IT-partner? Ontdek hoe je NIS2 audit-readiness levert

Bekijk partneraanbod →

CyFun-auditvoorbereiding: Het 8-weken plan om CAB-Audit Klaar te Zijn

Een Conformity Assessment Body (CAB)-audit op CyFun BASIC-niveau is haalbaar in acht weken als je de juiste artefacten in de juiste volgorde aanpakt. Dit is het plan: wat elke week oplevert, wat de CCB CyberFundamentals-workbook verwacht te zien, en waar een managed compliance-platform uren handmatige steigerwerk vervangt.

Waarom Deze Acht Weken, In Deze Volgorde

De CCB CyberFundamentals-workbook is het artefact dat reist — naar een CAB-auditor, naar een grote zakelijke klant die leverancier-due-diligence uitvoert, naar het Safeonweb @work-portaal voor zelfbeoordelingsindiening. Het 8-weken plan reverse-engineert die workbook:

  • Scope en asset-inventaris eerst — elke andere control verwijst naar "de assets in scope". Zonder die lijst is de workbook niet renderbaar.
  • Risicoregister tweede — de GV-RM control family verwijst expliciet naar "gedocumenteerde risicobeoordeling" als bewijs. Beleid dat volgt wordt gekaderd als risicobehandeling.
  • Beleid voor bewijs — bewijs is betekenisloos tenzij beleid zegt hoe goed eruitziet.
  • Mock-run voor indiening — een koude reviewer vindt de gaps die de CAB zal vinden. Goedkoper om te repareren in W7 dan in week 12 van een audit.

Nieuw met CyberFundamentals? Begin met wat is CyberFundamentals en hoe de CyFun-volwassenheidsscoring werkt voordat je dit plan uitvoert.

Week 1

Scope: Definieer Wat Je Certificeert

Doel. Beslis wat in scope is en wat niet, en schrijf het op. Auditors laten je de scope niet halverwege de audit herdefinieren.

Wat je deze week oplevert

  • Scope-verklaring: rechtspersoon, locaties, bedrijfsprocessen, IT-systemen in en uit scope.
  • Asset-inventaris: hardware, software, cloud-diensten, datawarehouses. Gemapt op welk scope-item welke asset bezit.
  • Stakeholder-overzicht: wie verantwoordelijk is voor elk scope-element (benoemde personen, geen rollen).
Week 2

Risicoregister: Documenteer de Risico's Die Je Controls Mitigeren

Doel. Een risicoregister dat dreigingen benoemt, ze rangschikt, en elk koppelt aan de control(s) die het mitigeren. De CCB CyberFundamentals-workbook verwijst naar "gedocumenteerde risicobeoordeling" in zijn bewijskolom voor de GV-RM control family.

Wat je deze week oplevert

  • Dreigingenlijst: ransomware, phishing, insider-misbruik, leverancierscompromittering, datadiefstal, DDoS — minimaal de zes die de CCB-risicocatalogus voor KMO's benadrukt.
  • Waarschijnlijkheid × impact-scoring per dreiging (5×5 matrix is de Belgische standaard).
  • Behandelingsbeslissingen: mitigeren (verwijs naar controls), accepteren (met goedkeuring), overdragen (verzekering, contracten), vermijden.
Week 3

Beleid (1/2): Informatiebeveiliging en Incidentrespons

Doel. Twee van de vier beleidsstukken die de CCB-workbook controleert: een Informatiebeveiligingsbeleid goedgekeurd op managementniveau, en een Incidentresponsplan dat rollen en beslissingsbevoegdheden benoemt.

Wat je deze week oplevert

  • Informatiebeveiligingsbeleid: scope, principes, rollen, reviewcyclus. Ondertekend door een autoriteit die in het organogram bestaat.
  • Incidentresponsplan: ernstniveaus, escalatieboom, 24-uurs meldpad naar het CCB (NIS2 Artikel 23), contactlijst met backups, lessons-learned template.
Week 4

Beleid (2/2): Toegangscontrole en Leveranciersbeveiliging

Doel. De resterende twee BASIC-beleidsstukken: een Toegangscontrolebeleid (least privilege, joiner-mover-leaver, MFA-handhaving) en een Leveranciersbeveiligingsbeleid (NIS2 Artikel 21(2)(d) is niet onderhandelbaar).

Wat je deze week oplevert

  • Toegangscontrolebeleid: identiteitslevenscyclus, MFA-handhaving, scheiding van privileged accounts, kwartaal-toegangsreview-cyclus.
  • Leveranciersbeveiligingsbeleid: criteria voor kritieke leveranciers, due diligence-checklist, contractbeveiligingsclausules, breach-meldingsverwachtingen.
  • Leveranciersregister: minimaal de leveranciers gemarkeerd "kritiek" met een gedocumenteerde risicoclassificatie.
Week 5

Bewijsverzameling (1/2): Identiteit, Toegang en Endpoint

Doel. Loop door de BASIC-controls in de GV-, ID- en PR-functies en verzamel het bewijs dat de bewijskolom van de workbook benoemt. Deze week behandelt identiteit, toegang en endpoint-bescherming.

Wat je deze week oplevert

  • MFA ingeschakeld voor alle admin-accounts: screenshot van admin-rollijst, screenshot van MFA-handhavingsbeleid.
  • Joiner-mover-leaver-proces: het meest recente leaver-ticket met tijdstempels van toegangsintrekking.
  • Endpoint-bescherming uitgerold: EDR- of AV-console-screenshot met dekkingspercentage, patch-compliance-rapport.
  • Kwartaal-toegangsreview: het meest recente reviewdocument met goedkeuring.
Week 6

Bewijsverzameling (2/2): Backup, Logging en Bewustzijn

Doel. De resterende BASIC-functies: detect, respond en recover. Backup-verificatie, beveiligingslogging en awareness-training zijn de drie gebieden die het vaakst falen bij een workbook-review.

Wat je deze week oplevert

  • Backup-verificatie: meest recente restore-test-rapport, retentiebeleidsdocument, bewijs dat backups offline of immutable zijn opgeslagen.
  • Beveiligingslogging: SIEM- of log-aggregator-screenshot, log-retentieperiode, bewijs van alert-reviewcyclus.
  • Security awareness training: voltooiingspercentage, samenvatting trainingsinhoud, data van laatste campagne per medewerker.
  • Tabletop-oefening: incidentscenario-walkthrough-document met benoemde deelnemers en lessons learned.
Week 7

Mock-zelfbeoordeling

Doel. Een volledige doorloop van de workbook-scoringsrubriek tegen je verzamelde bewijs, door iemand die het niet heeft verzameld. De mock-run vindt de gaten die een CAB zal vinden.

Wat je deze week oplevert

  • Workbook end-to-end voltooid met de CCB 1-5 volwassenheidsscore per control op zowel Documentatie- als Implementatie-assen.
  • Gap-lijst: elke control gescoord onder de BASIC-drempel, met streefdata voor remediatie en eigenaren.
  • Interne review door een tweede paar ogen (een collega, een MSP, of een peer compliance-lead) die elke score uitdaagt.
  • Bijgewerkte risicoregister-entries voor elke gap die een gedocumenteerd risico materieel verhoogt.
Week 8

Indiening: Workbook + Roadmap

Doel. Overhandig de workbook. Voor een belangrijke entiteit die de deadline van 18 april 2026 heeft gemist, is dit de late zelfbeoordelingsindiening via het CCB Safeonweb @work-portaal. Voor een essentiele entiteit is dit de CAB-engagement-kickoff.

Wat je deze week oplevert

  • Definitieve CCB CyberFundamentals-workbook (het Excel-bestand dat het CCB publiceert en dat de CAB verwacht).
  • Remediatieplan: elke gap uit W7 met streefdatum, eigenaar en afhankelijkheid.
  • Scope-verklaring en asset-inventaris bijgevoegd.
  • Voor late indieners: een begeleidende notitie die de inhaaltijdslijn en huidige status documenteert.

Na Indiening: Wat Gebeurt er Nu

Voor een zelfbeoordelingsindiening retourneert het CCB geen verdict zoals een CAB doet — de indiening gaat in de boeken en ondersteunt elke daaropvolgende toezichthoudende review. Voor een CAB-audit retourneert de auditor een gemarkeerde workbook met bevindingen die de organisatie moet aanpakken.

Hoe dan ook, de workbook is het werkende artefact. Als je via Safeonweb @work hebt ingediend, plan een kwartaalse reviewcyclus om het bewijs actueel te houden. Als je door een CAB bent gegaan, wordt de gemarkeerde workbook het volgende remediatieplan — dezelfde structuur, andere uitgangspositie.

De certificeringsdeadline van 18 april 2027 voor essentiele entiteiten is het volgende drukpunt. Belangrijke entiteiten die vandaag op BASIC-niveau zitten zouden een tier-upgrade moeten plannen als hun NIS2-classificatie of supply-chain-druk hen richting IMPORTANT duwt.

Voer de 8 Weken in ECP in plaats van in Sharepoint

Elk artefact in dit plan — scope-verklaring, asset-inventaris, risicoregister, de vier beleidsstukken, bewijs per control, mock-run-scoring, remediatieplan, de CCB-compatibele Excel-workbook — is een first-class object in Easy Cyber Protection. Jij voert het plan uit; het platform produceert de workbook.

  • CyFun-gemapte templates voor elke BASIC-, IMPORTANT- en ESSENTIAL-control.
  • Live integraties (Microsoft Graph, Sophos, Bitdefender, anderen) voeden bewijs automatisch in de juiste control.
  • CCB-compatibele Excel-export en CAB-auditor-reimport (geleverd in april 2026).
  • Audit Readiness Snapshot — het een-pagina-artefact dat je de W7-reviewer overhandigt.

Veelgestelde Vragen

Is 8 weken realistisch voor CyFun BASIC audit-klaarheid?

Voor een organisatie met redelijke bestaande beveiligingshygiene (MFA, EDR, backups, enige documentatie), ja. Voor een organisatie die start vanaf nul documentatie is 12-16 weken realistischer — het beveiligingswerk zelf kost tijd, en de workbook kan niet bewijzen wat niet bestaat. Het 8-weken plan veronderstelt dat de controls grofweg op hun plaats zitten; het werk is ze documenteren en bewijs verzamelen.

Heb ik een CAB-audit nodig, of volstaat een zelfbeoordeling?

Belangrijke entiteiten onder NIS2 moeten een zelfbeoordeling indienen op minimaal BASIC-niveau (ingediend via het CCB Safeonweb @work-portaal). Essentiele entiteiten moeten een Conformity Assessment Body (CAB)-audit ondergaan op IMPORTANT- (132 controls) of ESSENTIAL-niveau (217 controls) tegen 18 april 2027. Sommige belangrijke entiteiten kiezen vrijwillig voor een CAB-audit omdat grote zakelijke klanten een extern certificaat vragen.

Wat als mijn mock-run in W7 ernstige gaps onthult?

Dien sowieso in W8 in met het remediatieplan. Het CCB straft organisaties niet voor gedocumenteerde gaps met een geloofwaardig plan; het straft organisaties voor ontbrekend bewijs en voor weigeren te remediaeren. Een workbook die eerlijk scoort met streefdata per gap is een sterkere positie dan een muur van groen die een CAB-review niet overleeft.

Kan ik dit plan gebruiken als mijn deadline al voorbij is?

Ja — dit is precies het inhaalpatroon. De zelfbeoordelingsdeadline van 18 april 2026 is voorbij, maar het CCB Safeonweb @work-portaal aanvaardt late indieningen. Voer het 8-weken plan uit, dien de workbook in met een roadmap, en je staat in de boeken als remedierend voor de essentiele-entiteit-certificeringsdeadline van 18 april 2027. Zie het missed-deadline artikel voor de drie remediatiepaden.

Hoe mapt dit plan op IMPORTANT- of ESSENTIAL-niveau?

De structuur (scope → risicoregister → beleid → bewijs → mock-run → indiening) is hetzelfde. Het volume verandert: IMPORTANT-niveau dekt 132 controls (vs 34 voor BASIC), ESSENTIAL dekt 217. Plan 16-24 weken voor IMPORTANT en 24-36 voor ESSENTIAL met dezelfde week-voor-week-structuur opgeschaald. De CAB-auditcyclus voegt nog 4-8 weken toe.

Hoe ziet de CCB CyberFundamentals-workbook er werkelijk uit?

Het is het officiele Excel-bestand onderhouden door het Centrum voor Cybersecurity Belgie (CCB), te downloaden vanaf het Safeonweb @work-portaal. Elke control heeft rijen voor Documentatie-volwassenheid (1-5) en Implementatie-volwassenheid (1-5), een bewijskolom waar je het artefact (documentnaam, screenshot-pad, logvoorbeeld) referent, en een commentaarkolom. Hetzelfde bestand is wat een CAB ontvangt, markeert en retourneert.

Gerelateerde Artikelen

Bronnen

  1. CCB CyberFundamentals Framework + Workbook
  2. Directive (EU) 2022/2555 (NIS2)
  3. Belgian NIS2 Law of 26 April 2024
  4. Centre for Cybersecurity Belgium (CCB)
  5. BELAC — Belgian Accreditation Body
TARS AI