CyFun® 2025 is er!

We zijn verheugd te kunnen melden dat de nieuwe versie van het CyberFundamentals Framework, CyFun® 2025, nu officieel beschikbaar is. Deze bijgewerkte versie helpt organisaties hun cyberbeveiliging te verbeteren in de snel veranderende digitale wereld van vandaag.

Infographic of the “CyberFundamentals Framework 2025.” On the left, four nested circles represent the security levels: SMALL (non-technical guidelines), BASIC (34 controls), IMPORTANT (99 controls), and ESSENTIAL (85 controls). On the right, a cloud graphic displays references to NIST CSF 2.0, CIS Controls, ISO 27001/27002, and IEC 62443. Below the cloud, a blue box shows reported attack-countering effectiveness: ESSENTIAL 100%, IMPORTANT 94%, BASIC 82%. At the bottom, logos of the Centre for Cybersecurity

Wat is er nieuw?

CyFun® 2025 is ontwikkeld om te voldoen aan internationale normen zoals het NIST Cybersecurity Framework 2.0 en nationale en Europese wet- en regelgeving, zoals de Europese NIS2-richtlijn. Het bevat de nieuwste kennis en best practices op het gebied van cyberbeveiliging.

In 2025 hebben meer dan 80 deskundigen en organisaties geholpen bij het beoordelen van het eerste ontwerp. Dankzij hun feedback is het kader begrijpelijker en praktischer geworden.

Belangrijkste verbeteringen

  • Afgestemd op het NIST Cybersecurity Framework (CSF) 2.0 en relevante Europese wetgeving (bijv. NIS2).
  • Neemt recente ontwikkelingen op het gebied van informatie- en cyberbeveiliging mee.
  • Integreert gebruikersfeedback van CyFun®2023.
  • Breidt de focus uit naar beveiliging van de toeleveringsketen en operationele technologie (OT).
  • Herschrijft controles en richtlijnen om de duidelijkheid en controleerbaarheid te verbeteren.
  • Voegt een specifiek doel toe aan elke controle om het begrip te verbeteren.
  • Biedt uitgebreidere richtsnoeren voor het interpreteren van vereisten.
  • Introduceert “governance-maatregelen” om aan te sluiten bij wereldwijde best practices voor cyberbeveiligingstoezicht op bestuursniveau.
  • Corrigeert grammaticale, spelling- en redactionele fouten.

Transitieregeling

Om de overstap te vergemakkelijken, zullen zowel CyFun® 2023 als CyFun® 2025 een tijdje beschikbaar blijven. Daarna wordt alleen de nieuwe versie nog geaccepteerd voor Self-Assessment en conformiteitsbeoordelingen door derden.

De niveaus en kernmaatregelen

Read more : CyFun® BASIC
cover_of_the_basic_booklet

CyFun® BASIC

Het zekerheidsniveau Basic bevat de standaardmaatregelen voor informatiebeveiliging voor alle ondernemingen. Deze bieden een effectieve beveiligingswaarde met technologie en processen die over het algemeen al beschikbaar zijn. Waar gerechtvaardigd, worden de maatregelen op maat gemaakt en verfijnd.

Download 

Read more : CyFun® IMPORTANT
cover_of_the_important_booklet

CyFun® IMPORTANT

Het zekerheidsniveau Important is bedoeld om de risico's van gerichte cyberaanvallen door actoren met gangbare vaardigheden en middelen, naast bekende cyberbeveiligingsrisico's, tot een minimum te beperken.

Download 

Read more : CyFun® ESSENTIAL
cover_of_the_essential_booklet

CyFun® ESSENTIAL

Het zekerheidsniveau Essential gaat een stap verder en is bedoeld om het risico van geavanceerde cyberaanvallen door actoren met uitgebreide vaardigheden en middelen aan te pakken.

Download 

Read more : Overzicht kernmaatregelen
Afbeelding met diagonale banen in drie groentinten. Centraal staat de tekst “KERNMAATREGELEN” in grote, witte hoofdletters.

Overzicht kernmaatregelen

Dit document biedt een overzicht van de kernmaatregelen voor de drie CyberFundamentals-zekerheidsniveaus. Het bevat ook een vergelijking van de kernmaatregelen uit CyFun® 2023 en CyFun®2025.

Download

Self-Assessment tool

Read more : Self-Assessment BASIC
cover_of_the_basic_booklet

Self-Assessment BASIC

Deze  CyFun® Self-Assessment tool is een tool in MS Excel-formaat die entiteiten met het zekerheidsniveau ‘Basic’ voorbereidt en spindiagrammen bevat ter ondersteuning van managementrapportages.

Download 

Read more : Self-Assessment IMPORTANT
cover_of_the_important_booklet

Self-Assessment IMPORTANT

Deze  CyFun® Self-Assessment tool is een tool in MS Excel-formaat die entiteiten met het zekerheidsniveau ‘Important’ voorbereidt en spindiagrammen bevat ter ondersteuning van managementrapportage.

Download 

Read more : Self-Assessment ESSENTIAL
cover_of_the_essential_booklet

Self-Assessment ESSENTIAL

Deze  CyFun® Self-Assessment tool is een tool in MS Excel-formaat die entiteiten met het zekerheidsniveau ‘Essential’ voorbereidt en spindiagrammen bevat ter ondersteuning van managementrapportage.

Download 

Hoe gebruikt u de self-assessment tool?

 

1. Algemeen

Ter ondersteuning van het CyberFundamentals Framework is een MS Excel®-Self-Assessment tool ontwikkeld. Deze tool bevat de vereisten voor de zekerheidsniveaus ‘Basic’, ‘Important’ en ‘Essential’ van de specifieke frameworkversie waarmee deze is afgestemd, evenals de vereisten die zijn gedefinieerd in het Conformity Assessment Scheme (CAS). De versies van het raamwerk en het CAS die worden gebruikt, worden duidelijk aangegeven in de tool. Om deze reden mag de tool tijdens geen enkel verificatie- of certificeringsproces worden gewijzigd.

2. Opbouw van de tool 

In CyFun ® 2025 is de structuur verbeterd voor meer flexibiliteit en gebruiksgemak:

  • Er zijn drie afzonderlijke Self-Assessment tools, één voor elk zekerheidsniveau:
    • Basic
    • Important
    • Essential
  • Elke tool bevat de zes functies:
    • Beheren, Identificeren, Beschermen, Detecteren, Reageren, Herstellen
    • Elke functie heeft voor de duidelijkheid een eigen tabblad.
  • Nieuwe filterfunctie:  
    • Elke controle heeft een filter dat alleen de items voor het geselecteerde zekerheidsniveau (Basic, Important of Essential) toont.
    • Organisaties die naar het zekerheidsniveau Important of Essential toewerken, kunnen beginnen met de Basiscontroles door in elk blad defilter 'Basic' te selecteren.
    • Voor het zekerheidsniveau Important kunnen de Important controles worden toegevoegd nadat de Basic controles zijn voltooid, met behulp van dezelfde tool.Voor het niveau Essential kunnen de Essential controles worden toegevoegd nadat zowel de Basic- als de Important controles zijn voltooid, opnieuw binnen dezelfde tool.
    • Deze aanpak maakt het overzetten van scores tussen verschillende tools overbodig, waardoor het beoordelingsproces eenvoudiger en efficiënter wordt. 
       
  • De controles worden vanuit twee perspectieven beoordeeld: 
    • Documentatiematuriteit: hiermee wordt gemeten in hoeverre de schriftelijke regels en procedures van de organisatie voldoen aan de vereisten van het CyberFundamentals Framework.
    • Implementatiematuriteit: hiermee wordt gemeten in hoeverre de dagelijkse praktijken van de organisatie worden uitgevoerd in overeenstemming met het CyberFundamentals Framework.
       
  • In de onderstaande tabel worden de verschillende maturiteitsniveaus uitgelegd en wordt beschreven hoe deze worden gebruikt om zowel de maturiteit van het beleid als de maturiteit van de implementatie te beoordelen.
     
    MaturiteitsniveauDocumentatiematuriteitsniveauImplementatiematuriteitsniveau
    Niveau 1 - InitieelGeen procesdocumentatie of niet formeel goedgekeurd door het management.Er bestaat geen standaardproces.
    Niveau 2 - HerhaalbaarEr bestaat formeel goedgekeurde procesdocumentatie, maar deze is de afgelopen twee jaar niet herzien.Er bestaat een ad-hocproces dat informeel wordt uitgevoerd.
    Niveau 3 - GedefinieerdEr bestaat formeel goedgekeurde procesdocumentatie en uitzonderingen zijn gedocumenteerd en goedgekeurd. Gedocumenteerde en goedgekeurde uitzonderingen < 5% van de tijd.Er bestaat een formeel proces dat wordt geïmplementeerd. Er is bewijs beschikbaar voor de meeste activiteiten. Minder dan 10% procesuitzonderingen.
    Niveau 4 - BeheerdEr bestaat formeel goedgekeurde procesdocumentatie en uitzonderingen zijn gedocumenteerd en goedgekeurd. Gedocumenteerde en goedgekeurde uitzonderingen < 3% van de tijd.Er bestaat een formeel proces dat wordt geïmplementeerd. Er is bewijs beschikbaar voor alle activiteiten. Gedetailleerde statistieken van het proces worden vastgelegd en gerapporteerd. Er is een minimale doelstelling voor meetgegevens vastgesteld. Minder dan 5% procesafwijkingen.

    Niveau 5 - Optimaliseren

    Er bestaat formeel goedgekeurde procesdocumentatie en uitzonderingen zijn gedocumenteerd en goedgekeurd. Gedocumenteerde en goedgekeurde uitzonderingen < 0,5% van de tijd.

    		Er bestaat een formeel proces dat wordt geïmplementeerd. Er is bewijs beschikbaar voor alle activiteiten. Gedetailleerde meetgegevens van het proces worden vastgelegd en gerapporteerd. Er is een minimale doelstelling voor meetgegevens vastgesteld en deze wordt voortdurend verbeterd. Minder dan 1% procesafwijkingen.

    3. Berekeningsmethode

Een subcategorie kan meerdere controles omvatten, en elk van deze controles moet worden beoordeeld op zowel documentatie als implementatie aan de hand van de hierboven weergegeven maturiteitsniveaus. Voor elke controle moet een score van 1 tot 5 worden ingevoerd.  De tool berekent vervolgens de gemiddelde documentatiescore en de gemiddelde implementatiescore voor elke subcategorie (bijvoorbeeld ID.AM-01) en gebruikt deze om een ander gemiddelde voor elke categorie te berekenen (bijvoorbeeld ID.AM).

    4. Samenvattend rapport 

Het tabblad ‘Samenvatting’ voor elk CyberFundamentals-zekerheidsniveau bevat de volgende elementen:

  • Totaal maturiteitsniveau: Een algemene maturiteitsscore die wordt berekend als het gemiddelde van de maturiteitsniveaus van alle categorieën.
  • Overzicht maturiteitsniveaus per categorie: Een samenvatting met de maturiteitsniveaus voor elke categorie, gebaseerd op de gemiddelde waarden die zijn berekend in het tabblad van de desbetreffende functie
  • Lijst met kernmaatregelen: Een overzicht van de belangrijkste maatregelen waaraan moet worden voldaan, op basis van de waarden die zijn ingevoerd in het tabblad van de desbetreffende functie.
  • Radardiagram (spiderdiagram): Een visuele weergave van de maturiteitsscores per categorie, gebaseerd op de gegevens in de samenvatting.

Bepaling van de conformiteit met de drempels van het Conformity Assessment Scheme (CAS)

  • Het overzicht bevat de streefscores (drempels) die voor elk zekerheidsniveau in het Conformity Assessment Scheme (CAS) zijn vastgesteld. De resultaten van het Self-Assessment worden vergeleken met deze streefscores.
  • Wanneer een waarde in het rood wordt weergegeven, betekent dit dat het vereiste maturiteitsniveau niet is bereikt.
  • Wanneer een waarde in het groen wordt weergegeven, betekent dit dat het vereiste maturiteitsniveau is bereikt.

Andere bestanden

Read more : Omzetting CyFun® 2023 en CyFun® 2025
mappingCyfun_other_frameworks

Omzetting CyFun® 2023 en CyFun® 2025

De mapping geeft een overzicht van de omzetting van CyFun® 2023 naar CyFun® 2025 in een MS Excel-formaat.

Download