IT-partner? Ontdek hoe je NIS2 audit-readiness levert

Bekijk partneraanbod →

CyFun voor MSP's: Het Belgische Cyberbeveiligingsframework Uitgelegd

Uw klant heeft net een brief ontvangen van het CCB over CyFun-compliance. Weet u wat u moet zeggen? CyberFundamentals — CyFun — is het Belgische framework dat direct mapt naar NIS2. Het is wat duizenden van uw klanten moeten bewijzen voor een CAB-auditor. Dit is wat elke MSP moet weten.

MSP die CyFun compliance framework bespreekt met klant op laptop

Het CyberFundamentals framework is het CCB's antwoord op een eenvoudige vraag: hoe weet een Belgische organisatie of ze cyberbeveiligingsklaar is? En hoe toon je dat aan aan een auditor? Als MSP bent u de brug tussen de NIS2-vereisten en de auditgereedheid van uw klant.

Wat Is CyFun?

CyberFundamentals — CyFun — is het cyberbeveiligingsframework gepubliceerd door het Centrum voor Cybersecurity Belgie (CCB). Het biedt organisaties een gestructureerd, meetbaar pad naar cybersecurity-compliance. Het framework mapt naar internationale standaarden zoals NIS2, ISO 27001 en NIST CSF, maar is specifiek aangepast voor de Belgische regelgevingscontext.

CyFun Small

7 controls

Entry-level framework voor zeer kleine organisaties. Dekt de absolute basisvereisten: back-ups, toegangscontrole, patching, incidentrespons.

CyFun Basic

34 controls

Het standaardniveau voor de meeste KMO-klanten. Vereist voor organisaties in de NIS2 supply chain. Dekt alle kritieke beveiligingsdomeinen.

CyFun Important

Uitgebreide controls

Voor organisaties geclassificeerd als Belangrijke Entiteiten onder NIS2. Vereist een grondiger implementatie en bewijs.

CyFun Essential

Volledige controls

Voor Essentiële Entiteiten — kritieke infrastructuur, grote publieke sector. Volledige framework-implementatie en verplichte CAB-audit.

Waarom CyFun Belangrijk Is voor Uw MSP-klanten

NIS2 heeft twee categorieën gereguleerde entiteiten gecreëerd in Belgie: Belangrijk en Essentieel. Meer dan 4.000 organisaties hebben zich al geregistreerd bij het CCB. Maar de echte impact op uw klantenbestand komt van Artikel 21 van de richtlijn, dat NIS2-gereguleerde organisaties verplicht om cybersecurity-risico in hun toeleveringsketen te beheren.

Dat betekent: als uw klant diensten of producten levert aan een NIS2-geregistreerde entiteit — een ziekenhuis, een gemeente, een nutsbedrijf — zal die klant van uw cliënt vragen om basale cybersecurity-hygiëne te bewijzen. CyFun Basic is de standaard waartegen ze worden afgemeten. Dit gebeurt al.

4.000+

Belgische entiteiten geregistreerd bij het CCB onder NIS2

25.000+

geschatte organisaties getroffen door supply chain-vereisten

2

BELAC-geaccrediteerde CyFun-auditorganen in Belgie (april 2026)

34

controls vereist voor CyFun Basic-certificering

De Auditorbottleneck Die Uw Klanten Moeten Kennen

Per april 2026 zijn er slechts twee BELAC-geaccrediteerde organen bevoegd om CyFun-certificeringsaudits uit te voeren in Belgie: Brand Compliance Belgie en What a Work SRL (Trust CHECK). Twee auditors voor duizenden organisaties betekent dat er al auditwachtrijen ontstaan. Organisaties die nu beginnen met voorbereiden, worden als eerste geaudit.

Hoe MSP's CyFun-compliance Leveren

MSP-levering van CyFun-compliance volgt een herhaalbaar proces. U hebt geen compliance-certificeringen nodig. U hebt een proces en de juiste tools nodig.

Isometrische illustratie van het 5-stappen CyFun compliance proces voor MSPs
1

Voer de CyFun-beoordeling uit

Breng de huidige situatie van de klant in kaart ten opzichte van alle 34 CyFun Basic-controls. Beoordeel elke control op documentatie en implementatiematuriteit. Dit levert een gap-rapport op — de basis van alles wat volgt.

2

Prioriteer quick wins

Niet alle 34 controls zijn gelijk. Identificeer de 5-8 controls met de grootste compliance-kloof en de laagste inspanning om die te dichten. Begin daar. Vroege overwinningen creëren momentum en klantvertrouwen.

3

Genereer beleidsplannen en bewijs

CyFun vereist gedocumenteerde beleidsplannen, niet alleen technische controls. Genereer of pas beveiligingsbeleidsdocumenten, procedures voor toegangscontrole, back-upbeleid en incidentresponsplannen aan. Verzamel bewijs dat elke control is geïmplementeerd.

4

Stel het auditdossier samen

Consolideer al het bewijs in een gestructureerd auditpakket: controlestatus, beleidsdocumenten, screenshots, logboeken, testresultaten. Dit is wat de CAB-auditor zal beoordelen. Hoe netter het dossier, hoe sneller de audit.

5

Plan de CAB-audit

Zodra de klant audit-ready is, helpt u hen een afspraak te maken met een BELAC-geaccrediteerde auditor. Gezien de huidige bottleneck is vroeg boeken belangrijk. Uw taak is gedaan wanneer de klant de auditruimte inloopt voorbereid.

VLAIO-subsidies: De Kostenbezwaar Wegnemen

De Vlaamse kmo-portefeuille dekt tot 45% van cybersecurity-advieskosten (tot €7.500 per jaar voor KMO's). Als MSP geregistreerd bij VLAIO als cybersecurity-adviseur kwalificeren uw compliance-diensten hiervoor. Dit betekent dat een klant die €100/maand betaalt voor managed CyFun-compliance tot €45/maand terugkrijgt — hun nettokosten dalen naar ongeveer €55/maand.

De Snelste Manier om CyFun-diensten te Beginnen Aanbieden

Easy Cyber Protection biedt MSP's een multi-tenant CyFun-platform met beoordelingstools, beleidsplan-generatie, bewijsverzameling en gemerkte audit-ready rapporten — alles voor €25/klant/maand. Geen compliance-expertise vereist. U bereidt de klanten voor; de CAB-auditors certificeren hen.

Veelgestelde Vragen

Heeft elke Belgische KMO CyFun nodig?

Niet elke KMO valt direct in scope voor NIS2. Maar het supply chain-effect betekent dat veel KMO's gevraagd zullen worden om CyFun Basic-gereedheid aan te tonen door hun grotere klanten of partners. Cyberverzekeraars vragen ook steeds vaker om bewijs van een beveiligingsframework. Voor de meeste Belgische KMO's is CyFun Basic het praktische antwoord.

Wat is het verschil tussen CyFun Basic en Important?

CyFun Basic (34 controls) is ontworpen voor KMO's en organisaties in de NIS2-toeleveringsketen. CyFun Important geldt voor organisaties geclassificeerd als Belangrijke Entiteiten onder NIS2 — doorgaans grotere organisaties in gereguleerde sectoren. Als u niet zeker weet welk niveau van toepassing is op een klant, begin dan met Basic. Het CCB biedt een zelfevaluatietool om de scope te bepalen.

Moeten MSP's geaccrediteerd zijn om CyFun-diensten te leveren?

Nee. MSP's helpen klanten audit-ready te worden — dat betekent controls in kaart brengen, documentatie genereren en bewijs verzamelen. De certificeringsaudit zelf wordt uitgevoerd door een BELAC-geaccrediteerde CAB-auditor. Zie de MSP als de boekhouder en de auditor als de externe accountant.

Hoe lang duurt CyFun Basic-implementatie?

Voor een klant die van scratch begint, duurt het doorgaans 4-8 weken met actieve ondersteuning om audit-ready te worden. Klanten die al basale beveiligingshygiëne hebben, kunnen in 2-3 weken klaar zijn. De bottleneck is gewoonlijk documentatie en bewijsverzameling, niet de technische controls.

Kunnen we VLAIO-subsidies gebruiken voor CyFun-compliance werk?

Ja, als u geregistreerd bent als VLAIO-goedgekeurde cybersecurity-adviseur. De kmo-portefeuille dekt tot 45% van cybersecurity-advieskosten. Dit maakt de compliance-dienst aanzienlijk betaalbaarder voor Vlaamse KMO-klanten en neemt een van de meest voorkomende bezwaren weg.

Gerelateerde Artikelen

TARS