• Müssen die CyFun®-Kontrollen in das ISO/IEC 27001 Statement of Applicability aufgenommen werden, um als Hilfsmittel für die Begründung der Konformitätsvermutung gemäß der belgischen NIS-Gesetzgebung zu dienen (dies ist das Szenario, in dem die NIS-2-Einri

    Die Zertifizierungsstelle des ZCB (NCCA) prüft, ob das begründete Statement of Applicability (SoA) die gleiche Sicherheitsstufe hat wie die entsprechende CyFun® -Stufe. Die Aufnahme von CyFun® -Kontrollen in das ISO/IEC 27001 Statement of Applicability bleibt eine Entscheidung der betreffenden Einrichtung.

    Die Zertifizierungsbehörde des ZCB (NCCA) wird in diesem Zusammenhang die in Artikel 22 des KB vom 09. Juni 2024 festgelegten Fristen anwenden:

    • Innerhalb von 18 Monaten nach Inkrafttreten des NIS2-Gesetzes oder dem Datum der in Artikel 11 des NIS2-Gesetzes genannten Identifizierung den Anwendungsbereich des ISMS und ein begründetes Statement of Applicability (SoA) auf demselben Niveau wie in CyFun® Basic oder CyFun® Important und
    • Innerhalb von 30 Monaten eine ISO/IEC 27001:2022-Zertifizierung, bei der die begründete SoA das gleiche Niveau hat, wie in CyFun® definiert Wichtig oder Wesentlich, je nachdem, ob die Einrichtung Wichtig oder Wesentlich ist.
  • Was versteht man unter einem "substantiierten" Statement of Applicability (SoA)?

    Die Definition von "substantiiert" entspricht der in ISO/IEC 27006-1:2024, Abschnitt 9.3.2.2 (f); die Substantiierung des Statement of Applicability (SoA) muss die Beurteilung der effektiven Implementierung der Kontrollen ermöglichen. Oder mit anderen Worten: Es muss der Nachweis erbracht werden, dass eine Kontrolle implementiert wurde und wirksam ist.

  • Was bedeutet es in der Praxis, wenn es heißt, dass "eine begründete SoA die gleiche Stufe hat, wie sie von CyFun © Basic, Important, oder Essential definiert ist"?

    Ziel ist es, gleiche Wettbewerbsbedingungen für alle in Belgien registrierten Einrichtungen zu schaffen, unabhängig davon, ob sie sich für CyFun® oder ISO/IEC 27001:2022 entscheiden. Angesichts der Besonderheit von CyFun®, die von verschiedenen Interessengruppen befürwortet wurde, verwendet die NCCA die in der jeweiligen Sicherheitsstufe von CyFun® festgelegten Maßnahmen, um das Statement of Applicability einer ISO/IEC 27001:2022-zertifizierten Einrichtung zu überprüfen, um sicherzustellen, dass gleichwertige Kontrollen definiert und effektiv implementiert werden. Hier wird die NCCA den in CyFun® definierten Schlüsselmaßnahmen besondere Aufmerksamkeit schenken, da diese Maßnahmen direkt von Cyberangriffen in Belgien abgeleitet sind.

    Als Aufsichtsbehörde dürfen wir nicht darüber beraten, wie der Zusammenhang zwischen der jeweiligen Sicherheitsstufe der CyberFundamentals und der ISO/IEC 2700:2022 SoA hergestellt wird.

  • Sind in CyFun® "Ausnahmen" möglich?

    Ausnahmen in CyFun® könnten spezifische CyFun®-Anforderungen sein, bei denen es für die Organisation nicht machbar ist, diese CyFun®-Anforderungen zu erfüllen. Da die Prämisse von CyFun® darin besteht, dass man Kontrollen auf der Grundlage des Risikomanagements proportional ausfüllen kann, wurde bewusst entschieden, diese Möglichkeit im CyFun® -Selbstbewertungsinstrument nicht vorzusehen, um die Unwahrscheinlichkeit dieser motivierten Ausschlüsse zu berücksichtigen.

    Die Nichtanwendung einer Kontrolle ist eine "Ausnahme" ("exception") im Sinne der CyFun® Maturity Level Description (CyFun® Toolbox).

    Anhand der Unterlagen sollte überprüft werden, ob der Ausschluss ordnungsgemäß begründet, dokumentiert und von der Führungsebene der Organisation genehmigt wurde.

    Bei der Implementierung sollte überprüft werden, ob es ausreichende Nachweise für die Sorgfaltspflicht gibt, um zu zeigen, dass der Ausschluss einer Kontrolle von CyFun® die Einhaltung bestimmter gesetzlicher, regulatorischer und/oder vertraglicher Verpflichtungen nicht gefährdet.

  • Wird CyFun® EU-weit akzeptiert?

    Das CyberFundamentals Framework ist ursprünglich ein belgisches Rahmenwerk, das vom Zentrum für Cybersicherheit Belgien (ZCB) entwickelt wurde, aber so aufgebaut ist, dass es auf europäischer Ebene anerkannt werden kann. Ein Prozess, der nun von BELAC eingeleitet wurde. Bisher wurde CyFun® in Belgien nur in die Gesetzgebung aufgenommen, damit bis zum Beweis des Gegenteils davon ausgegangen werden kann, dass die Einrichtung ihre Cybersicherheitsverpflichtungen nach NIS2 erfüllt (Konformitätsvermutung). Inzwischen wurde das Rahmenwerk von Rumänien formell angenommen. Wie es bei der operationellen Einführung von NIS2 eingesetzt werden soll, wird dort noch erarbeitet. Auch andere europäische Länder haben den Wert von CyFun® erkannt (darunter Frankreich) und prüfen, wie sie dieses Rahmenwerk anerkennen oder sogar vollständig übernehmen können.

    Das ZCB verwaltet als Primary Scheme Owner das Rahmenwerk und alle mit dem Programm verbundenen Dokumente. Dies ist in einem formellen Verfahren enthalten, das die Einführung von CyFun® in anderen europäischen Ländern ermöglicht.

  • Was sind die Unterschiede zwischen ISO/IEC 27001:2022 und CyFun ?®

    CyFun® wurde entwickelt, um Unternehmen dabei zu helfen, ihre Daten zu schützen, das Risiko gängiger Cyberangriffe zu verringern und die Cyberresilienz zu erhöhen. Es basiert auf vier gängigen Cybersicherheits-Rahmenwerken (NIST CSF, ISO/IEC 27001, CIS Controls und IEC 62443) und verwendet außerdem anonymisierte historische Daten erfolgreicher Cyberangriffe, um die verschiedenen Maßnahmen im Rahmenwerk zu identifizieren.

    Der CyFun®-Rahmen verfügt über ein formelles Konformitätsbewertungsschema und konzentriert sich auf praktische Maßnahmen zur Ermittlung, Bewertung und Minderung von Cybersicherheitsrisiken, wobei der Schwerpunkt auf der Cyberresilienz und der Wiederherstellung nach Sicherheitsvorfällen liegt.

    ISO/IEC 27001:2022 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS), die einen Rahmen für die Verwaltung und den Schutz von Informationsgütern bietet und die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS umreißt, das mit anderen ISO-Managementsystemnormen abgestimmt ist.

    Die Verbindung zwischen ISO/IEC 27001:2022 und CyFun® wird im CyFun® Mapping sichtbar gemacht, das online in der CyFun® Toolbox zur Verfügung steht.

  • Wie kann eine Einrichtung ein CyFun® Label erhalten?

    Im Folgenden finden Sie eine Zusammenfassung dessen, was im CyFun®-Konformitätsbewertungsschema, das online verfügbar ist, detailliert beschrieben ist.

    Eine belgische juristische Einrichtung kann sich für eine Verifizierung entscheiden, um ein Label mit dem zugehörigen QR-Code CyberFundamentals "Basic" oder "Important" zu erhalten. Um das CyberFundamentals "Basic"- oder "Important"-Label zu erhalten und zu verwenden, muss die Einrichtung dem ZCB die Selbstbewertung vorlegen, die von derselben akkreditierten Konformitätsbewertungsstelle (CAB) verifiziert und in einer Verifizierungserklärung bescheinigt wurde.

    Für das Label CyberFundamentals "Essential" gilt das gleiche Verfahren, allerdings basiert es hier auf einer Zertifizierung statt einer Verifizierung. In diesem Fall muss ein Nachweis über die erfolgreiche Implementierung von Schlüsselmaßnahmen zusammen mit der Selbstbewertung eingereicht werden. Die Nachweise, die für jede Schlüsselmaßnahme erforderlich sind, bestehen aus einer Erläuterung (1 Seite) mit nachweisbaren Belegen, wie die Maßnahme umgesetzt wurde.

    In jedem Fall prüft das ZCB bei jedem Label-Antrag, ob die Anforderungen für jede Schlüsselmaßnahme erfüllt sind und ob der allgemeine Reifegrad erreicht wurde. Die ZCB-Zertifizierungsstelle kann zusätzliche Informationen anfordern.

    Belgische Einrichtungen können ein CyberFundamentals Label auf der Grundlage eines ISO/IEC 27001:2022-Zertifikats erhalten. Dieses Zertifikat muss dem ZCB vorgelegt werden, woraufhin das ZCB die Berechtigung auf dieselbe Weise überprüft, wie in den jeweiligen Regeln für den Erhalt und die Verwendung eines CyberFundamentals Labels "Basic", "Important" oder "Essential" beschrieben, je nachdem, was die Einrichtung beantragt. Die Zertifizierungsstelle des ZCB (NCCA) prüft, ob das begründete Statement of Applicability (SoA) die gleiche Sicherheitsstufe aufweist wie die entsprechende CyFun® Sicherheitsstufe.

  • Welchen Anwendungsbereich muss eine Einrichtung im Rahmen von BE NIS2 bei der Konformitätsbewertung beachten?

    Der Anwendungsbereich der Konformitätsbewertung, ISO/IEC 27001:2022 und CyFun®, umfasst eine Organisation als Ganzes, es sei denn, die IT/OT-Umgebungen sind physisch und/oder technisch getrennt. Die Trennung ist so vorzunehmen, dass die Umgebungen ausserhalb des Anwendungsbereichs keinen Einfluss auf die Risiken der Umgebung im Anwendungsbereich haben. In jedem Fall muss dies im Anwendungsbereich der Konformitätsbewertung klargestellt werden. Da der Anwendungsbereich die gesamte Organisation umfasst, gilt dies auch für das Statement of Applicability, das in der ISO/IEC 27001:2022 vorgesehen ist.

  • Kann ich das CyFun Framework für kommerzielle Zwecke wiederverwenden?

    Das CyberFundamentals Framework ist ein Rahmenwerk, das dem Zentrum für Cybersicherheit Belgien (ZCB) gehört, welches dem belgischen Premierminister unterstellt ist.

    Die Abkürzung „CyFun“ steht für „CyberFundamentals Framework“ und ist eine eingetragene Marke des ZCB.

    Das CyFun-Rahmenwerk und das CyberFundamentals Conformity Assessment Scheme (CAS) sind unter www.cyfun.be verfügbar.

    Die Verwendung des Akronyms „CyFun“ und/oder von Teilen dieses Dokuments ist gestattet, sofern die Quelle deutlich angegeben wird.

    Jede kommerzielle Nutzung von CyFun bedarf der vorherigen Zustimmung durch das ZCB.