ISO 27001 of CyberFundamentals: welk kader kiezen?

In België kunnen twee referentiekaders worden gebruikt om conformiteit met NIS2 aan te tonen: de internationale norm ISO/IEC 27001 en het kader CyberFundamentals (CyFun) van het Centrum voor Cybersecurity België (CCB). Het CCB erkent ze als gelijkwaardig — het uitgesproken doel is alle entiteiten op gelijke voet te plaatsen. De keuze hangt af van de context.

ISO/IEC 27001

ISO/IEC 27001 is de internationale norm voor het beheer van informatiebeveiliging. Ze steunt op een risicogebaseerde aanpak, een verklaring van toepasselijkheid (SoA) en een certificering die wordt afgeleverd door een onafhankelijke geaccrediteerde instelling. De voornaamste troef is de internationale erkenning, nuttig tegenover klanten of partners buiten België.

CyberFundamentals

CyFun is het Belgische kader van het CCB. Het is gratis, in vier niveaus gegradeerd, en rechtstreeks afgestemd op NIS2; de kernmaatregelen zijn afgeleid van aanvallen die daadwerkelijk in België zijn waargenomen. Het biedt een sneller vertrekpunt, op maat van het risico.

Voor de NIS2-conformiteit

Het vermoeden van conformiteit wordt verkregen via CyFun-verificatie (niveaus Basic of Important), via CyFun-certificatie (niveau Essential), of via ISO/IEC 27001-certificatie — op voorwaarde dat de scope en de verklaring van toepasselijkheid door het CCB aanvaardbaar worden bevonden. Concreet moet de SoA de vereisten van het beoogde CyFun-niveau dekken, wat wordt aangetoond met een mappingtabel; de inspectiedienst van het CCB controleert deze gelijkwaardigheid, met bijzondere aandacht voor de kernmaatregelen.

Hoe beslissen

Een organisatie die al ISO 27001-gecertificeerd is, of internationaal georiënteerd, heeft er belang bij op die norm voort te bouwen. Een organisatie die vertrekt vanuit een Belgisch kader en een gegradeerd, voordelig traject zoekt, vindt in CyFun een directere weg. Beide sluiten elkaar niet uit — en de juiste keuze volgt uit de reële scope en de toepasselijke verplichtingen.