IT-partner? Ontdek hoe je NIS2 audit-readiness levert

Bekijk partneraanbod →
Door · Oprichter, Easy Cyber Protection · · Hoe wij dit schrijven

ECP vs ENS (Spanje): CyFun vs het Spaanse Nationaal Veiligheidskader

ENS (Esquema Nacional de Seguridad) is het verplichte nationale cyberbeveiligingsframework van Spanje — Koninklijk Besluit 311/2022, beheerd door CCN (Centro Criptológico Nacional, onderdeel van de Spaanse inlichtingendienst CNI), en verplicht voor alle Spaanse overheidsinstanties en private bedrijven die ICT-diensten leveren aan de publieke sector. Easy Cyber Protection is een CyFun audit-readiness platform voor Belgische MSPs. Beide zitten in de compliance-ruimte voor cyberbeveiliging, maar voor verschillende landen, verschillende handhavingsautoriteiten en fundamenteel andere leveringsmodellen.

In één oogopslag

ENS (Spanje) Easy Cyber Protection / CyFun
Eigenaar CCN — Centro Criptológico Nacional (onderdeel van CNI — de Spaanse nationale inlichtingendienst) CCB — Centre pour la Cybersécurité Belgique (ECP implementeert CyFun)
Jaar opgericht / laatste update 2010 (RD 3/2010); ingrijpende herziening mei 2022 (RD 311/2022) CyFun 2025 (afgestemd op NIST CSF 2.0)
Juridische status Wettelijk verplicht voor Spaanse overheidsinstanties + private ICT-leveranciers aan de publieke sector Operationeel — Belgisch CCB-uitgegeven NIS2-compliancepad; audits lopen
Entiteitsdekking Alle Spaanse overheidsinstanties (federaal, regionaal, lokaal) + private bedrijven die ICT-diensten leveren aan de publieke sector Belgische entiteiten geregistreerd onder NIS2 (CCB-portaal)
Structuur 73 beveiligingsmaatregelen in 4 groepen (org.* / op.* / mp.*); 3 beveiligingsniveaus (BASIS / GEMIDDELD / HOOG); 5 beveiligingsdimensies 4 niveaus: Small, Basic, Important, Essential — elk met YAML-geïmplementeerde controls
Certificering / beoordeling ENAC-geaccrediteerde auditinstanties; verplicht voor systemen op GEMIDDELD en HOOG niveau; 2 jaar geldigheid certificaat CAB-audit door erkende instantie; ECP genereert ondertekende .ecpbundle.zip
Nalevingskosten BASIS: €12K–€25K; GEMIDDELD: €25K–€45K; HOOG: €100K+ (brancheschattingen); interne implementatie 3–12 maanden MSP rekent klant €100–400/maand via ECP-platform — inbegrepen in MSP-dienstverlening
MSP / portfoliomodel Geen multi-tenant track — entiteitsgebonden framework; private ICT-leveranciers moeten hun eigen systemen certificeren Speciaal gebouwd voor MSP-portfoliolevering: partnerdashboard, white-label, per-klant beheer
Relatie met NIS2 Complementair maar niet volledig equivalent aan NIS2-verplichtingen; Spaanse NIS2-omzettingswet nog in behandeling bij parlement (midden 2026) CyFun is het officiële Belgische NIS2-implementatiepad; CCB-uitgegeven
Geografie Spanje (CCN-jurisdictie) België-first; Ierland neemt CyFun ook over (2026)

Bronnen: RD 311/2022 (BOE), ens.ccn.cni.es, ccb.belgium.be. Laatst geverifieerd 2026-06-29.

Waar ENS van toepassing is

  • Je levert ICT-diensten (software, cloud, hosting, managed services) aan Spaanse overheidsinstanties — ENS-certificering is een verplichte voorwaarde voor overheidscontracten
  • Je beheert informatiesystemen binnen Spaanse overheidsdiensten — elk systeem dat overheidsgegevens verwerkt moet worden gecategoriseerd en gecertificeerd tegen ENS
  • Je bent een privébedrijf waarvan de systemen zijn geclassificeerd op GEMIDDELD of HOOG beveiligingsniveau — een externe audit door een ENAC-geaccrediteerde instantie is verplicht
  • Je wilt aansluiten bij de CCN-STIC-beveiligingsgidsen van Spanje — CCN publiceert meer dan 600 technische gidsen die de 73 ENS-maatregelen operationaliseren
  • Je doet mee aan aanbestedingen voor Spaanse overheids-ICT-contracten — kopers vereisen ENS-nalevingsverklaringen van leveranciers

Waar ECP / CyFun van toepassing is

  • Je klanten zijn Belgisch (of Iers) — CyFun is het officiële NIS2-compliancepad van het CCB, waartegen Belgische auditors en het CCB beoordelen
  • Je bent een Belgische MSP en wil CyFun audit-readiness verpakken als herhaalbare dienst over je klantportfolio — geen maatwerk ENS-stijl certificeringsproject van €25K–€45K per klant
  • Je hebt NL / FR / EN-materialen nodig met Belgische regelgevingscontext (CCB-afstemming, VLAIO kmo-portefeuille voor Vlaamse klanten)
  • Je wilt voorspelbare MSP-economie: één tarief per klant naar grootte (XS €25 / S €75 / M €250 / L €825 / XL €2.750 / XXL €9.075), geen maandbasis, jaarlijks vooraf gefactureerd
  • Je klanten hebben een CAB-audit-deliverable nodig — ECP genereert de ondertekende .ecpbundle.zip die een erkende auditinstantie accepteert

De vergelijking van nalevingskosten

Deze vergelijking is framework-vs-platform, niet tool-vs-tool. ENS is een verplicht overheidsframework — de kosten zitten in het certificeringsproject dat het vereist. ECP is een platform waarvoor MSPs betalen en dat ze doorverkopen aan klanten. Onderstaande cijfers tonen wat elk pad kost voor een typische Belgische KMO via ECP versus een private ICT-leverancier die systemen certificeert op ENS-niveau GEMIDDELD.

ENS GEMIDDELD-certificering — Spaanse private ICT-leverancier, middelgroot systeem

  • • ENS wettelijk kader (RD 311/2022): gratis (officiële tekst via BOE)
  • • Categorisering en gap-analyse op GEMIDDELD niveau: doorgaans €8K–€15K (advies)
  • • Certificeringsaudit op GEMIDDELD niveau door ENAC-geaccrediteerde instantie: €25K–€45K (brancheschattingen)
  • • Jaarlijkse toezichtaudit: ~30–40% van de initiële certificeringskosten per cyclus
  • • Interne implementatie: 3–12 maanden CISO- of projectmanagertijd
  • • 2-jarige certificeringscyclus — hernieuwde certificering vereist elke 2 jaar

ENS-certificeringskosten zijn brancheschattingen; werkelijke offertes variëren per systeemcomplexiteit, aantal maatregelen in scope en auditor. CCN publiceert geen officiële kostencijfers. Leveranciers moeten geldige ENS-certificaten hebben om toegang tot overheidscontracten te behouden.

ECP / CyFun — Belgische KMO via MSP (20-klanten portfolio, gemiddeld S-formaat)

  • • Per klant (S-formaat, 100–999 entiteiten): 20 × €75 = €1.500 / maand
  • • Totale terugkerende ECP-platformkost voor MSP: €1.500 / maand (jaarlijks vooraf gefactureerd)
  • • MSP rekent KMO-klant: €200 / maand (voorgestelde range €100–400)
  • • Jaarlijkse kost klant: €2.400 — vs €25K–€45K ENS GEMIDDELD-certificering
  • • MSP-omzet: 20 × €200 = €4.000 / maand — bruto marge ~€2.500 / maand (~€30K / jaar)

Tarief per klant naar sitegrootte (XS €25 / S €75 / M €250 / L €825 / XL €2.750 / XXL €9.075). Geen maandbasis; jaarlijks vooraf gefactureerd. Elke klant krijgt de volledige featureset inclusief AI en integraties vanaf dag één.

Overlap in framework-dekking

ENS en CyFun behandelen vergelijkbare cyberbeveiligingsdomeinen — beide zijn door de overheid uitgegeven frameworks afgeleid van internationale normen (ISO 27001, NIST CSF). Het verschil is jurisdictie en doelgroep: ENS richt zich op Spaanse publieke sectorssystemen; CyFun richt zich op Belgische NIS2-geregistreerde entiteiten. Controlgebieden overlappen maar de certificeringspaden zijn volledig gescheiden.

Controlgebied ENS (Spanje) CyFun / ECP
Governance & risicobeheer org.1–org.4 organisatorische maatregelen; risicoanalyse verplicht voor alle beveiligingsniveaus CyFun Basic + Important bevat governance-controls; ECP-wiki dwingt beleidseigenaarschap af
Toegangscontrole & identiteit op.acc.* maatregelen — 7 sub-maatregelen inclusief beheer van bevoorrechte toegang (op.acc.6) CyFun PR.AC-controls; ECP toegangsregister + bewijs-verzameling
Incident detectie & respons op.mon.* monitoring + op.exp.* operationele maatregelen; CCN-CERT incidentmeldingstraject CyFun DE.CM + RS-controls; ECP incidentlog + CSIRT-meldingsworkflow
Toeleveringsketen / ecosysteem mp.s.* dienstenbeschermingsmaatregelen; ICT-leveranciers moeten eigen ENS-naleving hebben CyFun ID.SC; ECP leveranciersregister template
Veilige configuratie & hardening mp.eq.* apparatuurmaatregelen + CCN-STIC hardening-gidsen (600+ technische gidsen) CyFun PR.IP-controls in Basic en hoger
Beveiligingstoezicht (SOC/SIEM) op.mon.* maatregelen; HOOG-niveau systemen vereisen continue monitoring CyFun DE.CM; opgenomen in Important / Essential niveaus
ISO 27001-relatie ENS sluit aan bij ISO 27001-principes; CCN publiceert kruistabelgidsen (CCN-STIC 825) Overlap aanzienlijk; toegewijd ISO 27001-ondersteuning gepland maar nog niet uitgebracht
NIS2 Artikel 21-naleving Complementair maar niet volledig equivalent — Spaanse NIS2-omzettingswet nog in behandeling bij parlement Ja — CyFun is de Belgische implementatie van Artikel 21; CCB-uitgegeven

Bronnen: RD 311/2022 Bijlage II; CCN ENS-documentatie (ens.ccn.cni.es); CCB CyFun 2025. Mapping is indicatief — werkelijke gap-analyse vereist professionele beoordeling.

Veelgestelde vragen

Voldoet ENS-naleving aan NIS2 in België?

Nee. ENS is het nationale informatieveiligheidsframework van Spanje voor systemen van de publieke sector, gehandhaafd door CCN. Het Belgische NIS2-compliancepad is CyFun, uitgegeven door het CCB. Een Belgische entiteit die wordt geaudit door een Belgische CAB-instantie wordt beoordeeld tegen CyFun, niet tegen ENS. De twee frameworks overlappen in controlfilosofie (beiden putten uit ISO 27001 en NIST CSF) maar bedienen verschillende juridische regimes in verschillende landen. België erkent ENS-certificering niet voor NIS2-nalevingsdoeleinden.

Kan ECP Spaanse entiteiten helpen met ENS-naleving?

Niet native. ECP implementeert CyFun (het Belgische CCB-framework). De controlgebieden overlappen — ENS-maatregelen en CyFun-controls zijn beiden afgeleid van ISO 27001 / NIST CSF-grondslagen — maar ECP genereert geen CCN-klare nalevingsdocumentatie of de ENS-nalevingsverklaringen die vereist zijn voor Spaanse overheidscontracten. Een Spaanse entiteit die ECP gebruikt zou een sterke voorsprong krijgen op het onderliggende controlwerk, maar heeft nog steeds ENAC-geaccrediteerde auditors en CCN-specifieke documentatie nodig voor formele ENS-certificering.

Waarom is ENS-certificering zo veel duurder dan CyFun via ECP?

Verschillende modellen. ENS is een overheids-complianceframework dat verplichtingen stelt en externe ENAC-geaccrediteerde auditors vereist voor GEMIDDELD- en HOOG-niveau systemen. Certificering vereist het inhuren van auditors, het uitvoeren van gap-analyses, het implementeren van 73 maatregelen en het bijhouden van documentatie per CCN-STIC-gidsen — wat de typische kosten van €25K–€45K voor GEMIDDELD-systemen verklaart. ECP verpakt CyFun-naleving in een geleid platform met beleidssjablonen, bewijsverzameling en auditbundels — de MSP levert dit als maandelijkse dienst in plaats van een project.

Waarom wacht de NIS2-omzetting van Spanje nog steeds in 2026?

Spanje miste de EU NIS2-omzettingsdeadline (17 oktober 2024). De Spaanse Raad van Ministers keurde een concept NIS2-omzettingswet goed in januari 2025, maar medio 2026 is deze nog steeds in behandeling bij het parlement. CCN heeft aangegeven dat ENS-naleving een sterke basis zal bieden voor NIS2-naleving voor entiteiten in de publieke sector, maar de exacte juridische relatie tussen ENS-certificering en NIS2-verplichtingen moet nog worden vastgelegd in de wet zodra die is aangenomen.

Lever CyFun audit-readiness aan je Belgische klanten

Ben je een Belgische MSP? CyFun — niet ENS — is het compliancepad dat je klanten nodig hebben. ECP verpakt het als maandelijkse MSP-dienst: geleide workflows, bewijsverzameling, white-label rapporten en een ondertekende auditbundel die je CAB-auditor accepteert.

Gerelateerd

Feitencontrole

ClaimBronGeraadpleegd
ENS opgericht bij KB 3/2010; bijgewerkt bij Koninklijk Besluit 311/2022, 3 mei 2022 BOE — Boletín Oficial del Estado, RD 311/2022 2026-06-29
CCN — Centro Criptológico Nacional is de ENS-bestuursautoriteit, onderdeel van CNI Officiële CCN-site 2026-06-29
73 beveiligingsmaatregelen in 4 groepen (org.* / op.* / mp.*); 3 beveiligingsniveaus; 5 dimensies RD 311/2022 Bijlage II + ens.ccn.cni.es 2026-06-29
Verplicht voor alle Spaanse overheidsinstanties + private ICT-leveranciers aan de publieke sector RD 311/2022 Artikel 2 (toepassingsgebied) 2026-06-29
ENAC-geaccrediteerde instanties voeren ENS-audits uit; verplicht voor GEMIDDELD/HOOG; 2 jaar geldigheid CCN ENS-certificeringsinformatie 2026-06-29
ENS-certificeringskosten: BASIS €12K–€25K; GEMIDDELD €25K–€45K; HOOG €100K+ (brancheschattingen) Brancheschattingen — Delbion ENS-certificeringsgids 2026-06-29
Spaanse NIS2-omzettingsconcept goedgekeurd door Raad van Ministers januari 2025; medio 2026 nog in behandeling bij parlement NIS2-richtlijn omzettingstracker — Spanje 2026-06-29
ENS-naleving is complementair aan maar niet volledig equivalent aan NIS2-verplichtingen ENS en NIS2 analyse — eIPosgrados cyberbeveiligingsblog 2026-06-29
ECP-prijsmodel: tarief per klant naar sitegrootte (XS €25 / S €75 / M €250 / L €825 / XL €2.750 / XXL €9.075), geen maandbasis, jaarlijks vooraf gefactureerd ECP ADR-0035 per-client-only-pricing 2026-06-29
CyFun is het officiële Belgische NIS2-compliancepad, CCB-uitgegeven CCB Centre pour la Cybersécurité Belgique 2026-06-29
TARS AI
Vraag me over NIS2, CyFun & compliance