Welk bewijs auditors verwachten per CyFun-functie
Dit is waar de meeste organisaties de inspanning onderschatten. Een CAB-auditor vraagt niet alleen of je beveiligingsmaatregelen hebt getroffen. Ze vragen je om het te bewijzen. Hieronder staat wat ze verwachten per CyFun-functie, met concrete voorbeelden van aanvaardbaar bewijs.
Regeren
Deze functie is toegevoegd in de editie 2025 om aan te sluiten bij NIST CSF 2.0. Het heeft betrekking op uw cyberbeveiligingsbeheerstructuur: wie is verantwoordelijk, welk beleid is er en hoe is beveiliging ingebed in de organisatorische besluitvorming.
Controleurs verwachten: een gedocumenteerd cyberbeveiligingsbeleid dat is goedgekeurd door het management, een risicomanagementraamwerk met gedefinieerde risicobereidheid, toegewezen rollen en verantwoordelijkheden voor beveiliging (CISO, DPO, of gelijkwaardig), notulen van vergaderingen waaruit blijkt dat de raad van bestuur cyberbeveiliging bespreekt, en gedocumenteerde vereisten voor de beveiliging van de toeleveringsketen voor externe leveranciers.
De NIS2-aansprakelijkheidsvereisten van de raad van bestuur maken deze functie bijzonder belangrijk. Het bestuur is persoonlijk verantwoordelijk voor het goedkeuren van en toezicht houden op cyberbeveiligingsmaatregelen.
Identificeer
Breng uw digitale omgeving in kaart. Welke systemen, gegevens en processen zijn bedrijfskritisch? Auditors willen bewijs zien dat u weet wat u beschermt.
Controleurs verwachten: een inventarisatie van hardware- en softwareactiva, een netwerktopologiediagram met alle segmenten en verbindingspunten, een classificatie van de gevoeligheidsniveaus van gegevens, een gedocumenteerde risicobeoordeling volgens een erkende methodologie en een register van diensten van derden met toegang tot je netwerk of gegevens.
Bescherm
Dit is de grootste functie in CyFun en degene waar technische controles domineren. Auditors willen bewijs dat uw beveiligingen actief zijn, worden afgedwongen en gelogd.
Bewijs dat auditors verwachten: logboeken voor toegangscontrole die per gebruiker, per toepassing machtigingen tonen met handhaving van de laagste rechten. Platforms als Jimber genereren deze automatisch vanuit de ZTNA-module, waardoor de handmatige correlatie die weken van voorbereiding kost wegvalt. Daarnaast: rapporten over multifactor-authenticatie, patchbeheerlogs die tijdige updates laten zien, back-upschema’s met geteste herstelprocedures, encryptiebeleid voor gegevens in rust en in transit, bewijs van netwerksegmentatie dat isolatie laat zien tussen IT- en OT-segmenten, en rapporten over de voltooiing van beveiligingsbewustzijnstrainingen.
Voor organisaties met agentless apparaten zoals printers, IoT-sensoren of industriële apparatuur, legt de gids voor apparaatpostuurcontroles uit hoe apparaatverificatie direct aansluit op CyFun Protect-controles. De NIAC-hardware van Jimber biedt isolatielogboeken op netwerkniveau voor deze apparaten en bestrijkt een controlegebied dat traditionele endpoint-tools eenvoudigweg niet kunnen bereiken.
opsporen
Auditors willen bewijs dat je beveiligingsgebeurtenissen in realtime kunt identificeren, niet alleen dat je tools hebt geïnstalleerd.
Auditors verwachten bewijs: logs van continue monitoring die actieve detectie van anomalieën laten zien, SIEM- of logboekaggregatieconfiguratie met gedefinieerde waarschuwingsregels, records van inbraakdetectie, gedocumenteerde drempels voor escalatie en bewijs van regelmatige logboekcontrole. De gecentraliseerde logging van Jimber legt toegangsgebeurtenissen, beleidswijzigingen en apparaatstatus vast vanuit één console, wat het bewijsmateriaalpakket aanzienlijk vereenvoudigt in vergelijking met het verzamelen van logs vanuit vijf afzonderlijke dashboards.
Reageer op
Uw mogelijkheden om op incidenten te reageren. Auditors controleren of u een plan hebt en of u het hebt getest.
Controleurs verwachten: een gedocumenteerd incidentbestrijdingsplan met gedefinieerde rollen, communicatiesjablonen voor de 24-uurs en 72-uurs NIS2-rapportagevereisten, verslagen van tafeloefeningen of simulatietests, evaluatierapporten na een incident (indien van toepassing) en escalatieprocedures inclusief kennisgeving aan het CSIRT van de CCB.
De ransomware-zaak in het Belgische ziekenhuis is een praktisch voorbeeld van wat er gebeurt als incidentbestrijdingsprocedures onder druk falen. Zeven patiënten moesten met spoed worden overgebracht omdat inperking op netwerkniveau niet mogelijk was.
Herstel
Hoe je de normale werking herstelt na een incident. Deze functie wordt vaak over het hoofd gezien in zelfevaluaties.
Bewijs dat auditors verwachten: bedrijfscontinuïteitsplannen met doelstellingen voor hersteltijd, testresultaten van back-upherstel met data en resultaten, documentatie over geleerde lessen uit eerdere incidenten of oefeningen, communicatieplannen voor belanghebbenden tijdens herstel en bewijs dat herstelprocedures jaarlijks worden herzien en bijgewerkt.
Vijf fouten die je CyFun-beoordeling doen ontsporen
1. De zelfevaluatie behandelen als een aankruisvakje. De Excel-tool van het CCB vraagt om volwassenheidsscores per controle. Als je over de hele linie een “3” invult zonder ondersteunend bewijs, krijg je gegarandeerd problemen als een CAB-auditor om bewijs vraagt. Wees eerlijk in je scores. Een lage score met een gedocumenteerd verbeterplan is beter dan een hoge score die je niet kunt onderbouwen.
2. Beginnen met technologie in plaats van bestuur. Veel IT-managers springen meteen naar technische controles en verwaarlozen de regeringsfunctie. Zonder een gedocumenteerd cyberbeveiligingsbeleid, toegewezen verantwoordelijkheden en goedkeuring van de raad van bestuur, missen uw technische maatregelen het organisatorische fundament dat auditors als eerste controleren.
3. Negeren van agentloze apparaten. Printers, IoT-sensoren, gebouwbeheersystemen en productieapparatuur die geen beveiligingsagenten kunnen uitvoeren, zijn de meest gemiste items in inventarisaties van bedrijfsmiddelen. Als ze zich in je netwerk bevinden, vallen ze binnen het toepassingsgebied. Als ze niet in je inventaris zitten, is je Identify-functie onvolledig.
4. Vertrouwen op te veel losgekoppelde hulpmiddelen. Dit is waar organisaties in het middensegment weken verliezen. Als je toegangscontrole in de ene tool zit, je webfiltering in een andere, je netwerksegmentatie in een derde en je logging in een vierde, dan moet je bewijs uit alle vier halen, correleren en presenteren. Elke tool heeft zijn eigen exportformaat, zijn eigen bewaarbeleid en zijn eigen terminologie. Jimber consolideert toegangscontrole, webbeveiliging, netwerksegmentatie en logging in één controleerbaar platform. Eén bron van bewijs in plaats van vijf afzonderlijke dashboards die niet correleren.
5. Wachten tot de auditor je vertelt wat er ontbreekt. CAB-auditors controleren je zelfevaluatie. Ze bereiden deze niet voor u voor. Organisaties die een zelfevaluatie vol hiaten indienen en van de auditor verwachten dat hij hen door de oplossingen loodst, betalen uiteindelijk voor extra auditcycli en het missen van deadlines. Gebruik de zelfevaluatietool van de CCB vroegtijdig, geef jezelf een eerlijke score en dicht de hiaten voordat je een CAB inschakelt.
Hoe uw beveiligingsarchitectuur uw beoordelingservaring bepaalt
Dit is het deel waar niemand over praat. Uw keuze voor een beveiligingsarchitectuur heeft niet alleen invloed op uw beveiligingshouding. Het bepaalt hoe pijnlijk of soepel uw CyFun-beoordeling zal zijn.
Beschouw twee scenario’s.
Scenario A: gefragmenteerde stapel. U gebruikt een firewall van de ene leverancier, een VPN van een andere, webfiltering van een derde, een aparte endpoint tool en een standalone logging oplossing. Om uw CyFun-bewijsmateriaalpakket samen te stellen, moet u vijf leverancierscontracten documenteren voor uw ketenbeoordeling. Je moet toegangslogs extraheren van het VPN, webfiltergegevens van de SWG, bewijs van netwerksegmentatie van de firewall en gebeurtenisgegevens van de logger. Vervolgens correleer je ze handmatig om aan te tonen dat je Protect- en Detect-functies samenwerken. Dit duurt weken, soms maanden, voor een team van twee of drie personen.
Scenario B: geconsolideerd SASE-platform. Je draait het SASE-platform van Jimber met ZTNA, SWG, FWaaS en SD-WAN in één console. Toegangslogs, webbeveiligingsrecords, segmentatiebeleid en eventgegevens komen uit één bron. Eén leverancierscontract voor supply chain documentatie. Eén controlespoor. Eén configuratieset als bewijs. Voorbereidingstijd daalt van maanden naar weken.
Dit is niet theoretisch. Een Belgische vermogensbeheerder bespaarde 58% op zijn kosten nadat hij zijn gefragmenteerde beveiligingspakket had geconsolideerd op het platform van Jimber. Een aanzienlijk deel van deze besparingen kwam voort uit vereenvoudigde compliance-rapportage. Bewijsmateriaal waarvoor voorheen handmatige correlatie met meerdere tools nodig was, is nu afkomstig van een enkel controlespoor met beleidsversies, toegangslogboeken en apparaatstatusrecords op één plek.
Het SASE-platform van Jimber kan direct worden gekoppeld aan CyFun-besturingselementen voor Protect-, Detect- en Respond-functies. De CRACy compliance tool laat zien aan welke controles je huidige configuratie al voldoet en waar nog gaten zitten. Voor IT-managers die hun eerste CyFun-beoordeling voorbereiden, verandert dit een wekenlange oefening in het verzamelen van bewijs in een dashboardweergave.
De beoordeling zelf verandert niet op basis van je architectuur. De controles zijn hetzelfde. De bewijsvereisten zijn hetzelfde. Maar de inspanning om dat bewijs te leveren varieert enorm, afhankelijk van het feit of je beveiligingsgegevens op één plek staan of op vijf.
Veelgestelde vragen
Waar staat CyFun voor?
CyFun staat voor CyberFundamentals, het nationale cyberbeveiligingsraamwerk van België, ontwikkeld door het Centre for Cybersecurity Belgium (CCB). Het biedt een gestructureerde reeks beveiligingscontroles die zijn afgestemd op NIST CSF 2.0, ISO 27001, CIS Controls en IEC 62443. Het raamwerk dient als de primaire route van België om aan te tonen dat het voldoet aan NIS2.
Is CyFun verplicht voor alle Belgische bedrijven?
Niet direct. CyFun (of gelijkwaardige ISO 27001-certificering) is verplicht voor organisaties die onder de Belgische NIS2-wetgeving vallen als essentiële of belangrijke entiteiten. Dit zijn organisaties in 18 aangewezen sectoren die voldoen aan drempels van 50 of meer werknemers of een jaarlijkse omzet van meer dan 10 miljoen euro. Het rimpeleffect is echter breder. NIS2-entiteiten zijn verplicht om de beveiliging in hun hele toeleveringsketen te beoordelen, wat betekent dat leveranciers en servicepartners in toenemende mate worden geconfronteerd met CyFun-eisen via contractuele verplichtingen, zelfs als ze niet rechtstreeks onder het toepassingsgebied vallen.
Wat is het verschil tussen CyFun en ISO 27001?
Beide worden door het CCB geaccepteerd als bewijs van NIS2-compliance. CyFun is speciaal ontwikkeld voor de Belgische context, is gratis te gebruiken en biedt een gestructureerde zelfbeoordelingstool met duidelijke maturiteitsscores. ISO 27001 is een internationale norm die een formele certificering door een geaccrediteerde instantie vereist, wat duurder en tijdrovender is. Voor organisaties in het middensegment van de markt zonder bestaande ISO-certificering is CyFun meestal de snellere en meer kosteneffectieve weg. De CCB biedt documenten die laten zien hoe de twee raamwerken op elkaar aansluiten. Voor een gedetailleerde uitsplitsing per controle, zie onze volledige NIS2 compliance checklist.
Kan een SASE platform helpen bij CyFun compliance?
Ja. Een verenigd SASE-platform zoals Jimber genereert het bewijs voor toegangscontrole, bewijs voor netwerksegmentatie en gecentraliseerde logging dat de Protect- en Detect-functies van CyFun vereisen. In plaats van bewijs uit vijf afzonderlijke tools te halen, exporteert u het vanuit één console met consistente opmaak en gecorreleerde gebeurtenisgegevens. CRACy brengt uw configuratie in kaart met specifieke CyFun-controles en laat zien aan welke eisen uw huidige opstelling al voldoet en waar er nog hiaten zijn. Dit vervangt niet de zelfevaluatie zelf, maar het vermindert de inspanning voor het verzamelen van bewijsmateriaal drastisch.
Wat gebeurt er als ik de deadline van april 2026 mis?
De CCB kan administratieve boetes en bindende instructies opleggen. Voor essentiële entiteiten kunnen de boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten is het maximum 7 miljoen euro of 1,4% van de omzet. Naast financiële sancties kan de CCB certificeringen of autorisaties tijdelijk opschorten, tekortkomingen in de naleving openbaar maken en in geval van herhaalde nalatigheid personen tijdelijk verbieden managementfuncties uit te oefenen. De boete verdubbelt bij herhaalde overtredingen binnen drie jaar.
Hoe lang duurt het om je voor te bereiden op een CyFun-beoordeling?
Het hangt af van je startpunt en je beveiligingsarchitectuur. Met een geconsolideerd beveiligingsplatform dat logging, toegangscontrole en beleidsbeheer centraliseert, duurt de voorbereiding voor het basisniveau meestal weken. Met gefragmenteerde tools en handmatige correlatie van bewijs duurt het maanden. De grootste tijdsinvestering is meestal niet de technische controles zelf, maar de governancedocumentatie: het schrijven van het cyberbeveiligingsbeleid, het formaliseren van risicobeoordelingen en het documenteren van incidentresponsprocedures. Begin met Beheren en Identificeren. Het technische bewijs volgt.
De deadline is nog weken weg. Als je nog niet begonnen bent met je CyFun self-assessment, is het nu tijd om te beginnen. Het SASE-platform van Jimber biedt de gecentraliseerde toegangslogs, segmentatiegegevens en apparaatstatus die de Protect- en Detect-functies van CyFun nodig hebben, allemaal vanuit één console. De CRACy-tool brengt uw huidige configuratie in kaart ten opzichte van de CyFun-controles, zodat u precies kunt zien waar u staat. Begin met onze volledige NIS2 compliance checklist om de controles te begrijpen en boek dan een demo om te zien hoe platformconsolidatie de voorbereiding van een assessment verandert van een maandenlang project in een beheersbare taak.
