CyFun-verificatie en NIS2

De NIS2-wet vervangt de eerdere NIS1-wet en implementeert de EU-richtlijn 2022/2555
in België. Het doel is om de cyberbeveiliging van netwerken en informatiesystemen die
van algemeen belang zijn voor de openbare veiligheid te versterken.

Organisaties die onder het toepassingsgebied vallen moeten aantonen dat zij aan de
NIS2-wet voldoen. Dit kan in België door middel van verificatie voor
CyberFundamentals (CyFun)

Op deze pagina vindt u alles wat u moet weten over CyberFundamentals. 

Wilt u graag persoonlijk in contact komen, vraag dan vrijblijvend een CyFun-verificatie aan.

CyFun-verificatie aanvragen

Toepassingsgebied van de NIS2

Om onder de Belgische NIS2-wet te vallen, moet een organisatie in België gevestigd zijn en een dienst leveren die in bijlage I en II van de NIS2-wet staat. De drempelwaarden voor middelgrote ondernemingen moeten worden overschreden. Dit omvat onder andere middelgrote ondernemingen met meer dan 50 werknemers of een jaaromzet van meer dan €10 miljoen.

Via deze NIS2-scope-test-tool test u of uw organisatie een zogenaamde essentiële of belangrijke entiteit is.  

Verplichtingen aan belangrijke en essentiële entiteiten

De NIS2-wet legt een aantal verplichtingen op aan essentiële en belangrijke entiteiten. Organisaties binnen het toepassingsgebied moeten maatregelen nemen om hun cyberbeveiliging te verbeteren, incidenten te beheren en te rapporteren.  

  1. Registratie
    NIS2-entiteiten die onder het toepassingsgebied van de Belgische NIS2-wet vallen, moeten hun organisatie registreren bij het Centrum voor Cybersecurity België CCB;
  2. Maatregelen cyberbeveiligingsrisico’s
    Essentiële en belangrijke entiteiten moeten geschikte maatregelen nemen om hun netwerken en informatiesystemen te beveiligen, incidenten te voorkomen, en de impact van incidenten op hun klanten en andere diensten te beperken; 
  3. Melden van significante incidenten
    Beide entiteiten moeten het nationale CSIRT (in België is dit het CCB) informeren over elk groot incident dat hun diensten beïnvloedt, inclusief informatie over mogelijke grensoverschrijdende effecten; 
  4. Verantwoordelijkheid management
    Bestuursorganen van NIS2-entiteiten moeten cyberbeveiligingsmaatregelen goedkeuren en toezicht houden op de uitvoering ervan. Als de entiteit deze maatregelen niet naleeft, is het bestuursorgaan verantwoordelijk. 

Essentiële entiteiten moeten tevens een verplichte regelmatige conformiteitsbeoordeling ondergaan, waarbij ze kunnen kiezen uit drie opties: een CyFun-certificering, een ISO/IEC 27001-certificering, of een inspectie door de inspectiedienst van het CCB. 

Belangrijke entiteiten moeten zelf een risicobeoordeling uitvoeren en passende beveiligingsmaatregelen nemen om hun netwerken en informatiesystemen te beschermen.  

Toezicht en sancties

Het CCB is aangewezen als de nationale autoriteit voor cyberbeveiliging en zal toezicht houden op de naleving van de wet.  

Boetes

Het CCB kan boetes opleggen voor niet rapporteren, bestraffen van werknemers, en niet naleven van toezicht. Er kunnen hoge boetes worden opgelegd aan belangrijke en essentiële entiteiten gebaseerd op omzet. 

Waarschuwingen

Ook kunnen er door het CCB waarschuwingen worden opgelegd, onder andere instructies om gedrag te stoppen of aan te passen, het openbaar maken van overtredingen, het benoemen van een controlefunctionaris, het uitvoeren van aanbevelingen, opschorten van certificeringen of vergunningen en verbod op leidinggevende functies voor essentiële entiteiten. 

Voor wie is de CyFun-certificering bedoeld?

De NIS2-wet is van toepassing op organisaties die essentiële diensten leveren zoals vermeld in bijlage I en II van de wet. CyFun is geschikt voor: 

  • Kleine en middelgrote ondernemingen (KMO’s): Die hun basisbeveiliging op orde willen brengen zonder complexe beheerssystemen; 
  • Grote ondernemingen: Die een solide fundament willen leggen voor verdere beveiligingsmaatregelen zoals ISO 27001; 
  • Publieke en semi-publieke instellingen: Die verplicht zijn om aan de eisen van de NIS2-richtlijn te voldoen; 
  • Dienstverleners en toeleveranciers: Die klanten zekerheid willen bieden over hun informatiebeveiliging. 

Kortom, de certificering is relevant voor elke organisatie die cyberveiligheid serieus neemt en/of wil voldoen aan wet- en regelgeving. 

Waarom CyFun-certificering belangrijk is voor uw organisatie

Het behalen van de CyFun-certificering biedt tal van voordelen voor Belgische organisaties die hun cyberbeveiliging naar een hoger niveau willen tillen.

De belangrijkste voordelen zijn: 

  • Bescherming tegen cyberdreigingen: Minimaliseert de kans op datalekken en cyberaanvallen;
  • Vertrouwen van klanten en partners: Laat zien dat uw organisatie serieus werk maakt van cyberveiligheid;
  • Wettelijke naleving: Helpt voldoen aan de NIS2-richtlijn die vanaf april 2024 verplicht is in België;
  • Operationele continuïteit: Vermindert de kans op bedrijfsverstoringen door cyberincidenten;
  • Continue verbetering: Ondersteunt bij het regelmatig evalueren en optimaliseren van beveiligingsmaatregelen. 
Vrijblijvende offerte

Niveaus van CyFun

CyberFundamentals kent in het kader van verificatie of certificering drie niveaus, elk gericht op organisaties van verschillende omvang en risicoprofiel: 

CyFun Basic
Het zekerheidsniveau CyFun Basic omvat standaardmaatregelen voor informatiebeveiliging die geschikt zijn voor alle bedrijven. Deze maatregelen bieden effectieve bescherming met technologie en processen die meestal al beschikbaar zijn. Indien nodig, worden de maatregelen aangepast en verfijnd. 

CyFun Important
Het zekerheidsniveau CyFun Important is ontworpen om, naast de bekende cyberbeveiligingsrisico’s, ook de risico’s op gerichte cyberaanvallen door actoren met gangbare vaardigheden en middelen te minimaliseren. 

CyFun Essential
Het zekerheidsniveau CyFun Essential biedt extra bescherming tegen geavanceerde cyberaanvallen door actoren met uitgebreide vaardigheden en middelen. 

Het verificatie- of certificeringsproces

Om een CyberFundamentals verificatie of certificering te behalen dient een organisatie de volgende stappen te doorlopen:

  • Voer een risicobeoordeling uit
    Gebruik de CyFun Selection Tool om het juiste zekerheidsniveau te selecteren;

 

  • Voltooi uw Self Assessment en implementeer corrigerende maatregelen
    Gebruik de CyFun Self-Assessment Tool voor zelfbeoordeling en managementrapportage;

 

  • Vraag een verificatie of audit aan bij Brand Compliance
    Laat uw Self Assessment en corrigerende maatregelen verifiëren of certificeren door Brand Compliance;

 

  • Vraag uw label aan op Safeonweb@work
    Na afronding van het conformiteitsbeoordelings-proces met uw Certificatie-instelling, vraagt u uw CyFun label aan.
Vraag certificering aan

Proces bij Brand Compliance

Het proces bij Brand Compliance komt er als volgt uit te zien:

CyFun-verificatie

ISO 27001 & CyberFundamentals

In sommige gevallen is het tevens mogelijk om met een ISO 27001-certificering een CyFun®-label te behalen. De certificering moet dan aan bepaalde eisen voldoen. 

Lees meer in dit artikel over NIS2-compliance via ISO 27001-certificering

ISO 27001:2023

Zet vandaag de stap naar NIS2-compliance met Brand Compliance

Bescherm uw organisatie tegen cyberdreigingen en voldoe aan de wettelijke verplichtingen van de NIS2-wet door te kiezen voor een CyFun verificatie/certificering. Brand Compliance is als onafhankelijke certificerende instelling uw betrouwbare partner in dit traject. Neem vandaag nog contact met ons op voor een vrijblijvend gesprek. 

Vrijblijvende offerte