Het Centrum voor Cybersecurity België (CCB) heeft een tool ontwikkeld om een eenvoudige risicobeoordeling uit te voeren die resulteert in een goed geïnformeerde selectie van het juiste CyberFundamentals zekerheidsniveau in de context van NIS2. De tool legt geen specifieke risicoanalysemethodologie op die organisaties zouden moeten gebruiken in hun dagelijks beheer.
Geïnspireerd door de NIS2-richtlijn van de EU heeft het CCB generieke risicobeoordelingen uitgevoerd voor 17 sectoren, waarbij rekening werd gehouden met de nationale of maatschappelijke gevolgen van een cyberaanval. De resultaten van deze risicobeoordelingen zijn als standaardwaarden in de tool opgenomen.
Om het juiste CyberFundamentals zekerheidsniveau voor uw organisatie te bepalen, moet u de volgende 4 eenvoudige stappen doorlopen:
Stel je organisatiegrootte in door het juiste getal in te voeren in de cel naast de cel "Organisatiegrootte (L/M/S=3/2/1)".
Gebruik de volgende criteria om de grootte van je organisatie te bepalen:
| Grootte Waarde | Grootte | Criteria voor het bepalen van de grootte * |
| 3 | Groot | 250 of meer werknemers**, OF een jaaromzet van meer dan 50 miljoen EUR, OF een jaarlijks balanstotaal van meer dan 43 miljoen euro. |
| 2 | Medium | Tussen klein en groot |
| 1 | Klein | Minder dan 50 werknemers EN een jaaromzet van minder dan 10 miljoen EUR EN minder dan EUR 10 miljoen jaarlijks balanstotaal |
* De gemiddelde omvang van uw organisatie in de loop van het laatste boekjaar. Als u deel uitmaakt van een grotere organisatie (bijv. een holding) of een partnerorganisatie hebt, moet u ook hun omvang meenemen in uw berekening, tenzij u kan aantonen dat u voldoende onafhankelijk bent van hun netwerk en informatiesystemen.
** Voltijdequivalenten van al het personeel dat in of voor de organisatie heeft gewerkt in het laatste boekjaar.
Meer details vindt u in de Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen.
Op basis van zijn ervaring heeft het CCB de volgende cyberaanvalcategorieën geselecteerd:
Voor elke categorie cyberaanval is de impact op nationaal, maatschappelijk of bedrijfsniveau bepaald in de kolom "Impact". U kunt het standaard impactniveau accepteren of aanpassen aan de specifieke situatie van uw organisatie. In het document “Beschrijving van impactniveaus Hoog, Medium en Laag” vindt u meer informatie over de manier van het bepalen van de impact. Wanneer de standaardwaarde werd gewijzigd, is het belangrijk om de redenering hierachter te documenteren.
Op basis van zijn ervaring heeft het CCB de volgende types bedreigende actoren geselecteerd:
Voor elke categorie cyberaanvallen en voor elk type bedreigende actor is de waarschijnlijkheid (hoog, gemiddeld, laag) bepaald of dit type cyberaanval door dit type bedreigende actor zal worden uitgevoerd.
De waarschijnlijkheidscriteria worden uitgelegd in de tab "criteria" in de CyFun Selection Tool.
U kunt de standaardwaarschijnlijkheid accepteren of aanpassen aan de specifieke situatie van uw organisatie.
Wanneer de standaardwaarde werd gewijzigd, is het belangrijk om de redenering hierachter te documenteren.
In het tabblad "Criteria" van de CyFun selectietool kunt u meer informatie vinden over de betekenis van de waarschijnlijkheden Laag, Gemiddeld en Hoog.
De tool genereert automatisch het toepasselijke CyberFundamentals zekerheidsniveau in de cel "CyFun Level".
Als uw organisatie in meerdere sectoren valt, is het hoogste CyFun zekerheidsniveau van toepassing.
Als het gegenereerde "CyFun-niveau" afwijkt van het default "CyFun-niveau", is het belangrijk om de reden te documenteren.
Feedback over de tool? Stuur naar: certification@ccb.belgium.be
De tool is enkel beschikbaar in het Engels.
