CyFun of ISO 27001: welk framework kies je voor NIS2?

Stel: je bent zaakvoerder van een IT-dienstverleningsbedrijf met 30 medewerkers. Je bent geregistreerd bij het CCB als belangrijke entiteit onder NIS2. Nu vraagt een klant je CyFun-niveau op, en je accountant vraagt of ISO 27001 "niet beter" is. Welke route kies je?

Driekwart van de Belgische NIS2-entiteiten kiest CyFun. De rest gaat voor ISO 27001. Beide zijn gelijkwaardige routes: de NIS2-wet schrijft geen specifiek framework voor. Het CCB beoordeelt of je maatregelen voldoen, niet welk label erop staat.

Wat is het verschil?

CyFun is ontwikkeld door het CCB, specifiek voor de Belgische markt. Het framework is gratis, actiegericht en gebouwd op vier internationale standaarden: NIST CSF 2.0, ISO 27001/27002, CIS Controls en IEC 62443. Het vertelt je precies welke maatregelen je moet nemen per niveau. Geen interpretatie nodig, geen consultant vereist om het te begrijpen.

ISO 27001 is een internationaal managementsysteem voor informatiebeveiliging. Breder dan CyFun: het omvat governance, risicobeheer en continue verbetering als formeel systeem. Het certificaat wordt wereldwijd erkend, van Brussel tot Singapore.

Aspect	CyFun	ISO 27001
Ontwikkelaar	CCB (Belgisch)	ISO (internationaal)
Erkenning	België (NIS2)	Wereldwijd
Kosten framework	Gratis	Standaard tegen betaling
Verificatie/certificering	Vanaf enkele duizenden euro’s (Basic)	€15.000-€60.000 (afhankelijk van grootte)
Doorlooptijd	3-6 maanden	6-14 maanden
Niveaus	Small, Basic, Important, Essential	Eén niveau (gecertificeerd of niet)
Aanpak	Maatregelenlijst per niveau	Managementsysteem met risicoanalyse
Jaarlijkse kosten daarna	Lager (surveillance-audit)	€3.000-€12.000 (surveillance)
Geaccrediteerde auditbureaus (BE)	2 (Brand Compliance, Trust CHECK)	Meerdere (LRQA, BSI, Bureau Veritas, etc.)

Wanneer kies je CyFun?

CyFun is ontworpen voor precies de situatie waar de meeste Belgische KMO's in zitten: je valt onder NIS2, je hebt geen eigen security-team, en je wilt zo snel mogelijk compliant zijn zonder tienduizenden euro's uit te geven.

CyFun past bij je als:

• Je voornamelijk Belgische klanten en partners hebt
• Niemand je om een ISO 27001-certificaat vraagt
• Je snel aan de slag wilt met een beperkt budget
• Je geen eigen CISO of security-team hebt

De kracht zit in de stapsgewijze opbouw. Basic bevat 34 maatregelen die volgens het CCB 82% van de bekende aanvallen dekken. Important telt 133 maatregelen met 94% dekking. Het framework is gratis beschikbaar op de CCB-website, inclusief een Excel-zelfbeoordelingstool. Meer hierover in onze gids CyFun SMALL zelfbeoordeling.

Eén ding waar weinig mensen over praten: er zijn op dit moment slechts twee BELAC-geaccrediteerde auditbureaus voor CyFun-verificatie. Brand Compliance België (geaccrediteerd september 2025) en What a Work SRL via Trust CHECK. Met circa 1.100 essentiële entiteiten die voor april 2026 een verificatie nodig hebben, is dat een serieuze bottleneck. Het CCB verwacht meer geaccrediteerde bureaus "rond april 2026", maar plan niet op die belofte.

Wanneer kies je ISO 27001?

ISO 27001 is de betere keuze als je organisatie internationaal opereert of als klanten een certificaat verwachten. In SaaS, financiële dienstverlening en IT-outsourcing is het vaak de standaard.

ISO 27001 past bij je als:

• Internationale klanten vragen om een erkend security-certificaat
• Je meedoet aan aanbestedingen waar ISO 27001 een eis is
• Je al een managementsysteem hebt (ISO 9001, ISO 22301) en wilt integreren

De kosten voor een KMO tot 50 medewerkers: €15.000 tot €30.000. Middelgrote bedrijven betalen €30.000 tot €60.000. Dat omvat consultancy, technische aanpassingen en de certificeringsaudit. Daarna €3.000 tot €12.000 per jaar voor surveillance-audits. Doorlooptijd: 6 tot 14 maanden.

Het voordeel: iedereen kent het. En je kunt er een CyFun-label mee aanvragen bij het CCB, zodat je voor NIS2 ook gedekt bent. Je hoeft dan geen apart CyFun-traject te doorlopen.

Let op voor wat je de "IT-partner bias" kunt noemen: sommige consultancies raden ISO 27001 aan omdat zij daarín gespecialiseerd zijn, niet omdat het de beste keuze is voor jouw situatie. Vraag jezelf af: heb ik die internationale herkenbaarheid daadwerkelijk nodig? Als het antwoord nee is, betaal je €15.000+ voor iets dat je niet gebruikt.

Kun je beide combineren?

Ja, en het werkt in beide richtingen.

Heb je al ISO 27001? Dan beoordeelt het CCB of je Statement of Applicability (SoA) overeenkomt met het vereiste CyFun-niveau. Als dat klopt, krijg je een CyFun-label bovenop je ISO-certificaat. Geen apart traject nodig.

Andersom is de populairste route: begin met CyFun, groei later naar ISO 27001. Omdat CyFun op dezelfde standaarden is gebouwd, begin je niet vanaf nul. Eerst snel compliant, later internationaal certificeren als de business dat vraagt.

Deadline: wat moet wanneer?

De deadline van 18 april 2026 gaat niet over compliant worden. Het gaat over bewijzen dat je het al bent.

Essentiële entiteiten (circa 1.500 organisaties in kritieke sectoren): moeten vóór 18 april 2026 minimaal een CyFun Basic of Important verificatie hebben afgerond, of hun ISO 27001 scope en SoA hebben ingediend bij het CCB. Het volledige Essential-niveau wordt verwacht tegen april 2027.

Belangrijke entiteiten (circa 2.500 organisaties): hoeven geen formele conformiteitsbeoordeling te doen. Een zelfbeoordeling volstaat. Maar als het CCB na een incident komt kijken, moet je die zelfbeoordeling kunnen tonen.

Dit artikel is informatief en geen juridisch advies over NIS2-compliance. Raadpleeg het CCB of een gespecialiseerde consultant voor je specifieke situatie.