CyberFundamentals Frequently Asked Questions (FAQ)

De certificeringsautoriteit van het CCB (NCCA) zal controleren of de onderbouwde verklaring van toepasselijkheid (SoA) hetzelfde niveau heeft als het relevante CyFun®-zekerheidsniveau. Het opnemen van CyFun® controles in de ISO/IEC 27001 Verklaring van Toepasselijkheid (SoA) blijft een beslissing van de betreffende entiteit.

Met betrekking tot het bovenstaande zal de certificeringsautoriteit van het CCB (NCCA) de termijnen toepassen die zijn vastgelegd in Art 22 van het KB van 09 juni 2024:

• Binnen 18 maanden na de inwerkingtreding van de NIS2-wet of de datum van de identificatie bedoeld in artikel 11 van de NIS2-wet de reikwijdte van het ISMS en een onderbouwde verklaring van toepasselijkheid (SoA) van hetzelfde niveau als bepaald in CyFun® Basic of CyFun® Important
• Binnen 30 maanden een ISO/IEC 27001: 2022 certificering waarbij de onderbouwde SoA hetzelfde niveau heeft als bepaald in CyFun® Belangrijk of Essentieel, afhankelijk van of de entiteit Belangrijk of Essentieel is. 

De definitie van “onderbouwd” is zoals in ISO/IEC 27006-1:2024 clausule 9.3.2.2 (f); de onderbouwing van de verklaring van toepasselijkheid (SoA) moet de beoordeling van de effectieve implementatie van de controles mogelijk maken. Of met andere woorden: Er moet bewijs zijn dat een controle is geïmplementeerd en effectief is.

Het doel is om een gelijk speelveld te creëren voor alle in België geregistreerde entiteiten, of ze nu kiezen voor CyFun® of ISO/IEC 27001:2022. Gezien het specifieke karakter van CyFun® dat door verschillende belanghebbenden is bekrachtigd, gebruikt het NCCA de maatregelen die zijn geïdentificeerd in het respectieve zekerheidsniveaus van CyFun® om de Verklaring van Toepasselijkheid van een ISO/IEC 27001:2022 gecertificeerde entiteit te beoordelen om ervoor te zorgen dat gelijkwaardige controles effectief zijn gedefinieerd en geïmplementeerd. Hierbij zal de NCCA specifieke aandacht besteden aan de “key measures” die in CyFun® zijn gedefinieerd, aangezien deze maatregelen rechtstreeks zijn afgeleid van cyberaanvallen die in België plaatsvinden.

Als toezichthoudende autoriteit mogen we geen advies geven over hoe de relatie tussen het relevante zekerheidsniveau van CyberFundamentals en de ISO/IEC 2700:2022 SoA wordt gelegd.

Uitsluitingen in CyFun® zouden specifieke CyFun® vereisten kunnen zijn waarbij het voor de organisatie niet haalbaar is om aan die CyFun® vereisten te voldoen. Omdat het uitgangspunt van CyFun® is dat men controles proportioneel kan invullen op basis van risicomanagement, is er bewust voor gekozen om deze mogelijkheid niet te bieden in de zelfevaluatietool van CyFun®, rekening houdend met de onwaarschijnlijkheid van deze gemotiveerde uitsluitingen.

Het niet van toepassing zijn van een controle is een “uitzondering” (“exception”) zoals voorzien in de CyFun® Maturity Level Description (CyFun® Toolbox).

Bij de documentatie moet worden nagegaan dat de uitsluiting goed is gemotiveerd, gedocumenteerd en geautoriseerd door de hoogste leiding van de organisatie.

Bij de implementatie moet worden nagegaan dat er voldoende bewijs is van due diligence is om aan te tonen dat het uitsluiten van een CyFun® controle de naleving van specifieke wettelijke, reglementaire en/of contractuele verplichtingen niet in het gedrang brengt.

Het CyberFundamentals Framework is oorspronkelijk een Belgisch raamwerk, ontwikkeld door het Centre for Cybersecurity Belgium (CCB), maar zo opgebouwd dat het op Europees niveau erkend kan worden. Een proces dat nu in gang is gezet door BELAC. Op dit moment is CyFun® alleen in de Belgische wetgeving opgenomen om, tot het tegendeel bewezen is, aan te kunnen nemen dat de entiteit aan haar NIS2-cyberbeveiligingsverplichtingen voldoet (vermoeden van conformiteit). Ondertussen is het kader formeel geadopteerd door Roemenië. Hoe het zal worden gebruikt bij de operationele uitrol van NIS2 is daar in ontwikkeling. Andere Europese landen erkennen ook de waarde van CyFun® (waaronder Frankrijk) en bekijken hoe zij dit raamwerk kunnen erkennen of zelfs volledig kunnen overnemen.

Het CCB onderhoudt het raamwerk en alle documenten die bij het systeem horen als Primaire Eigenaar van het systeem. Dit is opgenomen in een formele procedure die de uitrol van CyFun® naar andere Europese landen mogelijk maakt.

CyFun® is ontworpen om organisaties te helpen hun gegevens te beschermen, het risico op veelvoorkomende cyberaanvallen te verkleinen en de cyberweerbaarheid te vergroten. Het is gebaseerd op vier veelgebruikte cyberbeveiligingsraamwerken (NIST CSF, ISO/IEC 27001, CIS Controls en IEC 62443) en maakt ook gebruik van geanonimiseerde historische gegevens van succesvolle cyberaanvallen om de verschillende maatregelen in het raamwerk te identificeren. Het CyFun® Framework heeft een formeel conformiteitsbeoordelingsschema en is gericht op praktische maatregelen voor het identificeren, beoordelen en beperken van cyberbeveiligingsrisico's, met de nadruk op veerkracht en herstel na cyberincidenten.

ISO/IEC 27001:2022 is een internationale norm voor managementsystemen voor informatiebeveiliging (ISMS), die een raamwerk biedt voor het beheren en beschermen van informatiemiddelen, en die vereisten bevat voor het instellen, implementeren, onderhouden en voortdurend verbeteren van een ISMS, in lijn met andere ISO managementsysteemnormen.

De link tussen ISO/IEC 27001:2022 en CyFun® wordt zichtbaar gemaakt in de CyFun® mapping die online beschikbaar is in de CyFun® Toolbox.

Het volgende is een samenvatting van wat in detail beschreven staat in het CyFun® Conformiteitsbeoordelingsschema dat online beschikbaar is.

Een Belgische rechtspersoon kan kiezen voor een verificatie om een label met bijbehorende QR-code CyberFundamentals “Basic” of “Important” te verkrijgen. Om het CyberFundamentals 'Basic' of 'Important' label te verkrijgen en te gebruiken, moet de entiteit aan het CCB de zelfevaluatie voorleggen die werd geverifieerd en geattesteerd in een verificatieverklaring door dezelfde geaccrediteerde Conformiteitsbeoordelingsinstantie (CAB).

Voor het CyberFundamentals 'Essential' label geldt dezelfde procedure, maar hier is het gebaseerd op een certificatie in plaats van een verificatie. In dit geval moet bewijs van succesvolle implementatie van sleutelmaatregelen samen met de zelfbeoordeling worden ingediend. Het vereiste bewijs voor elke sleutelmaatregel bestaat uit een toelichting (1-pager) met aantoonbaar bewijs van hoe de maatregel is uitgerold.

In alle gevallen zal het CCB voor elke labelaanvraag controleren of aan de eisen voor elke sleutelmaatregel is voldaan en of het algemene maturiteitsniveau is bereikt. De certificatie autoriteit van het CCB kan om aanvullende informatie vragen. 

Belgische entiteiten kunnen een CyberFundamentals-label verkrijgen op basis van een ISO/IEC 27001:2022-certificaat. Dit certificaat moet aan het CCB worden bezorgd, waarna het CCB de geschiktheid zal verifiëren op dezelfde manier als beschreven in de respectieve regels voor het verkrijgen en gebruiken van een CyberFundamentals-label 'Basic', 'Important' of 'Essential', afhankelijk van wat de entiteit aanvraagt. De certificatie-autoriteit van het CCB (NCCA) zal controleren of de onderbouwde verklaring van toepasselijkheid (SoA) hetzelfde niveau heeft als het relevante CyFun®-zekerheidsniveau.

Het toepassingsgebied van de conformiteitsbeoordeling, ISO/IEC 27001:2022 en CyFun®, betreft een organisatie als geheel, tenzij IT/OT-omgevingen fysiek en/of technisch gescheiden zijn. De scheiding moet zodanig worden uitgevoerd dat de omgevingen buiten het toepassingsgebied de risico's van de omgeving binnen het toepassingsgebied niet beïnvloeden. In elk geval moet dit worden verduidelijkt in het toepassingsgebied van de conformiteitsbeoordeling. Aangezien het toepassingsgebied de hele organisatie omvat, geldt dit ook voor de Verklaring van Toepasselijkheid zoals voorzien in de ISO/IEC 27001:2022.

Het CyberFundamentals Framework is een raamwerk dat eigendom is van het Centrum voor Cybersecurity België (CCB), dat onder het gezag van de Eerste Minister van België opereert.

Het acroniem "CyFun" staat voor "CyberFundamentals Framework" en is een geregistreerd handelsmerk van het CCB.

Het CyFun Framework en het CyberFundamentals Conformiteitsbeoordelingsschema (CAS) zijn beschikbaar op www.cyfun.be.

Het gebruik van de afkorting "CyFun" en/of delen van dit document is toegestaan, mits de bron duidelijk wordt vermeld.

Elk commercieel gebruik van CyFun is onderworpen aan een voorafgaande overeenkomst met het CCB.

De onderstaande elementen worden geïdentificeerd in het CyFun® Conformiteitsbeoordelingsschema. Dit document is beschikbaar op www.cyfun.be

• Een ISO/IEC 27001:2022 certificaat uitgegeven door een geaccrediteerd CAB.
• De Verklaring van Toepasselijkheid (Statement Of Applicability) dat gekoppeld is aan het ISO/IEC 27001:2022 certificaat.
• Een duidelijke verklaring dat het zekerheidsniveau waarvoor de aanvrager een label wil verkrijgen “Basic” of “Important” is (voorzien in de tool).
• De Statement Of Applicability dat deel uitmaakt van de ISO/IEC 27001:2022 certificering moet de eisen van het CyberFundamentals zekerheidsniveau “Basic” of “Important” bevatten. Dit kan worden aangetoond door middel van een « mapping »

Hoewel het CyFun® Conformiteitsbeoordelingschema geen specifiek formaat oplegt m.b.t. de te leveren bewijsvoering, moet die de beoordeling van de effectieve implementatie van de sleutelmaatregelen (key measures) mogelijk maken.

De Certificeringsautoriteit van het CCB kan om aanvullende informatie vragen.

De onderstaande elementen worden geïdentificeerd in het CyFun® Conformiteitsbeoordelingsschema. Dit document is beschikbaar op www.cyfun.be

• Een ISO/IEC 27001:2022 certificaat uitgegeven door een geaccrediteerd CAB.
• De Verklaring van Toepasselijkheid (Statement Of Applicability) dat gekoppeld is aan het ISO/IEC 27001:2022 certificaat.
• Een duidelijke verklaring dat het zekerheidsniveau waarvoor de aanvrager een label wil verkrijgen “Essential” is (voorzien in de tool).
• De Statement Of Applicability die deel uitmaakt van de ISO/IEC 27001:2022 certificering moet de eisen van het CyberFundamentals zekerheidsniveau “Essential” bevatten. Dit kan worden aangetoond door middel van een « mapping »
• Bewijs van succesvolle implementatie van alle sleutelmaatregelen (key measures) door middel van een toelichting (1-pager) met aantoonbaar bewijs van hoe de maatregel is uitgerold.

Hieronder volgt een niet-limitatieve lijst van mogelijke elementen die aantonen dat een organisatie haar toeleveringsketen effectief begrijpt en beheert:

1. Documentatie van leveranciers- en klantenlijsten

Documentatie op een gecontroleerde manier (versiebeheer, goedkeuring, enz.) van lijsten van alle upstream (grondstoffenleveranciers, onderdelenfabrikanten, dienstverleners, enz.) en downstream (klanten) organisaties, verder gedetailleerd met de geleverde diensten, mogelijkheden, producten en artikelen die elke leverancier levert.

2. Visualisatie van de toeleveringsketen

Maak een visualisatie van de toeleveringsketen (bijv. in een Mindmap) die de stroom van goederen en diensten van leveranciers naar uw organisatie en van uw organisatie naar klanten laat zien.

Kritische leveranciers en klanten die essentieel zijn voor de activiteiten van uw organisatie worden best  aangeduid.

3. Communicatie met de toeleveringsketen

Er zouden verslagen beschikbaar moeten zijn van de communicatie met zowel upstream- als downstream-organisaties, waaruit blijkt dat u de positie van uw eigen organisatie en het cruciale belang van elke afzonderlijke organisatie in uw toeleveringsketen voor uw activiteiten hebt gecommuniceerd. Dit kan ook door middel van regelmatige bijeenkomsten met belangrijke leveranciers en klanten die u organiseert om de samenwerking te bespreken en eventuele problemen op te lossen. Het is belangrijk om deze bijeenkomsten en de besproken punten te documenteren.

4. Contracten en overeenkomsten

Opstellen, bijwerken en bewaken van contracten en overeenkomsten met leveranciers en klanten zoals bedoeld in ISO/IEC 27001:2022 clausule 7.5. Deze documenten moeten de rollen, verantwoordelijkheden en bevoegdheden van elke partij en hun belang voor uw activiteiten bevatten.

5. Gedocumenteerde en bewaakte risicomanagementplannen

Er zouden risicobeheerplannen moeten worden gedocumenteerd en bijgehouden die potentiële risico's in verband met leveranciers en klanten identificeren. Dit omvat ook mitigatie om deze risico's te beperken.

6. Regelmatige beoordelingen en updates

Er zouden regelmatig beoordelingen van uw toeleveringsketen moeten worden gepland en de documentatie moet dienovereenkomstig worden bijgewerkt. Leveranciers of klanten zouden op de hoogte moeten worden gebracht van eventuele wijzigingen.

7. Training en bewustwordingsprogramma's

Trainingsprogramma's voor werknemers, en waar relevant leveranciers en klanten, zouden moeten worden uitgerold om ervoor te zorgen dat ze het belang van de toeleveringsketen voor uw organisatie en hun rol in het onderhouden ervan begrijpen. Deze trainingssessies en de resultaten ervan zouden moeten worden gedocumenteerd (aanwezigheidslijst, trainingsmaterialen, agenda, feedback en acties die naar aanleiding van die feedback zijn ondernomen, evaluatietests en de resultaten daarvan, enz.)