FAQ & Feedback

Das CyberFundamentals Framework definiert drei Sicherheitsstufen:

• Basic − diese Sicherheitsstufe umfasst die Standardmaßnahmen zur Informationssicherheit für alle Unternehmen.
• Important – diese Sicherheitsstufe wurde entwickelt, um die Risiken gezielter Cyberangriffe durch Akteure mit gängigen Fähigkeiten und Ressourcen zusätzlich zu den bekannten Cybersicherheitsrisiken zu minimieren.
• Essential – diese Sicherheitsstufe geht noch einen Schritt weiter und wurde entwickelt, um das Risiko fortgeschrittener Cyberangriffe durch Akteure mit umfangreichen Fähigkeiten und Ressourcen zu adressieren.

Jede Stufe baut auf der vorhergehenden auf, wobei die Erwartungen in Bezug auf Kontrollen, Governance und Resilienz steigen.

Darüber hinaus gibt es einen Fragebogen und einen Leitfaden für die Stufe „small“. Diese Tools sind für Mikro-Organisationen oder Organisationen mit begrenzten technischen Kenntnissen gedacht.

Die Einstufung einer Organisation in eine bestimmte Sicherheitsstufe basiert auf der Durchführung einer Risikobewertung. Die Risikobewertung und die Festlegung des angemessenen Sicherheitsniveaus fallen in die Zuständigkeit der nationalen Behörden. Weitere Informationen finden Sie auf der nationalen „Über“-Seite.

Ja, dieses Framework besteht aus einem strukturierten dreistufigen Prozess, wobei jeder Schritt für die Erreichung und Aufrechterhaltung solider Cybersicherheitsstandards wesentlich ist. Der erste Schritt ist eine Risikobewertung, um das Sicherheitsniveau Ihrer Organisation zu bestimmen. Dann folgt eine Selbstbewertung, um zu überprüfen, wie gut Ihre Organisation die erforderlichen Cybersicherheitsmaßnahmen für ihre gewählte Sicherheitsstufe umgesetzt hat. Der letzte, optionale Schritt ist die Beantragung einer Verifizierung oder Zertifizierung durch eine akkreditierte Konformitätsbewertungsstelle.

Diese Anforderungen stellen eine zentrale Cybersicherheitskontrolle dar, die Organisationen im Rahmen ihrer Sicherheitsstufe umsetzen müssen.

Die Wahl der richtigen Reifegradstufe kann anfangs eine Herausforderung darstellen. Deshalb haben wir eine zusätzliche Anleitung erstellt, um Sie bei diesem Prozess zu unterstützen. Dieses Dokument enthält zum einen eine allgemeine Erläuterung der verschiedenen Reifegrade. Andererseits haben wir für jede Schlüsselmaßnahme einen Anwendungsfall beigefügt, der genauer erklärt, welche Stufe in welcher Situation gilt.

Eine Aktualisierung von CyFun® 2023 war erforderlich, um mit dem NIST Cybersecurity Framework (CSF) 2.0 im Einklang zu bleiben und relevante europäische Rechtsvorschriften wie NIS2 zu berücksichtigen.

Die neue Version von CyFun® wurde in der zweiten Hälfte des Jahres 2025 veröffentlicht. Sie:

• Ist abgestimmt auf das NIST Cybersecurity Framework (CSF) 2.0 und die relevanten europäischen Rechtsvorschriften (z. B. NIS2).
• Berücksichtigt die jüngsten Entwicklungen im Bereich der Informations- und Cybersicherheit.
• Integriert das Benutzerfeedback von CyFun®2023.
• Erweitert den Fokus auf die Sicherheit der Lieferkette und die Betriebstechnologie (OT).
• Formuliert Kontrollen und Richtlinien neu, um die Klarheit und Überprüfbarkeit zu verbessern.
• Fügt zu jeder Kontrolle ein spezifisches Ziel hinzu, um das Verständnis zu verbessern.
• Bietet eine umfassendere Anleitung zur Auslegung der Anforderungen.
• Führt „Governance-Maßnahmen“ ein, um sich an globale Best Practices für die Cybersicherheitsüberwachung auf Vorstandsebene anzugleichen.
• Korrigiert grammatikalische, orthographische und redaktionelle Fehler.

Die BELAC-Übergangsregelung wurde in Absprache mit der belgischen Zertifizierungsstelle (NCCA) des Zentrums für Cybersicherheit Belgien (ZCB) ausgearbeitet und berücksichtigt die spezifische Anwendung von CyFun® bei der Feststellung der Konformität mit der belgischen NIS2-Gesetzgebung.

Wichtige Punkte der Übergangsregelung

· Verifizierung- und Zertifizierungsstellen (VBs und CBs) müssen bis spätestens 18. April 2027 eine Akkreditierung für die Verifizierung oder Zertifizierung nach CyFun® 2025 erhalten.

· CyFun®2023 und CyFun®2025 werden bis zum 18. April 2027 weiterhin nebeneinander bestehen, und Einrichtungen können bis dahin wählen, welche Version von CyFun® sie anwenden möchten.

· Verifizierung- und Zertifizierungsstellen (VBs und CBs) haben die Möglichkeit, bis spätestens 18. April 2027 Verifizierung oder Zertifizierung nach CyFun®2023 durchzuführen. Verifizierungserklärungen und Zertifikate nach CyFun®2023 sind bis spätestens 18. April 2028 gültig.

Weitere Informationen finden Sie hier.

Eine Transposition ist hier zu finden.

Das CyFun®2025 Framework verzichtet bewusst darauf, KI als eigene Funktion oder Kategorie in sein Kernmodell aufzunehmen. Dieser Ansatz entspricht der im NIST Cybersecurity Framework 2.0 verwendeten Methodik. 
Die Hauptgründe sind:
 

1. KI wird durch zusätzliche Profile und Overlays angesprochen
Das CyFun® 2025 Framework ermöglicht die Entwicklung von spezifischen Profilen oder sektoralen Erweiterungen für Bereiche wie KI. Dadurch können Organisationen, die KI-Systeme entwickeln oder einsetzen, gezielte Richtlinien befolgen, ohne das grundlegende Framework zu ändern.

2. Vermeidung von Duplizierung bestehender Kontrollen
Viele der für KI erforderlichen Sicherheitsmaßnahmen werden bereits durch bestehende CyFun® 2025-Kontrollen abgedeckt. Um Redundanzen zu vermeiden, werden KI-bezogene Risiken durch etablierte Grundsätze wie Risikomanagement, Governance und Reaktion auf Vorfälle verwaltet.

3. Anwendungsfallbezogener Ansatz
KI birgt je nach Anwendung einzigartige Risiken (z. B. generative KI, maschinelles Lernen in kritischen Infrastrukturen). Das CyFun® 2025 Framework unterstützt einen verhältnismäßigen und kontextabhängigen Ansatz, der es Organisationen ermöglicht, auf der Grundlage ihrer spezifischen Nutzung von KI zu bestimmen, welche zusätzlichen Sicherheitsmaßnahmen erforderlich sind.

4. Zukunftsorientierte Flexibilität
Das Framework ist so konzipiert, dass er mit den technologischen Entwicklungen Schritt halten kann. KI kann in Zukunft durch neue Profile oder nationale Richtlinien weiter integriert werden, je nach den Bedürfnissen der belgischen Organisationen und den belgischen und europäischen Gesetze und Vorschriften.

ANMERKUNG

🔹 Was sind Profile?

Ein Profil ist eine Anwendung des Frameworks auf einen bestimmten Sektor, eine Organisation oder eine Technologie. Es hilft dabei, die allgemeinen Grundsätze des Frameworks in konkrete Maßnahmen umzusetzen, die für die jeweilige Situation geeignet sind:

· eine bestimmte Art von Organisation (z. B. ein Krankenhaus, eine Bank, eine Regierungsbehörde),

· eine bestimmte Technologie (z. B. Cloud, KI, OT),

· oder ein bestimmter Risikokontext (z. B. kritische Infrastrukturen, datenschutzsensible Daten).

Beispiel: Ein KI-Profil in CyFun® 2025 würde aufzeigen, welche bestehenden Kontrollen für KI-Systeme relevant sind und welche zusätzlichen Maßnahmen für sichere und verantwortungsvolle KI-Anwendungen erforderlich sind.

🔹 Was sind Overlays?

Ein Overlay ist eine Ebene, die über dem Framework liegt und zusätzliche Richtlinien oder Anpassungen für eine bestimmte Situation bereitstellt. Es ist enger gefasst als ein Profil und konzentriert sich häufig auf technische oder rechtliche Anforderungen.

Beispiel: Ein Overlay für generative KI könnte aufzeigen, wie die bestehenden CyFun® 2025-Kontrollen angepasst werden sollten, um Risiken wie Deepfakes, halluzinogene Modelle oder Urheberrechtsfragen zu handhaben.

Zusammengefasst:

· Profile = Anwendung des Frameworks auf einen bestimmten Kontext.

· Overlays = eine zusätzliche Ebene mit Leitlinien für bestimmte Risiken oder Technologien.

Beide stellen sicher, dass das Framework flexibel und erweiterbar bleibt, ohne dass die Kernprinzipien ständig angepasst werden müssen.

Das CyberFundamentals Framework ist ursprünglich ein belgisches Rahmenwerk, das vom Centre for Cybersecurity Belgium (CCB) entwickelt wurde, aber so aufgebaut ist, dass es auf europäischer Ebene anerkannt werden kann. Ein Prozess, der jetzt von BELAC eingeleitet wurde. Derzeit wurde CyFun® nur in Belgien gesetzlich registriert, um bis zum Beweis des Gegenteils davon ausgehen zu können, dass die Einrichtung ihre NIS2-Cybersicherheitsverpflichtungen erfüllt (Konformitätsvermutung). Inzwischen wurde das Framework von Malta, Rumänien und Irland formell eingeführt. Wie es bei der operativen Einführung von NIS2 eingesetzt werden soll, wird dort derzeit erarbeitet. Auch andere europäische Länder erkennen den Wert von CyFun® (darunter Frankreich) und prüfen, wie sie dieses Framework anerkennen oder sogar vollständig übernehmen können.

Das CCB verwaltet das Framework und alle mit dem Programm verbundenen Dokumente als primärer Programmeigentümer. Dies ist in einem formellen Verfahren enthalten, das die Einführung von CyFun® in anderen europäischen Ländern ermöglicht.

Das CyFun®® Framework ist eine eingetragene Marke des CCB. 

Die Verwendung des Akronyms „CyFun®“ und/oder von Teilen dieses Dokuments ist gestattet, sofern die Quelle deutlich angegeben wird.

Jede kommerzielle Nutzung von CyFun®® unterliegt einer vorherigen Vereinbarung mit dem CCB. Bitte kontaktieren Sie die Rechtsabteilung des CCB, wenn Sie Interesse an der Wiederverwendung des Frameworks haben.