ECP vs ReCyF (Frankrijk): CyFun vs het Franse NIS2-framework
ReCyF (Référentiel Cyber France) is het officiële NIS2-complianceframework van ANSSI voor Franse entiteiten — een overheidsdocument dat 15 beveiligingsdoelstellingen definieert voor belangrijke entiteiten en 20 voor essentiële entiteiten, gepubliceerd in maart 2026. Easy Cyber Protection is een CyFun audit-readiness platform voor Belgische MSPs. Beide zitten in de NIS2-ruimte, maar voor verschillende landen en leveringsmodellen. Opmerking: Tom's LinkedIn-bericht van april 2026 verwees informeel naar dit framework als "CyDeF" — de officiële ANSSI-naam is ReCyF.
In één oogopslag
| ReCyF (Frankrijk) | Easy Cyber Protection / CyFun | |
|---|---|---|
| Eigenaar | ANSSI — Agence nationale de la sécurité des systèmes d'information | CCB — Centre pour la Cybersécurité Belgique (ECP implementeert CyFun) |
| Gepubliceerd / versie | v2.5, 17 maart 2026 (werkdocument) | CyFun 2025 (afgestemd op NIST CSF 2.0) |
| Juridische status | Vandaag niet-verplicht; wordt bindend wanneer Loi Résilience wordt aangenomen (verwacht H2 2026) | Operationeel — Belgisch CCB-uitgegeven NIS2-compliancepad; audits lopen |
| Entiteitsdekking | ~10.000–15.000 Franse ondernemingen in 18 sectoren | Belgische entiteiten geregistreerd onder NIS2 (CCB-portaal) |
| Structuur | 15 doelstellingen (Belangrijke Entiteiten) + 20 doelstellingen (Essentiële Entiteiten) | 4 niveaus: Small, Basic, Important, Essential — elk met YAML-geïmplementeerde controls |
| Certificering / beoordeling | ANSSI-inspecties — geen aparte erkende certificeringsinstantie; ISO 27001:2022 erkend als nalevingsmiddel | CAB-audit door erkende instantie; ECP genereert ondertekende .ecpbundle.zip |
| Nalevingskosten | €100–200K initieel (Belangrijke Entiteiten); €450–880K (Essentiële Entiteiten) + ~10%/jaar (ANSSI-schatting) | MSP rekent klant €100–400/maand via ECP-platform — inbegrepen in MSP-dienstverlening |
| MSP / portfoliomodel | Geen multi-tenant track — entiteitsgebonden framework; MSPs zijn zelf geclassificeerd als Belangrijke Entiteiten | Speciaal gebouwd voor MSP-portfoliolevering: partnerdashboard, white-label, per-klant beheer |
| ISO 27001-relatie | ANSSI biedt officiële ReCyF ↔ ISO 27001:2022 kruistabel | CyFun 2025 overlapt met NIST CSF 2.0; ISO 27001-ondersteuning gepland |
| Geografie | Frankrijk (ANSSI-jurisdictie) | België-first; Ierland neemt CyFun ook over (2026) |
Bronnen: ANSSI ReCyF v2.5 (maart 2026), cyber.gouv.fr, ccb.belgium.be. Laatst geverifieerd 2026-05-11.
Waar ReCyF van toepassing is
- Je klanten zijn Franse bedrijven die vallen onder de 18 verplichte NIS2-sectoren (energie, transport, gezondheid, digitale infrastructuur, enz.) en de drempels voor Belangrijke of Essentiële Entiteiten overschrijden
- Je levert compliancediensten in Frankrijk en wordt door ANSSI gecontroleerd aan de hand van ReCyF-doelstellingen
- Je hebt een framework nodig met een ingebouwde ISO 27001:2022-kruistabel — ANSSI publiceert een officieel mapping-hulpmiddel
- Je bent een Franse MSP/IT-leverancier — je bent zelf geclassificeerd als Belangrijke Entiteit onder NIS2 en moet ReCyF volgen voor je eigen activiteiten
- Je wilt een door de overheid uitgegeven framework met duidelijke "aanvaardbare nalevingsmiddelen" voor elke beveiligingsdoelstelling
Waar ECP / CyFun van toepassing is
- Je klanten zijn Belgisch (of Iers) — CyFun is het officiële NIS2-compliancepad van het CCB, waartegen Belgische auditors en het CCB beoordelen
- Je bent een Belgische MSP en wil CyFun audit-readiness verpakken als herhaalbare dienst over je klantportfolio — geen maatwerk €100K+ complianceproject per klant
- Je hebt NL / FR / EN-materialen nodig met Belgische regelgevingscontext (CCB-afstemming, VLAIO kmo-portefeuille voor Vlaamse klanten)
- Je wilt voorspelbare twee-assige MSP-economie: Starter (€399 flat) / Practice (€499 + per klant) / Studio (€999 + per klant) / Firm (€1.999 + per klant) plus per-klant groottebrackets (XS €25 / S €75 / M €250 / L €750)
- Je klanten hebben een CAB-audit-deliverable nodig — ECP genereert de ondertekende .ecpbundle.zip die een erkende auditinstantie accepteert
De vergelijking van nalevingskosten
Deze vergelijking is framework-vs-platform, niet tool-vs-tool. ReCyF is een gratis overheidsdocument — de kosten zitten in het complianceproject dat het vereist. ECP is een platform waarvoor MSPs betalen en dat ze doorverkopen aan klanten. Onderstaande cijfers tonen wat elk pad kost voor een typische Belgische KMO versus een typische Franse Belangrijke Entiteit.
ReCyF-naleving — Franse Belangrijke Entiteit (EI), ~100 werknemers
- • ReCyF-document: gratis (PDF op messervicescyber.fr)
- • Initieel complianceproject (gap-analyse, beleidsdocumenten, implementatie): €100–200K (ANSSI-schatting)
- • Jaarlijkse terugkerende kosten (onderhoud, audits, tests): ~10% van initieel = €10–20K/jaar
- • Interne CISO of externe consultant vereist — geen "begeleide wizard" verlaagt de complexiteit
- • ANSSI inspecteert rechtstreeks; boetes tot €7M of 2% van de omzet voor Belangrijke Entiteiten
ANSSI-kostenschattingen zijn officiële cijfers gedeeld in publieke briefings, geen onafhankelijk geverifieerde offertes. Kosten variëren sterk per entiteitscomplexiteit, sector en bestaande volwassenheid.
ECP / CyFun — Belgische KMO via MSP (20-klanten portfolio, gemiddeld S-formaat)
- • MSP-basis (Practice tier, 10–49 klanten): €499 / maand
- • Per klant (S-formaat, 100–999 entiteiten): 20 × €75 = €1.500 / maand
- • Totale ECP-platformkost voor MSP: €1.999 / maand
- • MSP rekent KMO-klant: €200 / maand (voorgestelde range €100–400)
- • Jaarlijkse kost klant: €2.400 — vs €100K+ rechtstreeks ReCyF-project
- • MSP-omzet: 20 × €200 = €4.000 / maand — bruto marge ~€2.000 / maand (~€24K / jaar)
Per-klant brackets (XS €25 / S €75 / M €250 / L €750) zijn uniform over alle ECP-tiers — wat verandert is de maandbasis. Starter (< 10 klanten) is €399 flat zonder per-klant fee. Studio (50–99 klanten) is €999 + per klant. Firm (100–999) is €1.999 + per klant. Enterprise (1.000+) op maat.
Overlap in framework-dekking
ReCyF en CyFun implementeren allebei de NIS2-beveiligingsvereisten — in hun respectieve landen. De controlgebieden overlappen aanzienlijk (beiden traceren terug naar NIS2 Artikel 21 en NIST CSF 2.0-invloeden). Het verschil is jurisdictie, niet filosofie.
| Controlgebied | ReCyF (Frankrijk) | CyFun / ECP |
|---|---|---|
| Governance & risicobeheer | Doelstellingen 1–2 (EI + EE); risicoaanpak verplicht voor EE | CyFun Basic + Important bevat governance-controls; ECP-wiki dwingt beleidseigenaarschap af |
| Toegangscontrole & identiteit | Doelstelling 10 — identiteitsbeheer; doelstelling 11 — beheer van administrators | CyFun PR.AC-controls; ECP toegangsregister + bewijs-verzameling |
| Incident detectie & respons | Doelstellingen 12–14 — incidentrespons, bedrijfscontinuïteit, crisisbeheer | CyFun DE.CM + RS-controls; ECP incidentlog + CSIRT-meldingsworkflow |
| Toeleveringsketen / ecosysteem | Doelstelling 3 — ecosysteemcontrole (MSPs moeten zelf als EI voldoen) | CyFun ID.SC; ECP leveranciersregister template |
| Veilige configuratie & hardening | Doelstelling 18 (alleen EE) — resourceconfiguratie | CyFun PR.IP-controls in Basic en hoger |
| Beveiligingstoezicht (SOC/SIEM) | Doelstelling 20 (alleen EE) — actief toezicht | CyFun DE.CM; opgenomen in Important / Essential niveaus |
| ISO 27001:2022 mapping | Officiële ANSSI-kruistabel beschikbaar (messervicescyber.fr comparateur) | Overlap aanzienlijk; toegewijd ISO 27001-ondersteuning gepland maar nog niet uitgebracht |
| NIS2 Artikel 21-naleving | Ja — ReCyF is de Franse implementatie van Artikel 21-verplichtingen | Ja — CyFun is de Belgische implementatie van Artikel 21; CCB-uitgegeven |
Bronnen: ANSSI ReCyF v2.5 (maart 2026); CCB CyFun 2025-documentatie. Mapping is indicatief — werkelijke gap-analyse vereist professionele beoordeling.
Veelgestelde vragen
Voldoet het volgen van ReCyF aan NIS2 in België?
Nee. ReCyF is het nationale NIS2-complianceframework van Frankrijk, beoordeeld door ANSSI. Het Belgische NIS2-compliancepad is CyFun, uitgegeven door het CCB. Een Belgische entiteit die wordt geaudit door een Belgische CAB-instantie wordt beoordeeld tegen CyFun — niet tegen ReCyF. De twee frameworks overlappen in geest (beiden implementeren NIS2 Artikel 21) maar zijn niet onderling uitwisselbaar over grenzen heen. Als je actief bent in zowel Frankrijk als België, moet je voldoen aan zowel ANSSI (ReCyF) als CCB (CyFun) — ze erkennen elkaar vandaag niet wederzijds.
Kan ECP Franse klanten helpen met ReCyF-naleving?
Vandaag niet native. ECP implementeert CyFun (het Belgische CCB-framework). De controlgebieden overlappen aanzienlijk — de 20 doelstellingen van ReCyF en de controls van CyFun zijn beiden afgeleid van NIS2 Artikel 21 en NIST CSF 2.0-invloeden — maar ECP genereert geen ANSSI-klaar nalevingsbundel. Een Franse entiteit die ECP gebruikt zou een sterke voorsprong krijgen op de controlgebieden, maar zou bewijs nog steeds moeten mappen naar de specifieke "aanvaardbare nalevingsmiddelen" taal van ReCyF voor een ANSSI-inspectie.
Waarom is ReCyF-naleving zo veel duurder dan CyFun via ECP?
Verschillende leveringsmodellen. ReCyF is een overheids-complianceframework — het stelt verplichtingen maar bundelt geen geleid platform, voorgebouwde templates of bewijsworkflows. Naleving vereist het inhuren van een CISO of consultant om het project van nul op te starten, wat de eigen schattingen van ANSSI van €100–200K voor Belangrijke Entiteiten verklaart. ECP verpakt CyFun-naleving in een geleid platform met beleidssjablonen, bewijsverzamelingsworkflows en auditbundels — de MSP levert dit als maandelijkse dienst in plaats van een eenmalig project.
Wat is het verschil tussen een "Belangrijke Entiteit" in ReCyF en het "Basic"-niveau in CyFun?
Grofweg vergelijkbare reikwijdte, andere structuur. Beide richten zich op middelgrote organisaties die belangrijk maar niet de meest kritieke nationale infrastructuur zijn. Het Important Entity-niveau van ReCyF omvat 15 doelstellingen en geldt voor organisaties met 250+ werknemers of €50M+ omzet in 18 gereguleerde sectoren. Het Basic-niveau van CyFun is een CCB-gedefinieerde set controls voor Belgische organisaties die vallen onder NIS2's definitie van Belangrijke Entiteiten. Een professionele gap-analyse is vereist voor entiteiten die in beide landen actief zijn.
Lever CyFun audit-readiness aan je Belgische klanten
Ben je een Belgische MSP? CyFun — niet ReCyF — is het compliancepad dat je klanten nodig hebben. ECP verpakt het als maandelijkse MSP-dienst: geleide workflows, bewijsverzameling, white-label rapporten en een ondertekende auditbundel die je CAB-auditor accepteert.
Gerelateerd
Feitencontrole
| Claim | Bron | Geraadpleegd |
|---|---|---|
| ReCyF v2.5 gepubliceerd op 17 maart 2026 door ANSSI | ANSSI / messervicescyber.fr — ReCyF v2.5 PDF | 2026-05-11 |
| 15 doelstellingen voor Belangrijke Entiteiten, 20 voor Essentiële Entiteiten | ANSSI ReCyF v2.5 structuur | 2026-05-11 |
| ~10.000–15.000 Franse ondernemingen getroffen door NIS2 | ANSSI / SPAC Alliance NIS2 France briefings | 2026-05-11 |
| EI nalevingskosten: €100–200K initieel + ~10%/jaar | ANSSI officiële schattingen in NIS2 briefings | 2026-05-11 |
| Loi Résilience verwacht H2 2026; Frankrijk miste deadline oktober 2024 | Copla / SPAC Alliance omzettingstijdlijn | 2026-05-11 |
| ECP MSP-tiers: Starter €399 flat, Practice €499, Studio €999, Firm €1.999 | ECP ADR-0009 + Week 19 nieuwsbrief update | 2026-05-11 |