CyberFundamentals: de vier niveaus begrijpen

CyberFundamentals (CyFun) is het referentiekader van het Centrum voor Cybersecurity België (CCB) om cybersecuritymaatregelen door te voeren, in het bijzonder in het kader van NIS2. De vereisten steunen op erkende referentiekaders — NIST CSF, ISO/IEC 27001 en 27002, IEC 62443, CIS Controls. Het telt vier niveaus, van het meest toegankelijke tot het meest veeleisende.

De vier niveaus

Small is een instappunt: een beperkte set kernmaatregelen, bedoeld voor zeer kleine structuren. Basic vormt de basis die beschermt tegen de meest voorkomende aanvallen; het CCB beveelt het als minimum aan voor elke organisatie in de toeleveringsketen van een NIS2-entiteit. Important verhoogt het assurance-niveau, op maat van de belangrijke entiteiten. Essential, ten slotte, mikt op de stand van de techniek en is bestemd voor de essentiële entiteiten.

Basic, Important en Essential zijn de drie assurance-niveaus die in de NIS2-context worden gehanteerd; Small blijft een instapniveau.

Welk niveau voor mijn organisatie

Het CCB stelt een instrument voor risicobeoordeling ter beschikking, gebaseerd op generieke analyses voor zeventien sectoren, om de keuze van het niveau te sturen. In de praktijk geeft het NIS2-statuut al een aanwijzing: een belangrijke entiteit situeert zich op Basic of Important; een essentiële entiteit, op Important of Essential.

Verificatie of certificatie

Het vermoeden van conformiteit met NIS2 wordt verkregen via CyFun-verificatie voor de niveaus Basic en Important, en via CyFun-certificatie voor het niveau Essential. Essentiële entiteiten moeten het niveau Basic of Important bereiken vóór 18 april 2026, en vervolgens het vereiste niveau laten certificeren vóór 18 april 2027.

Het juiste niveau kiezen betekent de inspanning afstemmen op het werkelijke risico — niet te laag, niet buitensporig.