FAQ & Feedback

Het CyberFundamentals Framework definieert drie zekerheidsniveaus:

• Basic –  dit niveau omvat de standaardmaatregelen voor informatiebeveiliging voor alle ondernemingen.
• Important – dit niveau is bedoeld om de risico's van gerichte cyberaanvallen door actoren met gangbare vaardigheden en middelen, naast bekende cyberbeveiligingsrisico's, tot een minimum te beperken.
• Essential – dit niveau gaat een stap verder en is bedoeld om het risico van geavanceerde cyberaanvallen door actoren met uitgebreide vaardigheden en middelen aan te pakken.

Elk niveau bouwt voort op het vorige, met toenemende verwachtingen op het gebied van controles, governance en veerkracht.

Daarnaast is er een vragenlijst en richtsnoeren voor niveau ‘small’. Deze hulpmiddelen zijn bedoeld voor micro-organisaties of organisaties met beperkte technische kennis.

De toewijzing van een organisatie aan een specifiek zekerheidsniveau is gebaseerd op de resultaten van een risicobeoordeling. De risicobeoordeling en de vaststelling van het juiste zekerheidsniveau vallen onder de bevoegdheid van de nationale autoriteiten. Meer informatie kan u vinden op de nationale 'over' pagina.

Ja, dit raamwerk bestaat uit een gestructureerd proces in drie stappen, waarbij elke stap essentieel is voor het bereiken en handhaven van robuuste normen voor cyberbeveiliging. Allereerst een risicobeoordeling om het zekerheidsniveau van uw organisatie te bepalen. Ten tweede een Self-Assessment om te beoordelen hoe goed uw organisatie de vereiste cyberbeveiligingsmaatregelen voor het geselecteerde zekerheidsniveau heeft geïmplementeerd. De laatste, optionele stap is het aanvragen van verificatie of certificering door een geaccrediteerde conformiteitsbeoordelingsinstantie.

Deze vereisten vormen een essentiële maatregel voor de cyberbeveiliging die organisaties moeten implementeren als onderdeel van hun zekerheidsniveau.

Het kiezen van het juiste maturiteitsniveau kan in eerste instantie een uitdaging zijn. Daarom hebben we aanvullende richtsnoeren opgesteld om u bij dit proces te ondersteunen. Enerzijds biedt dit document een algemene uitleg van de verschillende maturiteitsniveaus. Anderzijds hebben we voor elke belangrijke maatregel een use case toegevoegd die meer in detail uitlegt welk niveau in welke situatie van toepassing is.

Een update van CyFun® 2023 was nodig om in overeenstemming te blijven met het NIST Cyberbeveiliging Framework (CSF) 2.0 en om rekening te houden met relevante Europese wetgeving, zoals NIS2.

De nieuwe versie van CyFun® werd in de tweede helft van 2025 uitgebracht. Deze versie:
 

• Is afgestemd op het NIST Cybersecurity Framework (CSF) 2.0 en relevante Europese wetgeving (bijv. NIS2).
• Houdt rekening met recente ontwikkelingen op het gebied van informatie- en cyberbeveiliging,
• Integreert feedback van gebruikers van CyFun® 2023.
• Breidt de focus uit op de beveiliging van de toeleveringsketen en operationele technologie (OT).
• Herformuleert controles en richtlijnen om de duidelijkheid en controleerbaarheid te verbeteren.
• Voegt een specifiek doel toe aan elke controle om het begrip te verbeteren.
• Biedt uitgebreidere richtsnoeren voor het interpreteren van vereisten.
• Introduceert “governance-maatregelen” om aan te sluiten bij wereldwijde best practices voor cyberbeveiligingstoezicht op bestuursniveau.
• Corrigeert grammaticale, spelling- en redactionele fouten.

De BELAC-transitieregeling is opgesteld in overleg met de Belgische certificeringsinstantie (NCCA) van het Centrum voor Cybersecurity België (CCB) en houdt rekening met de specifieke toepassing van CyFun® bij het bepalen van het vermoeden van conformiteit met de Belgische NIS2-wetgeving.

Belangrijkste punten uit de transitieregeling:

• Verificatie- en certificeringsinstanties (VB's en CB's) moeten uiterlijk op 18 april 2027 een accreditatie verkrijgen voor verificatie of certificering volgens CyFun®® 2025.
• CyFun® 2023 en CyFun® 2025 zullen tot 18 april 2027 naast elkaar blijven bestaan en entiteiten zullen tot dan de keuze hebben welke versie van CyFun® ze willen toepassen.
• Verificatie- en certificeringsinstanties (VB's en CB's) hebben de mogelijkheid om tot uiterlijk 18 april 2027 verificaties of certificeringen uit te voeren volgens CyFun® 2023.
• Verificatieverklaringen en certificaten volgens CyFun® 2023 zijn geldig tot uiterlijk 18 april 2028.

Meer informatie vindt u hier. 

Een mapping vindt u hier.

Het CyFun® 2025 Framework kiest er bewust voor om AI niet als afzonderlijke functie of categorie in het kernmodel op te nemen. Deze aanpak sluit aan bij de methodologie die wordt gebruikt in het NIST Cyberbeveiliging Framework 2.0. 
De belangrijkste redenen hiervoor zijn:

1. AI wordt behandeld via aanvullende profielen en overlays

Het CyFun® 2025 Framework maakt het mogelijk om specifieke profielen of sectorgebonden uitbreidingen te ontwikkelen voor domeinen zoals AI. Hierdoor kunnen organisaties die AI-systemen ontwikkelen of gebruiken, gerichte richtsnoeren volgen zonder het kernframework te wijzigen.

2. Voorkomen van duplicatie van bestaande controles

Veel van de beveiligingsmaatregelen die voor AI vereist zijn, worden al gedekt door bestaande  CyFun® 2025-controles. Om redundantie te voorkomen, kiest het framework ervoor om AI-gerelateerde risico's te beheren via gevestigde principes zoals risicobeheer, governance en incidentrespons.

3. Use-case-specifieke aanpak

AI brengt unieke risico's met zich mee, afhankelijk van de toepassing (bijv. generatieve AI, machine learning in kritieke infrastructuur). Het  CyFun® 2025-kader ondersteunt een evenredige en contextgedreven aanpak, waardoor organisaties kunnen bepalen welke aanvullende waarborgen nodig zijn op basis van hun specifieke gebruik van AI.

4. Toekomstgerichte flexibiliteit

Het kader is ontworpen om mee te evolueren met technologische ontwikkelingen. AI kan in de toekomst verder worden geïntegreerd via nieuwe profielen of nationale richtlijnen, afhankelijk van de behoeften van Belgische organisaties en Belgische en Europese wet- en regelgeving.

OPMERKING

🔹 Wat zijn profielen?

Een profiel is een toepassing van het raamwerk op een specifieke sector, organisatie of technologie. Het helpt de algemene principes van het raamwerk te vertalen naar concrete maatregelen die geschikt zijn voor:
 

• een specifiek type organisatie (bijv. een ziekenhuis, een bank, een overheidsinstantie),
• een specifieke technologie (bijv. cloud, AI, OT),
• of een specifieke risicocontext (bijv. kritieke infrastructuur, privacygevoelige gegevens).

Voorbeeld: een AI-profiel binnen CyFun®® 2025 geeft aan welke bestaande controles relevant zijn voor AI-systemen en welke aanvullende maatregelen nodig zijn voor veilige en verantwoorde AI-toepassingen.

🔹 Wat zijn overlays?

Een overlay is een laag bovenop het raamwerk, die aanvullende richtlijnen of aanpassingen biedt voor een specifieke situatie. Het is beperkter dan een profiel en richt zich vaak op technische of wettelijke vereisten.

Voorbeeld: een overlay voor generatieve AI zou kunnen aangeven hoe bestaande CyFun®® 2025-controles moeten worden aangepast om risico's zoals deepfakes, hallucinogene modellen of auteursrechtkwesties aan te pakken.

Samenvatting:

· Profielen = het toepassen van het raamwerk op een specifieke context.
· Overlays = een extra laag met richtlijnen voor specifieke risico's of technologieën.
 

Beide zorgen ervoor dat het raamwerk flexibel en uitbreidbaar blijft, zonder dat de kernprincipes voortdurend moeten worden aangepast.

Het CyberFundamentals Framework is oorspronkelijk een Belgisch kader, ontwikkeld door het Centrum voor Cybersecurity België (CCB), maar zo opgezet dat het op Europees niveau kan worden erkend. Een proces dat nu door BELAC in gang is gezet. Op dit moment is CyFun®® alleen in de Belgische wetgeving geregistreerd om, tot het tegendeel is bewezen, te kunnen aannemen dat de entiteit voldoet aan haar NIS2-cyberbeveiligingsverplichtingen (vermoeden van conformiteit). Ondertussen is het kader formeel aangenomen door Malta, Roemenië en Ierland. Hoe het zal worden gebruikt bij de operationele uitrol van NIS2 is daar nog in ontwikkeling. Andere Europese landen erkennen ook de waarde van CyFun® (waaronder Frankrijk) en bekijken hoe ze dit kader kunnen erkennen of zelfs volledig kunnen overnemen.

Het CCB beheert het kader en alle documenten die verband houden met de regeling als primaire eigenaar van de regeling. Dit is vastgelegd in een formele procedure die de uitrol van CyFun® naar andere Europese landen mogelijk maakt.

Meer informatie over het toepassen van CyFun® 2025-controles in een groepscontext vindt u hier.

Hieronder volgt een niet-limitatieve lijst van mogelijke elementen die aantonen dat een organisatie haar toeleveringsketen effectief begrijpt en beheert:

1. Documentatie van leveranciers- en klantenlijsten

Documentatie op een gecontroleerde manier (versiebeheer, goedkeuring, enz.) van lijsten van alle upstream (grondstoffenleveranciers, onderdelenfabrikanten, dienstverleners, enz.) en downstream (klanten) organisaties, verder gedetailleerd met de geleverde diensten, mogelijkheden, producten en artikelen die elke leverancier levert.

2. Visualisatie van de toeleveringsketen

Maak een visualisatie van de toeleveringsketen (bijv. in een Mindmap) die de stroom van goederen en diensten van leveranciers naar uw organisatie en van uw organisatie naar klanten laat zien.

Kritische leveranciers en klanten die essentieel zijn voor de activiteiten van uw organisatie worden best  aangeduid.

3. Communicatie met de toeleveringsketen

Er zouden verslagen beschikbaar moeten zijn van de communicatie met zowel upstream- als downstream-organisaties, waaruit blijkt dat u de positie van uw eigen organisatie en het cruciale belang van elke afzonderlijke organisatie in uw toeleveringsketen voor uw activiteiten hebt gecommuniceerd. Dit kan ook door middel van regelmatige bijeenkomsten met belangrijke leveranciers en klanten die u organiseert om de samenwerking te bespreken en eventuele problemen op te lossen. Het is belangrijk om deze bijeenkomsten en de besproken punten te documenteren.

4. Contracten en overeenkomsten

Opstellen, bijwerken en bewaken van contracten en overeenkomsten met leveranciers en klanten zoals bedoeld in ISO/IEC 27001:2022 clausule 7.5. Deze documenten moeten de rollen, verantwoordelijkheden en bevoegdheden van elke partij en hun belang voor uw activiteiten bevatten.

5. Gedocumenteerde en bewaakte risicomanagementplannen

Er zouden risicobeheerplannen moeten worden gedocumenteerd en bijgehouden die potentiële risico's in verband met leveranciers en klanten identificeren. Dit omvat ook mitigatie om deze risico's te beperken.

6. Regelmatige beoordelingen en updates

Er zouden regelmatig beoordelingen van uw toeleveringsketen moeten worden gepland en de documentatie moet dienovereenkomstig worden bijgewerkt. Leveranciers of klanten zouden op de hoogte moeten worden gebracht van eventuele wijzigingen.

7. Training en bewustwordingsprogramma's

Trainingsprogramma's voor werknemers, en waar relevant leveranciers en klanten, zouden moeten worden uitgerold om ervoor te zorgen dat ze het belang van de toeleveringsketen voor uw organisatie en hun rol in het onderhouden ervan begrijpen. Deze trainingssessies en de resultaten ervan zouden moeten worden gedocumenteerd (aanwezigheidslijst, trainingsmaterialen, agenda, feedback en acties die naar aanleiding van die feedback zijn ondernomen, evaluatietests en de resultaten daarvan, enz.)

Het CyFun® Framework is een geregistreerd handelsmerk van het CCB. 

Het gebruik van de afkorting “CyFun®” en/of delen van dit document is toegestaan, mits de bron duidelijk wordt vermeld.

Elk comeercieel gebruik van CyFun® is onderworpen aan een voorafgaande overeenkomst met het CCB. Neem contact op met de juridische afdeling van het CCB als u interesse hebt in het hergebruik van het Framework.