Is CyFun SMALL verplicht voor mijn bedrijf?

Nee. CyFun SMALL is een vrijwillige startersgids, niet auditeerbaar en niet wettelijk verplicht. Het is bedoeld als opstap voor kleine bedrijven die hun basisbeveiliging willen verbeteren. Val je onder de NIS2-wet, dan is CyFun BASIC het instapniveau — maar SMALL helpt je daar naartoe te werken.

Hoe lang duurt de CyFun SMALL zelfbeoordeling?

De zelfbeoordeling zelf kost je een halfuur tot een uur. Je doorloopt 7 aanbevelingen en noteert per punt of je het al doet, deels doet, of nog moet beginnen. Het echte werk zit in het opvolgen van de verbeterpunten.

Ik heb geen IT-kennis. Kan ik CyFun SMALL zelf doorlopen?

Ja, dat is precies het doel. CyFun SMALL is geschreven voor niet-technische zaakvoerders. De 7 aanbevelingen zijn concreet en uitvoerbaar zonder specialistische kennis. Voor technische acties zoals MFA instellen kun je eventueel je IT-partner inschakelen.

Wat is het verschil tussen CyFun SMALL en CyFun BASIC?

SMALL bevat 7 niet-technische aanbevelingen en is niet auditeerbaar. BASIC bevat 34 concrete controls verdeeld over 6 domeinen en is het instapniveau voor NIS2-compliance. Zie SMALL als de voorbereiding op BASIC. Lees meer in onze gids over het CyberFundamentals framework.

CyFun SMALL: de gratis zelfbeoordeling stap voor stap

CyFun SMALL is de startersgids van het CyberFundamentals framework. Zeven aanbevelingen, geen technische voorkennis vereist, en volledig gratis. Het CCB (Centre for Cybersecurity Belgium) ontwikkelde het specifiek voor kleine KMO’s en zelfstandigen die hun cyberbeveiliging willen verbeteren maar niet weten waar te beginnen.

Het is geen auditeerbaar niveau en niet wettelijk verplicht. Maar het is de snelste manier om je basisbeveiliging op orde te krijgen — en een logische opstap als je later naar CyFun BASIC wilt doorgroeien.

Beknopt

CyFun SMALL bevat 7 niet-technische aanbevelingen voor kleine bedrijven en zelfstandigen
Geen IT-kennis nodig — elke aanbeveling is concreet en uitvoerbaar
Het is geen verplicht of auditeerbaar niveau, maar een opstap naar CyFun BASIC
De zelfbeoordeling duurt een halfuur tot een uur. Het opvolgen van de actiepunten is het echte werk

Voor wie is CyFun SMALL bedoeld?

CyFun SMALL richt zich op organisaties die nog geen gestructureerd cybersecuritybeleid hebben. Denk aan:

Zelfstandigen en eenmanszaken
Micro-ondernemingen (minder dan 10 medewerkers)
Kleine KMO’s zonder eigen IT-afdeling
Bedrijven die voor het eerst aan hun cyberbeveiliging willen werken

Val je onder de NIS2-wet? Dan is SMALL niet voldoende. Je hebt minimaal CyFun BASIC nodig. Maar SMALL is een prima startpunt om de basis te leggen voordat je BASIC aanpakt. Check met de NIS2 Check of je in scope valt.

De 7 aanbevelingen stap voor stap

Hieronder doorlopen we elke CyFun SMALL aanbeveling. Per aanbeveling: wat het inhoudt, waarom het belangrijk is en wat je concreet kunt doen.

1. Maak je medewerkers bewust van cyberrisico’s

De meeste cyberaanvallen op KMO’s beginnen bij een mens, niet bij een machine. Een medewerker die op een phishinglink klikt. Een zaakvoerder die een nep-factuur betaalt. Awareness is je eerste verdedigingslijn.

Concreet:

Bespreek cyberrisico’s op een teammeeting. Eenmalig is al beter dan niets
Deel de tips van safeonweb.be met je team
Leer je team verdachte e-mails te herkennen. Onze phishing-gids helpt daarbij
Maak een afspraak: verdachte berichten worden altijd gemeld, nooit genegeerd

2. Zorg voor sterke wachtwoorden

Zwakke of hergebruikte wachtwoorden zijn de makkelijkste ingang voor aanvallers. Eén gelekt wachtwoord dat je overal gebruikt, opent meteen alle deuren.

Concreet:

Gebruik een wachtwoordmanager (Bitwarden is gratis voor persoonlijk gebruik)
Elk account krijgt een uniek wachtwoord van minimaal 12 tekens
Gebruik wachtzinnen waar mogelijk: „MijnHondEet3KommenPerDag!” is sterker en makkelijker te onthouden dan „P@ssw0rd123”
Deel nooit wachtwoorden via e-mail of chat

3. Schakel multifactorauthenticatie (MFA) in

MFA voegt een extra verificatiestap toe aan je inlogproces. Zelfs als een aanvaller je wachtwoord kent, komt hij er niet in zonder die tweede factor. Het is de enige maatregel die gestolen wachtwoorden vrijwel volledig onschadelijk maakt.

Concreet:

Schakel MFA in voor je e-mail, boekhoudsoftware en cloudopslag. Begin met de accounts die de meeste schade opleveren bij misbruik
Gebruik een authenticatie-app (Microsoft Authenticator, Google Authenticator) in plaats van SMS waar mogelijk
Admin-accounts krijgen altijd MFA — geen uitzonderingen

Snel geregeld

MFA inschakelen voor Microsoft 365 of Google Workspace duurt 10 minuten per account. Het is de maatregel met de beste verhouding tussen inspanning en bescherming. Lees onze gids over MFA instellen voor je team voor een stap-voor-stap uitleg.

4. Installeer updates tijdig

Software-updates bevatten vaak beveiligingspatches. Uitstel betekent dat bekende kwetsbaarheden open blijven staan. Aanvallers scannen actief naar ongepatcht systemen.

Concreet:

Schakel automatische updates in op alle laptops, telefoons en tablets
Update je besturingssysteem, browser en kantoorprogramma’s zodra updates beschikbaar zijn
Vergeet je router, NAS en andere netwerkapparaten niet — die hebben ook firmware-updates
Gebruik geen software die niet meer wordt ondersteund door de leverancier (end-of-life)

5. Maak regelmatige backups

Backups zijn je laatste redmiddel bij ransomware, hardwarefalen of menselijke fouten. Zonder werkende backup verlies je alles.

Concreet:

Maak minimaal wekelijks een backup van je belangrijkste bestanden
Bewaar minstens één backup los van je netwerk (externe harde schijf, of een cloudbackup met aparte inloggegevens)
Test je backup: kun je bestanden daadwerkelijk herstellen? Een backup die je niet kunt terugzetten is geen backup
Denk aan de 3-2-1 regel: 3 kopieën, 2 media, 1 offsite

6. Beveilig je netwerk

Je wifi-netwerk is de toegangspoort tot al je bedrijfsdata. Een slecht beveiligd netwerk is een open deur.

Concreet:

Wijzig het standaardwachtwoord van je router en wifi. Gebruik WPA3 of minimaal WPA2
Maak een apart gastnetwerk voor bezoekers en persoonlijke apparaten
Schakel de firewall op je router in (meestal standaard actief, maar controleer het)
Schakel remote management uit als je het niet gebruikt

7. Weet wat je moet doen bij een incident

Een incident overkomt elk bedrijf vroeg of laat. Het verschil zit in hoe snel en hoe goed je reageert.

Concreet:

Bepaal wie je belt bij een cyberincident: je IT-partner, je internetprovider, CERT.be
Noteer de contactgegevens op papier of in je telefoon — niet alleen digitaal
Bij ransomware: koppel het getroffen apparaat los van het netwerk. Betaal niet zonder advies
Meld verdachte berichten via verdacht@safeonweb.be

Bij een actief incident

Deze gids is informatief, geen incidentprocedure. Word je nu aangevallen of ben je gehackt? Bel direct je IT-partner en meld het bij CERT.be. Lees ook ons stappenplan bij een hack.

Hoe beoordeel je jezelf?

Download de CyFun SMALL gids via de CyFun toolbox van het CCB. Doorloop de 7 aanbevelingen en geef jezelf per punt een van deze drie scores:

Score	Betekenis	Actie
Ja	Je doet dit al structureel	Geen actie nodig — goed bezig
Deels	Je doet het voor sommige systemen of medewerkers, maar niet overal	Uitbreiden naar alle systemen en medewerkers
Nee	Je doet dit nog niet	Prioriteit: pak dit als eerste aan

De aanbevelingen waar je “Nee” scoort zijn je prioriteiten. Begin daar. Als je overal “Ja” of “Deels” scoort, ben je klaar om naar CyFun BASIC te kijken.

Na SMALL: de stap naar BASIC

CyFun SMALL legt de basis. CyFun BASIC bouwt daar op voort met 34 concrete, auditeerbare controls verdeeld over zes domeinen (Govern, Identify, Protect, Detect, Respond, Recover).

Drie dingen die je helpen bij de overgang:

Download de CyFun Self-Assessment Tool. Het gratis Excel-bestand van het CCB bevat alle BASIC controls. Je krijgt een spiderdiagram dat laat zien waar je staat per domein
Betrek je IT-partner. SMALL kun je solo doen. Voor BASIC heb je bij de technische controls (netwerksegmentatie, logging, patchbeleid) waarschijnlijk hulp nodig
Check of VLAIO-subsidie beschikbaar is. Vlaamse KMO’s kunnen via de KMO-portefeuille 50% subsidie krijgen op externe cybersecurity-begeleiding

Voor een volledig overzicht van het CyberFundamentals framework, lees onze gids over CyFun. En als je wilt weten of de NIS2-wet op jouw bedrijf van toepassing is, doe de NIS2 Check.

Dit artikel is informatief bedoeld. CyFun SMALL is een hulpmiddel, geen beveiligingsgarantie. Raadpleeg de officiële CCB-documentatie voor de meest actuele versie van het framework.

CyFun SMALL: de gratis zelfbeoordeling stap voor stap

Voor wie is CyFun SMALL bedoeld?

De 7 aanbevelingen stap voor stap

1. Maak je medewerkers bewust van cyberrisico’s

2. Zorg voor sterke wachtwoorden

3. Schakel multifactorauthenticatie (MFA) in

4. Installeer updates tijdig

5. Maak regelmatige backups

6. Beveilig je netwerk

7. Weet wat je moet doen bij een incident

Hoe beoordeel je jezelf?

Na SMALL: de stap naar BASIC

Veelgestelde vragen

Bronnen

Gerelateerde artikels

CyberFundamentals (CyFun): het Belgische framework uitgelegd

NIS2 voor KMO's: de complete gids

NIS2: valt jouw bedrijf eronder? Checklist

Cybersecurity-beleid voor je bedrijf: zo stel je het op

Phishing herkennen: handleiding voor medewerkers