Kortom
De certificering CyberFundamentals (CyFun) Basis is niet slechts een verplichting van NIS2. In 2026 is het een concreet commercieel argument voor Belgische KMO's: het Basisniveau is geblokkeerd 82 % van daadwerkelijke cyberaanvallen met slechts 34 maten, zet hij zich op in 2 tot 4 maanden, en stelt klanten en opdrachtgevers gerust die nu veiligheidsbewijzen van hun leveranciers eisen.
- CyFun is het officiële referentiekader van het Centrum voor Cybersecurity België (CCB) en wordt erkend als een geldige weg naar NIS2-naleving.
- Het Basic-niveau omvat 34 technieken en bestrijkt 82 % van de meest voorkomende aanvallen volgens de CCB.
- De NIS2-richtlijn zet grote bedrijven ertoe aan om beveiligingsbewijs te eisen van hun gehele leveranciersketen, inclusief MKB-bedrijven die buiten het toepassingsgebied vallen.
- Een CyFun-label is niet automatisch gelijk aan volledige NIS2-naleving: incidentmeldingsprocedures moeten nog steeds apart worden behandeld.
- Belangrijke deadline: NIS2-entiteiten moesten hun CyFun-zelfevaluatie vóór 18 april 2026 indienen bij het CCB.
Wat is CyFun (CyberFundamentals)?
CyFun is het officiële cybersecurity referentienummer van België, ontwikkeld door het Centrum voor Cybersecurity België (CCB). Hij vertaalt de grote internationale standaarden — NIST Cybersecurity Framework, ISO 27001/27002, CIS Controls en IEC 62443 — naar concrete, meetbare en op Belgische organisaties afgestemde eisen.
Het bijzondere ervan is dat het referentiekader gevoed wordt door daadwerkelijk voorgevallen cyberincidenten in België, waartoe het CCB voortdurend toegang heeft. De meest effectieve maatregelen tegen deze incidenten staan hierin vermeld als «kernmaatregelen». Dit maakt CyFun bijzonder relevant voor het Belgische dreigingslandschap.
CyFun wordt door het CCB erkend als een van de twee geldige wegen naar naleving van de NIS2-richtlijn, de andere is de ISO/IEC 27001-norm. Beide wegen genieten een wettelijk vermoeden van naleving.
De 4 niveaus van CyFun uitgelegd
CyFun rust op een progressief model van vier niveaus. Elk niveau bevat alle vereisten van het voorgaande niveau, plus extra eisen.
| Niveau | Maatregelen | Dekking | Voor wie? |
|---|---|---|---|
| Klein | ~10 regels | Schatting | Micro-organisaties, weinig technische kennis |
| Basis | 34 maten | ~82 % | MKB en gematigde beveiligingsbehoeften |
| Belangrijk | 117 maatregelen | ~94 % | Organisaties die gevoelige gegevens beheren |
| Best effort | 140 maten | tot 100 % | Grote ondernemingen, kritieke infrastructuur |
Dekking van cyberaanvallen per CyFun-niveau
Aandeel van daadwerkelijke aanvallen geblokkeerd, volgens het CCB
Het Basic-niveau biedt de beste verhouding tussen inspanning en bescherming voor een KMO: 34 maatregelen voor 82 % aan dekking.
Ter informatie: een nieuwe versie, CyFun 2025, is in oktober 2025 uitgebracht. Het voegt een zesde functie toe, Govern (beheer), aan de bestaande vijf (Identificeren, Beschermen, Detecteren, Reageren, Herstellen). De versies 2023 en 2025 bestaan naast elkaar tot 18 april 2027; elke organisatie kiest welke zij toepast.
Waarom het basisniveau voldoende is voor de meeste KMO's
Voor de meerderheid van de Belgische KMO's is het basisniveau het juiste doel. Het behandelt de grondbeginselen die de overgrote meerderheid van de echte aanvallen blokkeren — die welke kleine structuren daadwerkelijk raken — zonder de documentaire ballast van een Essential-niveau op te leggen.
De prioriteiten die door het CCB voor deze basis zijn geïdentificeerd, bestaan uit enkele concrete pijlers:
Authentificatie (MFA)
Meervoudige-authenticatie op gevoelige toegang, de eerste barrière tegen identiteitsdiefstal.
Back-ups
Betrouwbare, geteste en herstelbare back-ups — onafhankelijk van het platform.
Endpointbescherming
Een EDR-oplossing om bedreigingen op apparaten te detecteren en te blokkeren.
Toegang & updates
Toegangsbeheer en regelmatig patchbeheer.
Netwerksegmentatie
Het netwerk cloisoneren om de verspreiding van een aanval te beperken.
Phishingbewustzijn
Train de medewerkers, de eerste verdedigingslinie tegen phishing.
Wat betreft de doorlooptijd, het bereiken van het basisniveau vertegenwoordigt doorgaans een werk van 2 tot 4 maanden voor een ondersteunde KMO — veel lichter dan een volledige ISO 27001 aanpak, terwijl het door het CCB wordt erkend als een geldige weg naar NIS2.
Het verkoopargument: uw label wordt een onderscheidende factor
Hier is de kern van de zaak, degene die de meeste artikelen over NIS2 vergeten te behandelen.
De NIS2-richtlijn verplicht grote organisaties om het cybersecurityrisico te beheren op hun gehele toeleveringsketen. Concreet vraagt een groot bedrijf, een ziekenhuis of een energieaanbieder die onder NIS2 valt, nu aan zijn leveranciers en dienstverleners om hun eigen beveiligingsniveau aan te tonen.
Vertaling voor uw MKB: zelfs buiten de directe reikwijdte van NIS2, zullen uw klanten die daaronder vallen u de vraag stellen. En «we nemen de veiligheid serieus» volstaat niet meer als antwoord.
Stel je de situatie voor: een potentiële klant die onderworpen is aan NIS2 moet kiezen tussen twee IT-leveranciers. De aanbiedingen zijn vergelijkbaar, de prijzen liggen dicht bij elkaar. De ene adverteert met een CyFun Basic-certificering, de andere niet. De keuze is snel gemaakt.
Het CyFun-label stuurt drie sterke signalen naar uw markt:
U spreekt de taal van uw gereguleerde klanten
Met een beveiligingsvragenlijst reageer je met erkend bewijs in plaats van met beloftes. Je versnelt de verkoopcyclus en neemt een aankoopdrempel weg.
Je maakt van een verplichting een voordeel
Waar de AVG werd ervaren als een opgelegde beperking, wordt NIS2 steeds meer gezien als een kans om je te onderscheiden. Een gecertificeerd bedrijf positioneert zich op een hoger kwaliteitsniveau.
Je wekt vertrouwen
Een door een derde partij geverifieerd label toont een echte toewijding. Het vergemakkelijkt zelfs de toegang tot cyberverzekeringen, aangezien verzekeraars het CyFun-niveau gebruiken om het risico te beoordelen.
Let op: een CyFun-label is geen automatische naleving van NIS2.
Het te vermijden misverstand
Het hebben van een CyberFundamentals-label alleen voldoet nog niet aan alle eisen van NIS2. Specifieke verplichtingen — zoals strikte termijnen voor de melding van incidenten aan het CCB (24 uur, 72 uur en vervolgens 30 dagen) — moeten afzonderlijk worden behandeld in uw interne procedures.
Het label is een solide basis en een belangrijk onderdeel van uw naleving, maar het maakt deel uit van een bredere bestuursaanpak. Daar maakt ervaren begeleiding het verschil tussen een certificering «op papier» en een werkelijk operationele beveiligingshouding.
Hoe verkrijg je het CyFun Basic label
De aanpak die de CCB aanbeveelt, volgt een logica in vier stappen:
Bepaal uw doelniveau
Met behulp van de gratis selectietool van de CCB, gebaseerd op een risicobeoordeling per sector.
Een zelfbeoordeling uitvoeren
Stap voor stap, door bewijs te documenteren, via de officiële Excel-tool van de CCB.
De kloof dichten
De kloofanalyse (gap analysis), waarbij acties worden geprioriteerd op basis van risico.
Laten controleren of certifiëren
De officiële certificering verloopt via een conformiteitserkenningsinstantie (CAB) die geaccrediteerd is door BELAC.
Hoe GVISION u begeleidt
Bij GVISION begeleiden we Brusselse en Belgische KMO's gedurende het hele traject: van de initiële gap-analyse tot operationele conformiteit, inclusief de concrete implementatie van de verwachte technische maatregelen (MFA, back-ups, EDR, segmentatie, phishing-awareness).
Onze aanpak is die van een partner in de buurt, geen simpele reparatiedienst: we vertalen de eisen van het referentiekader naar concrete acties, aangepast aan uw omvang, uw sector en uw budget. Het doel is niet alleen om een label te verkrijgen, maar om van uw veiligheid een duurzame troef te maken – en een argument dat u kunt gebruiken tegenover uw klanten.
Is CyFun Basic relevant voor uw bedrijf?
Profiteer van onze gratis veiligheidsaudit: we bekijken je situatie en bieden je een duidelijke, jargonloze en vrijblijvende routekaart.
Vraag mijn gratis audit aanContacteer onsVeelgestelde vragen — CyFun en certificering
Is CyFun verplicht in België?
Wat is het verschil tussen CyFun en ISO 27001?
Hoe lang duurt het om het basale niveau te bereiken?
Welk CyFun-niveau moet ik kiezen voor mijn MKB?
Zorgt een CyFun-label automatisch voor naleving van NIS2?
Hoeveel kost een CyFun Basic certificering?
Dit artikel gaat over een regelgevend onderwerp waarvan de termijnen en voorwaarden evolueren. De informatie weerspiegelt de status van de CyFun-referentiedocumenten en de NIS2-regelgeving in 2026. Bronnen: Centrum voor Informatieveiligheid België (CCB / Safeonweb), cyfun.eu. Voor elke conformiteitsbeslissing, valideer uw specifieke situatie met het CCB of met onze experts.





