Last update: 29/03/2024

Het Centrum voor Cybersecurity België (CCB) heeft een tool ontwikkeld om een eenvoudige risicobeoordeling uit te voeren die resulteert in een goed geïnformeerde selectie van het juiste CyberFundamentals zekerheidsniveau in de context van NIS2. De tool legt geen specifieke risicoanalysemethodologie op die organisaties zouden moeten gebruiken in hun dagelijks beheer.

Geïnspireerd door de NIS2-richtlijn van de EU heeft het CCB generieke risicobeoordelingen uitgevoerd voor 17 sectoren, waarbij rekening werd gehouden met de nationale of maatschappelijke gevolgen van een cyberaanval. De resultaten van deze risicobeoordelingen zijn als standaardwaarden in de tool opgenomen.

Om het juiste CyberFundamentals zekerheidsniveau voor uw organisatie te bepalen, moet u de volgende 4 eenvoudige stappen doorlopen:
 

1. Open uw risicobeoordeling 

  • Download de CyFun Selectie Microsoft Excel-werkmap.
  • Selecteer de toepasselijke "sector TAB" onderaan de werkmap.
  • Wanneer uwe organisatie onder meerdere sectoren valt, voer dan de risicoanalyse uit voor elk van die sectoren.those sectors.
     

2. Stel de grootte van uw organisatie in 

Stel je organisatiegrootte in door het juiste getal in te voeren in de cel naast de cel "Organisatiegrootte (L/M/S=3/2/1)".

Gebruik de volgende criteria om de grootte van je organisatie te bepalen:

Grootte
Waarde		GrootteCriteria voor het bepalen van de grootte *
3Groot

250 of meer werknemers**, OF

een jaaromzet van meer dan 50 miljoen EUR, OF

een jaarlijks balanstotaal van meer dan 43 miljoen euro.

2MediumTussen klein en groot
1Klein

Minder dan 50 werknemers EN

een jaaromzet van minder dan 10 miljoen EUR EN

minder dan EUR 10 miljoen jaarlijks balanstotaal

* De gemiddelde omvang van uw organisatie in de loop van het laatste boekjaar. Als u deel uitmaakt van een grotere organisatie (bijv. een holding) of een partnerorganisatie hebt, moet u ook hun omvang meenemen in uw berekening, tenzij u kan aantonen dat u voldoende onafhankelijk bent van hun netwerk en informatiesystemen.

** Voltijdequivalenten van al het personeel dat in of voor de organisatie heeft gewerkt in het laatste boekjaar.

Meer details vindt u in de Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen.
 

3. Het impactniveau per cyberaanvalcategorie bevestigen of bepalen 

Op basis van zijn ervaring heeft het CCB de volgende cyberaanvalcategorieën geselecteerd:

  • Sabotage/verstoring (DDOS,...)
  • Informatiediefstal (spionage,...)
  • Misdaad (losgeldaanvallen)
  • Hacktivisme (ondermijning, defacement,...)
  • Desinformatie (politieke beïnvloeding)

Voor elke categorie cyberaanval is de impact op nationaal, maatschappelijk of bedrijfsniveau bepaald in de kolom "Impact". U kunt het standaard impactniveau accepteren of aanpassen aan de specifieke situatie van uw organisatie. In het document “Beschrijving van impactniveaus Hoog, Medium en Laag” vindt u meer informatie over de manier van het bepalen van de impact. Wanneer de standaardwaarde werd gewijzigd, is het belangrijk om de redenering hierachter te documenteren.

 

4. De waarschijnlijkheid per cyberaanvalcategorie en type bedreigende actor bevestigen of bepalen 

Op basis van zijn ervaring heeft het CCB de volgende types bedreigende actoren geselecteerd:

  • Concurrenten
  • Ideologen (Hacktivisten)
  • Terroristen
  • Cybercriminelen
  • Actoren gesteund door naties

Voor elke categorie cyberaanvallen en voor elk type bedreigende actor is de waarschijnlijkheid (hoog, gemiddeld, laag) bepaald of dit type cyberaanval door dit type bedreigende actor zal worden uitgevoerd.

De waarschijnlijkheidscriteria worden uitgelegd in de tab "criteria" in de CyFun Selection Tool.

U kunt de standaardwaarschijnlijkheid accepteren of aanpassen aan de specifieke situatie van uw organisatie.

Wanneer de standaardwaarde werd gewijzigd, is het belangrijk om de redenering hierachter te documenteren.

In het tabblad "Criteria" van de CyFun selectietool kunt u meer informatie vinden over de betekenis van de waarschijnlijkheden Laag, Gemiddeld en Hoog.
 

Resultaat van de risicobeoordeling 

De tool genereert automatisch het toepasselijke CyberFundamentals zekerheidsniveau in de cel "CyFun Level".

Als uw organisatie in meerdere sectoren valt, is het hoogste CyFun zekerheidsniveau van toepassing.

Als het gegenereerde "CyFun-niveau" afwijkt van het default "CyFun-niveau", is het belangrijk om de reden te documenteren.

Feedback over de tool? Stuur naar: certification@ccb.belgium.be

De tool is enkel beschikbaar in het Engels.

CyFun Selection Tool CyFun Impact Levels