De deadline van april 2026 is verstreken. Belgische organisaties die zijn geclassificeerd als essentiële of belangrijke entiteiten onder NIS2 bereiden zich niet langer voor op audits. Ze zitten ze uit. Het Centre for Cybersecurity Belgium (CCB) is overgestapt van adviserende ondersteuning naar actieve handhaving en geaccrediteerde conformiteitsbeoordelingsinstanties (CAB’s) zijn overal in het land aanwezig en vragen om bewijspakketten die veel IT-teams nog aan het samenstellen zijn. Het CyberFundamentals (CyFun)-raamwerk vormt de ruggengraat van de compliance. Als uw organisatie nog geen externe verificatie heeft ondergaan, tikt de klok niet meer. Die is gestopt.
Deze gids beschrijft wat het conformiteitsbeoordelingsproces inhoudt: wie je controleert, wat ze vragen, hoe lang het duurt, wat het kost en waar de meeste Belgische organisaties in het middensegment tekortschieten.
Wat is een CCB-conformiteitsbeoordeling?
Een CCB-conformiteitsbeoordeling is een formele evaluatie door een onafhankelijke, BELAC-geaccrediteerde instantie die nagaat of een Belgische organisatie voldoet aan de beveiligingsvereisten van het CyberFundamentals (CyFun)-raamwerk. Het is van toepassing op entiteiten die onder NIS2 op het niveau Belangrijk of Essentieel vallen. De beoordeling resulteert in een verificatieverklaring of certificering die dient als wettelijk bewijs van naleving. Eigen verklaringen zijn niet langer voldoende voor deze niveaus. De beoordeling heeft betrekking op technische controles, bestuursprocessen en gedocumenteerd bewijs van lopende beveiligingsactiviteiten, die allemaal zijn gekoppeld aan de controledomeinen van CyFun.
De structuur van het CyFun-kader in 2026
Het CyberFundamentals-kader is de Belgische nationale vertaling van NIS2 in meetbare controles. Het is gebaseerd op ISO 27001, NIST CSF en de CIS Critical Security Controls, gestructureerd in vier garantieniveaus die schalen met het organisatierisico.
| CyFun-niveau | Doelgroep | Nalevingstraject | Externe vereiste |
|---|---|---|---|
| Klein | Kleine bedrijven, laag risico | Zelfbeoordeling | Geen (optioneel label) |
| Basis | MKB, startersniveau essentieel | Verificatie (ISO 17029) | Vereist voor bewijs |
| Belangrijk | Middenmarkt, belangrijke entiteiten | Verificatie (ISO 17029) | Verplicht |
| Essentieel | Systemische, essentiële entiteiten | Certificering (ISO 17021-1) | Volledige certificering in 2027 |
Het niveau Belangrijk vereist verificatie volgens ISO/IEC 17029. Het Essentiële niveau vereist volledige certificering van het managementsysteem volgens ISO/IEC 17021-1. Dit onderscheid bepaalt zowel het vereiste bewijs als de kwalificaties waarover uw auditor moet beschikken.
De CyFun zelfevaluatiegids behandelt de niveaus Klein en Basis in detail. Dit artikel richt zich op externe verificatie voor belangrijke en essentiële entiteiten.
De CyFun-update van 2025 heeft de focus aangescherpt op de beveiliging van de toeleveringsketen en verantwoordingsplicht op bestuursniveau. Bestuurders moeten actief deelnemen aan het toezicht op en de training van cyberbeveiliging, en niet alleen budgetten goedkeuren.
Wie controleert u en hoe kiest u een OBO?
De keuze van een overeenstemmingsbeoordelingsinstantie is een strategische beslissing. Een OBO moet zowel geaccrediteerd zijn door BELAC (of een gelijkwaardige nationale instantie onder EA wederzijdse erkenning) als specifiek geautoriseerd zijn door het CCB voor NIS2-audits. Niet alle OBO’s zijn bevoegd voor alle CyFun-niveaus.
De Big Four (Deloitte België, KPMG België, PwC België, EY België) zijn geschikt voor grote multinationals of organisaties die CyFun combineren met ISO 27001. Voor middelgrote organisaties met 50 tot 250 werknemers bieden gespecialiseerde instanties zoals Brand Compliance, Bureau Veritas België en Vinçotte diepere CyFun-expertise en meer voorspelbare tijdlijnen.
| CAB (voorbeelden, 2026) | Focus | Accreditatie | Reikwijdte vergunning |
|---|---|---|---|
| Merk naleving | Antwerpen, middenmarkt | BELAC | CyFun Basis/Belangrijk |
| Bureau Veritas België | Antwerpen, wereldwijd | BELAC | ISO 27001/NIS2 |
| Vinçotte | Vilvoorde, technisch | BELAC | ISO 27001/CyFun |
| KPMG Certificering | Zaventem, onderneming | BELAC | ISO 27001/NIS2 |
| DQS België | Brussel, normen | DAkkS | ISO 27001/NIS2 |
| EY CertifyPoint | Rotterdam, digitaal | RvA | ISO 27001/NIS2 |
Vraag ten minste drie offertes aan. Vraag specifiek naar ervaring met de CyFun 2025-update en bekendheid met jouw sector. De inspectiedienst van het CCB past sectorspecifieke risicobeoordelingen toe, dus een auditor die uw sector begrijpt, identificeert eerder praktische leemten dan theoretische.
De audittijdlijn in de praktijk
De meeste Belgische organisaties in het middensegment onderschatten de tijd die een conformiteitsbeoordeling in beslag neemt. Het CCB-onderzoek vermeldt een minimum van 1,5 mandagen voor een basisverificatie, maar de realiteit voor een organisatie van 200 personen ligt aanzienlijk hoger.
| Auditfase | Duur | Focus |
|---|---|---|
| Interne voorbereiding | 6-9 maanden | Analyse van hiaten, opstellen van beleid, verzamelen van bewijsmateriaal |
| CAB scoping | 1 maand | Contractuele overeenkomst, bepalen reikwijdte audit |
| Fase 1: documentatiebeoordeling | 1-3 dagen | Verifiëren van beleid aan de hand van CyFun-vereisten |
| Fase 2: audit ter plaatse | 5-10 dagen | Testen van controles, interviews, systeeminspecties |
| Rapportage en beoordeling | 2-4 weken | Opstellen accountant, onafhankelijke beoordeling, CCB-indiening |
| Sanering (indien nodig) | 3-6 maanden | Niet-conformiteiten herstellen |
De voorbereidingsfase neemt de meeste tijd in beslag. Organisaties maken een analyse van de hiaten ten opzichte van de CyFun-controles, stellen ontbrekende beleidsregels op en stellen bewijspakketten samen. Servicepartners die tijdens deze fase proefaudits uitvoeren, verkorten consequent de duur van de on-site audit door problemen te signaleren voordat de officiële auditors arriveren.
De on-site fase omvat het verifiëren van de fysieke beveiliging, het interviewen van belangrijk personeel en het aanvragen van live demonstraties van controles. Voor organisaties met meerdere locaties of OT-omgevingen kan het on-site gedeelte alleen al oplopen tot 10 dagen.
Organisaties die het SASE-platform van Jimber gebruiken, hoeven tijdens de voorbereiding minder bewijsmateriaal te verzamelen. Gecentraliseerde logging, op identiteit gebaseerde toegangsregistraties en apparaatstatusrapporten worden vanuit één console geëxporteerd, in plaats van dat ze handmatig uit afzonderlijke tools moeten worden samengesteld.
Remediation is de fase die de meeste organisaties over het hoofd zien bij het plannen van tijdlijnen. Als een auditor non-conformiteiten vaststelt, krijgt u een specifieke periode om deze aan te pakken voordat een definitieve verificatieverklaring kan worden afgegeven. Voor essentiële entiteiten kan het missen van saneringstermijnen leiden tot toezichtmaatregelen van de inspectiedienst van het CCB.
Welk bewijs auditors eigenlijk opvragen
Auditors in 2026 zoeken naar “substantieel bewijs gevalideerd door het management”. Beleidsdocumenten alleen zijn onvoldoende. De organisatie moet bewijzen dat het beleid actief is, wordt gehandhaafd en regelmatig wordt herzien. Het CCB instrueert inspecteurs om zich te richten op “belangrijke maatregelen” die zijn afgeleid van feitelijke Belgische aanvalspatronen.
De top tien van bewijstypes die worden opgevraagd tijdens CyFun belangrijke of essentiële audits:
1. Door het management gevalideerd beveiligingsraamwerk. Door de raad van bestuur goedgekeurde strategie voor cyberbeveiliging en documentatie over risicobeheer. Bewijs dat bestuurders de risicopositie van de organisatie hebben beoordeeld, goedgekeurd en begrijpen.
2. Verklaring van Toepasselijkheid (SoA). Een uitgebreide lijst van alle geïmplementeerde controles, hun volwassenheidsniveau (1-5) en bewijs van effectiviteit.
3. Inventaris van activa. Een volledige, actuele lijst van IT- en OT-activa, inclusief cloudservices, IoT-apparaten en mobiele hardware, met een duidelijke eigendomsstructuur en classificatie. Dit is waar veel organisaties in het middensegment als eerste falen. Platforms zoals Jimber, die ook verificatie van de apparaatstatus omvatten, onderhouden een live activaregister als bijproduct van de normale werkzaamheden, in plaats van een aparte handmatige inventarisatie.
4. Netwerkarchitectuur en segmentatiebewijs. Diagrammen en configuratielogboeken die aantonen dat kritieke systemen geïsoleerd zijn van algemene kantoornetwerken.
5. Toegangscontrole en identiteitsregistraties. Documentatie over het toetredings- en uittredingsproces, bewijs van MFA-handhaving en regelmatige controles van bevoorrechte toegang.
6. Logboeken voor incidentdetectie en -respons. Bewijs van operationele monitoring en gedocumenteerde playbooks voor specifieke bedreigingen.
7. Contracten met leveranciers en derden. Beveiligingsvereisten die worden opgelegd en gecontroleerd voor kritieke dienstverleners, inclusief clausules voor auditrechten en kennisgeving van incidenten.
8. Logboeken voor kwetsbaarheidsbeheer en patching. Regelmatig scanbewijs en bewijs dat kritieke kwetsbaarheden binnen vastgestelde tijdlijnen worden gepatcht.
9. Testresultaten van bedrijfscontinuïteit en back-up. Gedocumenteerd bewijs dat back-ups zijn beschermd tegen ransomware en zijn getest op herstel.
10. Gegevens over cyberbeveiligingstraining. Deelnamelogboeken waaruit blijkt dat alle medewerkers, inclusief het hogere management, verplichte training hebben gevolgd.
Auditors vragen vaak om “live bewijs” tijdens de on-site fase: ze vragen een beheerder om een beleid in actie te demonstreren, of ze vragen om een willekeurig logvoorbeeld van een specifieke datum. Organisaties die beveiliging via een uniform SASE-platform uitvoeren, produceren dit bewijs aanzienlijk sneller dan organisaties die logs in meerdere tools correleren.
Veel voorkomende lacunes in Belgische organisaties in het middensegment van de markt
Onderzoek naar de auditcyclus van 2026 toont aan dat ruwweg 84% van de Belgische organisaties die te maken kregen met actieve handhaving, niet volledig voorbereid waren op externe verificatie. Het gebrek aan paraatheid heeft zelden te maken met ontbrekende beveiligingstools. Het gaat om gefragmenteerde processen en een gebrek aan geïntegreerde documentatie.
Documentatie van de toeleveringsketen. De meest voorkomende tekortkoming die auditors vaststellen. Organisaties kunnen veilige interne systemen hebben, maar verzuimen te documenteren hoe ze de beveiliging van hun servicepartners, softwareleveranciers of cloudproviders bewaken. Artikel 21 van NIS2 vereist aantoonbare beveiligingsverwachtingen voor uw toeleveringsketen. Bijgewerkte DPA’s en beveiligingsbijlagen in contracten met leveranciers zijn het minimum.
Verouderde incidentbestrijdingsplannen. Veel organisaties hebben een algemeen responsbeleid, maar missen de specifieke, geteste draaiboeken die nodig zijn om te voldoen aan de 24-uurs en 72-uurs NIS2-rapportagevensters. Plannen die de afgelopen 12 maanden niet zijn geoefend, scoren slecht.
Onvolledige ontdekking van OT-activa. Printers, IoT-sensoren, gebouwbeheersystemen en industriële apparatuur waarop geen beveiligingsagenten kunnen draaien, blijven de meest voorkomende blinde vlekken. Auditors controleren de inventaris van bedrijfsmiddelen aan de hand van wat ze op het netwerk waarnemen. De NIAC-hardware van Jimber biedt een gedocumenteerde IT-OT brug voor agentloze apparaten en dicht dit gat met verifieerbaar isolatiebewijs.
Lacunes in MFB op administratieve tools. Organisaties met MFA op externe applicaties hebben vaak geen handhaving op interne administratieve consoles en infrastructuurtools. Auditors controleren dit specifiek.
Ongetest herstel van back-ups. Het hebben van back-ups is niet genoeg. Auditors vragen om getest herstelbewijs met gedocumenteerde resultaten. Driemaandelijkse hersteloefeningen voor kritieke applicaties zijn de verwachte standaard.
Tegenstrijdigheden in logboekbehoud. De CCB verwacht minimaal zes maanden bewaarde logbestanden voor forensische doeleinden. Veel organisaties bewaren niet alle tools even lang, waardoor er hiaten ontstaan die auditors onmiddellijk opmerken. Gecentraliseerde logging via een SASE-platform zoals Jimber elimineert deze inconsistentie.
Ontkoppeling van bestuur. Volgens artikel 20 van de NIS2 zijn bestuursorganen persoonlijk verantwoordelijk. Auditors zoeken naar bewijs dat het bestuur actief betrokken is bij risicobeslissingen en niet alleen jaarverslagen goedkeurt.
De kosten van CyFun-certificering
De kosten om CyFun-conformiteit te bereiken variëren naargelang de complexiteit van de organisatie en het beoogde garantieniveau. Voor de meeste Belgische organisaties in het middensegment is de CyFun-route toegankelijker en goedkoper dan een volledige ISO 27001-certificering.
| Budget item | CyFun (Basis/Belangrijk) | ISO 27001 (vergelijkbare reikwijdte) |
|---|---|---|
| Interne implementatie | 5.000-30.000 EUR | 15.000-60.000 EUR |
| Accountantskosten (verificatie/certificering) | EUR 1.000-15.000 | EUR 5.000-25.000 |
| Jaarlijks onderhoud/bewaking | EUR 500-5.000 | EUR 2.000-10.000 |
| Totale geschatte TCO over 3 jaar | 10.000-60.000 EUR | EUR 30.000-120.000 |
Directe kosten omvatten de honoraria van het OBO voor de audit zelf. Indirecte kosten, waaronder interne voorbereiding, het opstellen van documentatie en externe consultancy voor gap-analyses, vormen het grootste deel. Voor veel Belgische organisaties kunnen VLAIO-subsidies deze voorbereidingskosten gedeeltelijk compenseren.
De belangrijkste variabele is herstel. Als je huidige infrastructuur vereisten zoals gecentraliseerde logging, netwerksegmentatie of identiteitsgebaseerde toegang niet kan ondersteunen, komen de kosten van nieuwe technologie aanzienlijk hoger te liggen. Dit is waar geconsolideerde platforms meetbare besparingen opleveren. Een enkel SASE-platform dat toegangscontrole, webbeveiliging, netwerksegmentatie en logging omvat, lost meerdere CyFun-vereisten op door middel van één investering, in plaats van vier of vijf afzonderlijke aankopen. De SASE architectuurgids legt uit hoe deze componenten integreren.
Gevolgen van een mislukte audit
Een mislukte CyFun-audit of een CCB-inspectie die een aanzienlijke niet-naleving aan het licht brengt, heeft meer gevolgen dan alleen boetes. Het overzicht van de NIS2-naleving 2026 omvat het volledige handhavingskader. De impact is financieel, operationeel en reputatief.
De Belgische NIS2-wet voert administratieve maatregelen en boetes in. Essentiële entiteiten kunnen boetes krijgen tot 10 miljoen euro of 2% van hun wereldwijde jaaromzet. Voor belangrijke entiteiten kan de boete oplopen tot 7 miljoen euro of 1,4%. De CCB geeft voorrang aan herstel boven boetes, maar onmiddellijke risico’s zijn onder andere de opschorting van verificatieverklaringen en de diskwalificatie van organisaties voor overheidsaanbestedingen en contracten in de toeleveringsketen.
Krachtens artikel 20 van de NIS2 kunnen leden van het bestuursorgaan persoonlijk aansprakelijk worden gesteld en tijdelijk worden uitgesloten van bestuursfuncties. Het “Active Cyber Protection”-programma van de CCB betekent dat de toezichthouder al op de hoogte is van veel kwetsbaarheden door zijn eigen scans. Als er geen actie wordt ondernomen naar aanleiding van waarschuwingen vóór een audit, wordt dit gezien als een gebrek aan zorgvuldigheid.
De AZ Monica ransomware-aanval in januari 2026 toonde aan wat er gebeurt als Belgische zorgorganisaties tegelijkertijd worden geconfronteerd met een cyberincident en regelgevende controle. De operationele gevolgen van een slechte voorbereiding reiken veel verder dan boetes.
Hoe SASE controle-informatie vereenvoudigt
Een Secure Access Service Edge (SASE) platform richt zich direct op een aantal van de moeilijkste vereisten voor het verzamelen van bewijs in het CyFun framework. Door identiteitsgebaseerde toegang, apparaatposture checks, webbeveiliging en gecentraliseerde logging te integreren in één cloud-native architectuur, vermindert het de handmatige inspanning die auditvoorbereiding zo tijdrovend maakt voor teams in het middensegment van de markt.
| SASE-vermogen | CyFun/NIS2 bewijsmateriaal in kaart brengen | Audit voordeel |
|---|---|---|
| Gecentraliseerde registratie | Artikel 21 (detectie en reactie) | Exporteren van toegangslogs met één muisklik, 6+ maanden bewaring |
| Toegang op basis van identiteit | CyFun-toegangscontroledomein | Bewijs van least privilege op app-niveau per gebruiker |
| Apparaat houdingscontroles | CyFun vermogensbeheerdomein | Bewijs dat alleen veilige, bekende apparaten verbinding maken |
| NIAC-hardware-isolatie | CyFun netwerkbeveiligingsdomein | Gedocumenteerde IT-OT brug voor agentloze fabrieksmiddelen |
| Export via één console | Governance en controleerbaarheid | Vermindert de tijd die een auditor ter plaatse doorbrengt |
| Europees verblijf van gegevens | GDPR overlap met CyFun | Gegevens blijven onder EU jurisdictie |
De SASE-architectuur van Jimber sluit direct aan op deze bewijsbehoeften. Gecentraliseerde logging biedt de enige bron van waarheid voor alle toegangspogingen die NIS2 Artikel 21 vereist, zonder dat een aparte SIEM hoeft te worden ingezet. Identiteitsgebaseerde toegang demonstreert least-privilege handhaving op applicatieniveau. Voor organisaties met industriële activiteiten biedt NIAC-hardware fysiek, controleerbaar bewijs van IT-OT isolatie.
Europese vestiging van gegevens is belangrijk bij audits. Controleurs die de toeleveringsketen van uw leveranciers evalueren, vinden minder open vragen wanneer uw beveiligingsplatform volgens het ontwerp onder de jurisdictie van de EU valt. Servicepartners die Belgische klanten door de verificatie begeleiden, melden dat een lokaal afgestemde toolset zowel de voorbereidingstijd als de auditfrictie vermindert.
De NIS2-nalevingschecklist brengt deze controles in kaart met de volledige reeks CCB-verwachtingen, inclusief de vereisten voor toegangscontrole en toeleveringsketen waar de meeste organisaties in het middensegment tegenaan lopen.
Veelgestelde vragen
Wat is een CCB-conformiteitsbeoordeling?
Een CCB-conformiteitsbeoordeling is een formeel proces waarbij een onafhankelijke, BELAC-geaccrediteerde Conformiteitsbeoordelingsinstantie verifieert dat een Belgische organisatie de beveiligingscontroles heeft geïmplementeerd die worden vereist door het CyberFundamentals (CyFun)-raamwerk. Het is de primaire route voor belangrijke en essentiële entiteiten om NIS2-conformiteit aan te tonen en een CyFun-label of -certificaat te ontvangen.
Welk CyFun-niveau heeft mijn organisatie nodig?
Uw niveau hangt af van uw NIS2-classificatie. Essentiële entiteiten in bijlage I-sectoren (energie, gezondheidszorg, vervoer, digitale infrastructuur) moeten worden geverifieerd op het niveau Belangrijk of Essentieel. Belangrijke entiteiten in bijlage II-sectoren richten zich op het niveau Belangrijk. Veel organisaties beginnen met Basic als een eerste mijlpaal voor de deadline van 2027.
Hoe lang duurt een CyFun-audit?
Voor een organisatie van 200 personen duurt de voorbereiding 6 tot 12 maanden. De formele audit omvat 1 tot 3 dagen documentatiecontrole en 5 tot 10 dagen verificatie ter plaatse, afhankelijk van de complexiteit van de IT- en OT-omgevingen. Het herstellen van non-conformiteiten kan 3 tot 6 maanden in beslag nemen.
Wat kost een CyFun-audit voor een middelgrote Belgische organisatie?
De totale eigendomskosten voor een driejarige CyFun-cyclus variëren van 10.000 tot 60.000 euro. Dit omvat de kosten voor de CAB-verificatie (1.000-15.000 euro), interne implementatiekosten en doorlopend onderhoud. VLAIO-subsidies kunnen een deel van de voorbereidingskosten compenseren voor organisaties die hiervoor in aanmerking komen.
Kunnen SASE-platforms helpen met CyFun-compliance?
SASE-platforms beantwoorden direct aan verschillende auditvereisten van CyFun door gecentraliseerde logging voor detectiebewijs, identiteitsgebaseerde toegang voor bewijs met de laagste privileges, apparaatstatusrapporten voor vermogensbeheer en netwerkisolatie voor segmentatiebewijs. Een enkele console export vermindert het handmatig verzamelen van bewijsmateriaal dat het grootste deel van de voorbereidingstijd in beslag neemt.
Wat gebeurt er als mijn organisatie niet slaagt voor een CyFun-audit?
Een verzuim kan leiden tot administratieve boetes (tot 10 miljoen euro voor essentiële entiteiten), verlies van CyFun-labels en uitsluiting van contracten voor de toeleveringsketen. Volgens de Belgische NIS2-wet kunnen leden van beheersorganen persoonlijk aansprakelijk worden gesteld en tijdelijk uit hun functie worden ontheven als ze verzuimen gedocumenteerde tekortkomingen in de beveiliging aan te pakken.
Belgische organisaties die de CyFun conformiteitsbeoordeling behandelen als een oefening in operationele verbetering en niet als een checkbox voor naleving, rapporteren betere resultaten. De organisaties die het snelst vooruitgaan, zijn de organisaties die hun beveiligingsstapel vóór de audit hebben geconsolideerd, waardoor zowel de tijd die nodig is voor het verzamelen van bewijsmateriaal als het aantal hiaten dat auditors vinden, wordt teruggebracht. Als je team zich voorbereidt op een externe verificatie of klanten helpt bij het doorlopen van het proces, boek dan een Jimber-demo om te zien hoe een enkele SASE-console kan worden gekoppeld aan het bewijs waar je CAB om zal vragen.
