CyberFundamentals Frequently Asked Questions (FAQ)

De certificeringsautoriteit van het CCB (NCCA) zal controleren of de onderbouwde verklaring van toepasselijkheid (SoA) hetzelfde niveau heeft als het relevante CyFun®-zekerheidsniveau. Het opnemen van CyFun® controles in de ISO/IEC 27001 Verklaring van Toepasselijkheid (SoA) blijft een beslissing van de betreffende entiteit.

Met betrekking tot het bovenstaande zal de certificeringsautoriteit van het CCB (NCCA) de termijnen toepassen die zijn vastgelegd in Art 22 van het KB van 09 juni 2024:

• Binnen 18 maanden na de inwerkingtreding van de NIS2-wet of de datum van de identificatie bedoeld in artikel 11 van de NIS2-wet de reikwijdte van het ISMS en een onderbouwde verklaring van toepasselijkheid (SoA) van hetzelfde niveau als bepaald in CyFun® Basic of CyFun® Important
• Binnen 30 maanden een ISO/IEC 27001: 2022 certificering waarbij de onderbouwde SoA hetzelfde niveau heeft als bepaald in CyFun® Belangrijk of Essentieel, afhankelijk van of de entiteit Belangrijk of Essentieel is. 

De definitie van “onderbouwd” is zoals in ISO/IEC 27006-1:2024 clausule 9.3.2.2 (f); de onderbouwing van de verklaring van toepasselijkheid (SoA) moet de beoordeling van de effectieve implementatie van de controles mogelijk maken. Of met andere woorden: Er moet bewijs zijn dat een controle is geïmplementeerd en effectief is.

Artikel 22, § 1, 2° van het koninklijk besluit ter uitvoering van de NIS2-wet bepaalt dat een essentiële NIS2-entiteit die voor een ISO/IEC 27001-certificering kiest, het toepassingsgebied van de toekomstige certificering (dat al haar netwerk- en informatiesystemen omvat) en de toepasselijkheidsverklaring (Statement of Applicability (SoA)) van de toekomstige certificering moet bezorgen aan het CCB. Deze toepasselijkheidsverklaring bevat een lijst van alle cyberbeveiligingsmaatregelen die worden of zijn geïmplementeerd, met name de meest recente interne audit waarin de implementatie van deze cyberbeveiligingsmaatregelen is beoordeeld. 
Het verstrekken van een dergelijk intern auditverslag is wettelijk vereist door art. 30, § 3, 6° van de NIS2-wet en/of art 2.2 en 2.3 van de bijlage bij de uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober 2024.
In het kader van zijn toezichthoudende taak zal de inspectiedienst van het CCB de maatregelen in de toepasselijkheidsverklaring vergelijken met gelijkwaardige maatregelen in CyFun® Basic of Important, om te beoordelen of ze voldoende passend en proportioneel zijn. Indien nodig kan de inspectiedienst om verdere verduidelijking vragen.
Meer informatie is beschikbaar in de volgende vragen hieronder.

De toepasselijkheidsverklaring moet alle cyberbeveiligingsmaatregelen bevatten die door de entiteit zijn of worden geïmplementeerd. Deze maatregelen moeten alle passende en evenredige cyberbeveiligingseisen omvatten die worden opgelegd door de artikelen 30 tot en met 38 van de NIS2-wet. Volgens artikel 4 van het koninklijk besluit ter uitvoering van de NIS2-wet omvat het CyberFundamentals Framework (CyFun®) van het CCB alle praktische modaliteiten voor de beoordeling van de minimale maatregelen voor het beheer van cyberbeveiligingsrisico's van NIS2 als bedoeld in artikel 30, § 3 van de NIS2-wet, en is het een relevant instrument voor de regelmatige conformiteitsbeoordeling als bedoeld in artikel 39 van de NIS2-wet.
Om aan de wettelijke vereisten te voldoen, bevat de toepasselijkheidsverklaring (die uiterlijk op 18 april 2026 aan het CCB moet worden verstrekt) een lijst van gelijkwaardige geïmplementeerde cyberbeveiligingsmaatregelen in vergelijking met de maatregelen die zijn vermeld in de CyFun®-zekerheidsniveaus Basic, Important of Essential, afhankelijk van de risicoanalyse die door de entiteit is gemaakt.
Indien de uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober 2024 van toepassing is, omvat de toepasselijkheidsverklaring ook alle cyberbeveiligingsmaatregelen die in de bijlage bij de bovengenoemde uitvoeringshandeling zijn opgenomen.
Het doel is een gelijk speelveld te creëren voor alle entiteiten die in België geregistreerd zijn, of ze nu kiezen voor CyFun® of ISO/IEC 27001:2022. Gezien het specifieke karakter van CyFun® dat door verschillende belanghebbenden is bekrachtigd, gebruikt de inspectiedienst van het CCB de maatregelen die zijn geïdentificeerd in het respectieve zekerheidsniveau van CyFun® om de toepasselijkheidsverklaring van een ISO/IEC 27001:2022 gecertificeerde entiteit te beoordelen om ervoor te zorgen dat gelijkwaardige controles effectief zijn gedefinieerd en geïmplementeerd. Hierbij zal de inspectiedienst van het CCB specifieke aandacht besteden aan de key measures die in CyFun® zijn gedefinieerd, aangezien deze maatregelen rechtstreeks zijn afgeleid van cyberaanvallen die in België plaatsvinden.
Als toezichthoudende autoriteit mogen we niet adviseren over hoe de koppeling tussen het relevante zekerheids-niveau van CyberFundamentals en de ISO/IEC 2700:2022 SoA tot stand komt.

Artikel 22, § 1 van het koninklijk besluit ter uitvoering van de NIS2-wet bepaalt alleen dat tegen 18 april 2026 essentiële entiteiten onder NIS2 die voor CyFun® kiezen voor hun regelmatige conformiteitsbeoordeling, ten minste een CyFun® Basic of Important verificatieverklaring moeten hebben verkregen. 
Deze deadline doet geen afbreuk aan de bevoegdheden van de inspectiedienst van het CCB, in het bijzonder artikel 48, § 1, 1° van de NIS2-wet, dat de inspectiedienst toelaat om elk document of elke informatie op te vragen die nodig is voor de uitoefening van zijn controletaak. Als zodanig kan de bevoegde inspectiedienst op elk moment een NIS2-entiteit vragen om haar CyFun®-verificatieverklaring te verstrekken, indien ze er een heeft.

Artikel 22, § 2 van het koninklijk besluit ter uitvoering van de NIS2-wet bepaalt alleen dat tegen 18 april 2027 essentiële entiteiten onder NIS2 die voor CyFun® kiezen voor hun regelmatige conformiteitsbeoordeling en die op basis van hun risicobeoordeling hebben bepaald dat ze zullen voldoen aan het zekerheidsniveau Essential, een CyFun® Essential certificering moeten hebben verkregen. 
Deze deadline doet geen afbreuk aan de bevoegdheden van de inspectiedienst van het CCB, in het bijzonder artikel 48, § 1, 1° van de NIS2-wet, dat de inspectiedienst toelaat om elk document of elke informatie op te vragen die nodig is voor de uitoefening van zijn controletaak. Als zodanig kan de bevoegde inspectiedienst op elk moment een NIS2-entiteit vragen om haar CyFun®-certificering te verstrekken, indien ze er een heeft.

Uitsluitingen in CyFun® zouden specifieke CyFun® vereisten kunnen zijn waarbij het voor de organisatie niet haalbaar is om aan die CyFun® vereisten te voldoen. Omdat het uitgangspunt van CyFun® is dat men controles proportioneel kan invullen op basis van risicomanagement, is er bewust voor gekozen om deze mogelijkheid niet te bieden in de zelfevaluatietool van CyFun®, rekening houdend met de onwaarschijnlijkheid van deze gemotiveerde uitsluitingen.

Het niet van toepassing zijn van een controle is een “uitzondering” (“exception”) zoals voorzien in de CyFun® Maturity Level Description (CyFun® Toolbox).

Bij de documentatie moet worden nagegaan dat de uitsluiting goed is gemotiveerd, gedocumenteerd en geautoriseerd door de hoogste leiding van de organisatie.

Bij de implementatie moet worden nagegaan dat er voldoende bewijs is van due diligence is om aan te tonen dat het uitsluiten van een CyFun® controle de naleving van specifieke wettelijke, reglementaire en/of contractuele verplichtingen niet in het gedrang brengt.

Het CyberFundamentals Framework is oorspronkelijk een Belgisch raamwerk, ontwikkeld door het Centre for Cybersecurity Belgium (CCB), maar zo opgebouwd dat het op Europees niveau erkend kan worden. Een proces dat nu in gang is gezet door BELAC. Op dit moment is CyFun® alleen in de Belgische wetgeving opgenomen om, tot het tegendeel bewezen is, aan te kunnen nemen dat de entiteit aan haar NIS2-cyberbeveiligingsverplichtingen voldoet (vermoeden van conformiteit). Ondertussen is het kader formeel geadopteerd door Roemenië. Hoe het zal worden gebruikt bij de operationele uitrol van NIS2 is daar in ontwikkeling. Andere Europese landen erkennen ook de waarde van CyFun® (waaronder Frankrijk) en bekijken hoe zij dit raamwerk kunnen erkennen of zelfs volledig kunnen overnemen.

Het CCB onderhoudt het raamwerk en alle documenten die bij het systeem horen als Primaire Eigenaar van het systeem. Dit is opgenomen in een formele procedure die de uitrol van CyFun® naar andere Europese landen mogelijk maakt.

CyFun® is ontworpen om organisaties te helpen hun gegevens te beschermen, het risico op veelvoorkomende cyberaanvallen te verkleinen en de cyberweerbaarheid te vergroten. Het is gebaseerd op vier veelgebruikte cyberbeveiligingsraamwerken (NIST CSF, ISO/IEC 27001, CIS Controls en IEC 62443) en maakt ook gebruik van geanonimiseerde historische gegevens van succesvolle cyberaanvallen om de verschillende maatregelen in het raamwerk te identificeren. Het CyFun® Framework heeft een formeel conformiteitsbeoordelingsschema en is gericht op praktische maatregelen voor het identificeren, beoordelen en beperken van cyberbeveiligingsrisico's, met de nadruk op veerkracht en herstel na cyberincidenten.

ISO/IEC 27001:2022 is een internationale norm voor managementsystemen voor informatiebeveiliging (ISMS), die een raamwerk biedt voor het beheren en beschermen van informatiemiddelen, en die vereisten bevat voor het instellen, implementeren, onderhouden en voortdurend verbeteren van een ISMS, in lijn met andere ISO managementsysteemnormen.

De link tussen ISO/IEC 27001:2022 en CyFun® wordt zichtbaar gemaakt in de CyFun® mapping die online beschikbaar is in de CyFun® Toolbox.

Het volgende is een samenvatting van wat in detail beschreven staat in het CyFun® Conformiteitsbeoordelingsschema dat online beschikbaar is.

Een Belgische rechtspersoon kan kiezen voor een verificatie om een label met bijbehorende QR-code CyberFundamentals “Basic” of “Important” te verkrijgen. Om het CyberFundamentals 'Basic' of 'Important' label te verkrijgen en te gebruiken, moet de entiteit aan het CCB de zelfevaluatie voorleggen die werd geverifieerd en geattesteerd in een verificatieverklaring door dezelfde geaccrediteerde Conformiteitsbeoordelingsinstantie (CAB).

Voor het CyberFundamentals 'Essential' label geldt dezelfde procedure, maar hier is het gebaseerd op een certificatie in plaats van een verificatie. In dit geval moet bewijs van succesvolle implementatie van sleutelmaatregelen samen met de zelfbeoordeling worden ingediend. Het vereiste bewijs voor elke sleutelmaatregel bestaat uit een toelichting (1-pager) met aantoonbaar bewijs van hoe de maatregel is uitgerold.

In alle gevallen zal het CCB voor elke labelaanvraag controleren of aan de eisen voor elke sleutelmaatregel is voldaan en of het algemene maturiteitsniveau is bereikt. De certificatie autoriteit van het CCB kan om aanvullende informatie vragen. 

Belgische entiteiten kunnen een CyberFundamentals-label verkrijgen op basis van een ISO/IEC 27001:2022-certificaat. Dit certificaat moet aan het CCB worden bezorgd, waarna het CCB de geschiktheid zal verifiëren op dezelfde manier als beschreven in de respectieve regels voor het verkrijgen en gebruiken van een CyberFundamentals-label 'Basic', 'Important' of 'Essential', afhankelijk van wat de entiteit aanvraagt. De certificatie-autoriteit van het CCB (NCCA) zal controleren of de onderbouwde verklaring van toepasselijkheid (SoA) hetzelfde niveau heeft als het relevante CyFun®-zekerheidsniveau.

Het toepassingsgebied van de conformiteitsbeoordeling, ISO/IEC 27001:2022 en CyFun®, betreft een organisatie als geheel, tenzij IT/OT-omgevingen fysiek en/of technisch gescheiden zijn. De scheiding moet zodanig worden uitgevoerd dat de omgevingen buiten het toepassingsgebied de risico's van de omgeving binnen het toepassingsgebied niet beïnvloeden. In elk geval moet dit worden verduidelijkt in het toepassingsgebied van de conformiteitsbeoordeling. Aangezien het toepassingsgebied de hele organisatie omvat, geldt dit ook voor de Verklaring van Toepasselijkheid zoals voorzien in de ISO/IEC 27001:2022.

Het CyberFundamentals Framework is een raamwerk dat eigendom is van het Centrum voor Cybersecurity België (CCB), dat onder het gezag van de Eerste Minister van België opereert.

Het acroniem "CyFun" staat voor "CyberFundamentals Framework" en is een geregistreerd handelsmerk van het CCB.

Het CyFun Framework en het CyberFundamentals Conformiteitsbeoordelingsschema (CAS) zijn beschikbaar op www.cyfun.be.

Het gebruik van de afkorting "CyFun" en/of delen van dit document is toegestaan, mits de bron duidelijk wordt vermeld.

Elk commercieel gebruik van CyFun is onderworpen aan een voorafgaande overeenkomst met het CCB.

De onderstaande elementen worden geïdentificeerd in het CyFun® Conformiteitsbeoordelingsschema. Dit document is beschikbaar op www.cyfun.be

• Een ISO/IEC 27001:2022 certificaat uitgegeven door een geaccrediteerd CAB.
• De Verklaring van Toepasselijkheid (Statement Of Applicability) dat gekoppeld is aan het ISO/IEC 27001:2022 certificaat.
• Een duidelijke verklaring dat het zekerheidsniveau waarvoor de aanvrager een label wil verkrijgen “Basic” of “Important” is (voorzien in de tool).
• De Statement Of Applicability dat deel uitmaakt van de ISO/IEC 27001:2022 certificering moet de eisen van het CyberFundamentals zekerheidsniveau “Basic” of “Important” bevatten. Dit kan worden aangetoond door middel van een « mapping »

Hoewel het CyFun® Conformiteitsbeoordelingschema geen specifiek formaat oplegt m.b.t. de te leveren bewijsvoering, moet die de beoordeling van de effectieve implementatie van de sleutelmaatregelen (key measures) mogelijk maken.

De Certificeringsautoriteit van het CCB kan om aanvullende informatie vragen.

De onderstaande elementen worden geïdentificeerd in het CyFun® Conformiteitsbeoordelingsschema. Dit document is beschikbaar op www.cyfun.be

• Een ISO/IEC 27001:2022 certificaat uitgegeven door een geaccrediteerd CAB.
• De Verklaring van Toepasselijkheid (Statement Of Applicability) dat gekoppeld is aan het ISO/IEC 27001:2022 certificaat.
• Een duidelijke verklaring dat het zekerheidsniveau waarvoor de aanvrager een label wil verkrijgen “Essential” is (voorzien in de tool).
• De Statement Of Applicability die deel uitmaakt van de ISO/IEC 27001:2022 certificering moet de eisen van het CyberFundamentals zekerheidsniveau “Essential” bevatten. Dit kan worden aangetoond door middel van een « mapping »
• Bewijs van succesvolle implementatie van alle sleutelmaatregelen (key measures) door middel van een toelichting (1-pager) met aantoonbaar bewijs van hoe de maatregel is uitgerold.

Hieronder volgt een niet-limitatieve lijst van mogelijke elementen die aantonen dat een organisatie haar toeleveringsketen effectief begrijpt en beheert:

1. Documentatie van leveranciers- en klantenlijsten

Documentatie op een gecontroleerde manier (versiebeheer, goedkeuring, enz.) van lijsten van alle upstream (grondstoffenleveranciers, onderdelenfabrikanten, dienstverleners, enz.) en downstream (klanten) organisaties, verder gedetailleerd met de geleverde diensten, mogelijkheden, producten en artikelen die elke leverancier levert.

2. Visualisatie van de toeleveringsketen

Maak een visualisatie van de toeleveringsketen (bijv. in een Mindmap) die de stroom van goederen en diensten van leveranciers naar uw organisatie en van uw organisatie naar klanten laat zien.

Kritische leveranciers en klanten die essentieel zijn voor de activiteiten van uw organisatie worden best  aangeduid.

3. Communicatie met de toeleveringsketen

Er zouden verslagen beschikbaar moeten zijn van de communicatie met zowel upstream- als downstream-organisaties, waaruit blijkt dat u de positie van uw eigen organisatie en het cruciale belang van elke afzonderlijke organisatie in uw toeleveringsketen voor uw activiteiten hebt gecommuniceerd. Dit kan ook door middel van regelmatige bijeenkomsten met belangrijke leveranciers en klanten die u organiseert om de samenwerking te bespreken en eventuele problemen op te lossen. Het is belangrijk om deze bijeenkomsten en de besproken punten te documenteren.

4. Contracten en overeenkomsten

Opstellen, bijwerken en bewaken van contracten en overeenkomsten met leveranciers en klanten zoals bedoeld in ISO/IEC 27001:2022 clausule 7.5. Deze documenten moeten de rollen, verantwoordelijkheden en bevoegdheden van elke partij en hun belang voor uw activiteiten bevatten.

5. Gedocumenteerde en bewaakte risicomanagementplannen

Er zouden risicobeheerplannen moeten worden gedocumenteerd en bijgehouden die potentiële risico's in verband met leveranciers en klanten identificeren. Dit omvat ook mitigatie om deze risico's te beperken.

6. Regelmatige beoordelingen en updates

Er zouden regelmatig beoordelingen van uw toeleveringsketen moeten worden gepland en de documentatie moet dienovereenkomstig worden bijgewerkt. Leveranciers of klanten zouden op de hoogte moeten worden gebracht van eventuele wijzigingen.

7. Training en bewustwordingsprogramma's

Trainingsprogramma's voor werknemers, en waar relevant leveranciers en klanten, zouden moeten worden uitgerold om ervoor te zorgen dat ze het belang van de toeleveringsketen voor uw organisatie en hun rol in het onderhouden ervan begrijpen. Deze trainingssessies en de resultaten ervan zouden moeten worden gedocumenteerd (aanwezigheidslijst, trainingsmaterialen, agenda, feedback en acties die naar aanleiding van die feedback zijn ondernomen, evaluatietests en de resultaten daarvan, enz.)