CyFun CAB-auditkosten: Wat een Belgische NIS2-audit Werkelijk Kost
Belgische NIS2-organisaties die een Conformity Assessment Body (CAB)-audit afwegen tegen een CyFun BASIC-zelfbeoordeling hebben eerst een geldvraag te beantwoorden. Hier is wat elk pad werkelijk kost, gebaseerd op publiek gerapporteerde ranges en de gepubliceerde platformprijzen — met een eerlijke noot over wat nog niet publiekelijk is gedocumenteerd.
De Vier Kostenemmers
CyFun-auditklaarheid heeft vier kostenemmers. Drie van de vier zijn nul of bijna nul; een varieert sterk. Begrijpen welke emmer welke kost landt verandert het budgetgesprek.
1. CCB-raamwerk + workbook + portaal: €0
Het Centrum voor Cybersecurity Belgie (CCB) publiceert het CyberFundamentals-raamwerk, de Excel-workbook, de scoringsrubriek en het Safeonweb @work-portaal kosteloos. Dit omvat BASIC- (34 controls), IMPORTANT- (132) en ESSENTIAL-niveau (217). Dat het raamwerk gratis is, is een bewuste CCB-beleidskeuze; het verwijdert het meest voorkomende GDPR-tijdperk-bezwaar (proprietary raamwerken die compliance achter licentievergoedingen verbergen).
2. Voorbereidingsinspanning: 2-6 maanden interne tijd
Een eerste CyFun BASIC-zelfbeoordeling neemt typisch 4-8 weken gefocuste inspanning met redelijke bestaande beveiligingshygiene; vanaf een bijna-nul baseline, 12-16 weken. IMPORTANT-niveau schaalt de inspanning tot 16-24 weken; ESSENTIAL tot 24-36. Dit is de grootste kostenpost — en de gemakkelijkst te onderschatten. Interne tijd is echt geld; een senior compliance lead aan €700/dag voor 60 dagen is €42.000.
3. CAB-auditkosten: €5K-€25K (branche-gerapporteerde range)
Een Conformity Assessment Body (CAB) geaccrediteerd door BELAC rekent per engagement. Branche-gerapporteerde kosten tijdens 2025-2026 vallen ongeveer in een €5K-€25K-range voor eerste IMPORTANT-niveau audits, met ESSENTIAL-niveau audits die 50-100% boven IMPORTANT trenden. Kosten schalen met organisatiegrootte, scope-complexiteit en de kwaliteit van de workbook-overdracht (een schone workbook vermindert audituren).
4. Optionele externe consultancy: €15K-€60K (branche-gerapporteerde range)
Externe consultancy voor een eerste IMPORTANT-niveau audit dekt gap-analyse, beleidsopstelling, ondersteuning bij bewijsverzameling, mock-run en pre-audit-handholding. De lagere kant is voor organisaties met redelijke bestaande beveiligingshygiene; de hogere kant is voor organisaties die starten vanaf bijna-nul documentatie. Deze emmer is optioneel — veel organisaties gebruiken een tooling-platform plus interne tijd in plaats daarvan.
Drie Paden, Drie Kostenprofielen
Voor een typische Belgische KMO die CyFun BASIC-zelfbeoordeling of een eerste IMPORTANT-niveau CAB-audit nastreeft:
| Pad | Jaar-1 kosten | Interne tijd |
|---|---|---|
| A. BASIC-zelfbeoordeling, alleen intern | ~€0-€5K (tooling) | 4-12 weken |
| B. IMPORTANT CAB-audit + externe consultancy | €20K-€85K | 3-6 maanden |
| C. IMPORTANT CAB-audit + ECP-via-MSP | €10K-€35K | 3-4 maanden |
Alle cijfers branche-gerapporteerd / geschat behalve ECP-platformprijzen. Interne tijd is de grotere budgetpost in alle drie de paden.
Waar ECP-via-MSP Landt op de Kostencurve
Easy Cyber Protection levert een managed compliance-platform dat MSPs uitvoeren namens hun eindklanten. Het platform vervangt de uren handmatige steigerwerk die consultancy-rekeningen aandrijven: workbook invullen, beleidstemplates, bewijsverzameling-bedrading, mock-run-scoring, CCB-compatibele Excel-export.
Authoritatieve platformprijzen (abonnement per MSP-partner, gefactureerd door de MSP aan hun eindklanten):
- Starter €399 eenmalige setup + €75/klant/maand (geen maandfee) — solo-consultants en vCISO's die <10 klanten beheren. Templates + CSV entiteit-import + audit-output. AI en integraties zitten op Practice en hoger.
- Practice €499/maand + per klant naar grootte — kleine MSPs met 10-49 klanten.
- Studio €999/maand + per klant naar grootte — middelgrote praktijk met 50-99 klanten.
- Firm €1.999/maand + per klant naar grootte — gevestigde MSPs met 100-999 klanten.
- Enterprise MSP €4.999+/maand — multi-regio MSPs en partners met managed-compliance-aanbiedingen.
Voor een Starter-niveau MSP met 8 S-grootte klanten landen de platformkosten op ongeveer €79/klant/maand in jaar 1 (€399 setup + 8 × €75 × 12 = €7.599 / 8 / 12 ≈ €79). Dat is ruim onder de typische consultancy-uitgaven per auditcyclus, en de platform-output (de CCB-compatibele workbook met bewijs per control) is precies wat een CAB ontvangt.
Directe enterprise-klanten (typisch essentiele entiteiten op ESSENTIAL-niveau) vallen buiten de MSP-kanaal-prijsband; ECP bedient direct-enterprise van €24K-€122K J1 afhankelijk van scope en integratiecomplexiteit.
Kosten Die Vaak Worden Vergeten
Drie kostenposten die de meeste eerste CyFun-budgetten ontsnappen:
- Surveillance-audits. CyberFundamentals-certificering is geldig 2-3 jaar met surveillance-audits ertussen. Surveillance-kosten lopen ongeveer 30-50% van de initiele audit. Jaar-2 en Jaar-3 budgetten hebben een regelitem nodig.
- Remediatie tussen audits. Bevindingen uit de initiele audit hebben afsluiting nodig voor de surveillance-audit. Als de platform-en-tijd-aanpak van remediatie niet is gebudgetteerd, betalen organisaties uiteindelijk consultancy-dagtarieven precies wanneer de volgende audit nadert.
- Tier-upgrade-kosten. Belangrijke entiteiten die uitgroeien tot de essentiele-entiteit-classificatie (groottes- of sector-herclassificatie) staan voor een her-audit op ESSENTIAL-niveau. De kosten zijn niet nul — plan een refresh-budget elke 12-18 maanden.
Een Beslissingskader voor de Geldvraag
Voor organisaties die zelfbeoordeling afwegen tegen een CAB-audit:
- 1 Als je NIS2-classificatie "belangrijk" is en je grote zakelijke klanten niet pushen voor een extern certificaat — begin met BASIC-zelfbeoordeling. Gratis raamwerk, alleen interne tijd, geldig pad om de deadline van 18 april 2026 te bevredigen.
- 2 Als je een essentiele entiteit bent — een CAB-audit op IMPORTANT- of ESSENTIAL-niveau is verplicht tegen 18 april 2027. Budgetteer de auditkosten en de voorbereidingsinspanning vanaf uiterlijk Q3 2026.
- 3 Als druk vanuit de toeleveringsketen de driver is — match wat je grote zakelijke klanten vragen. Soms voldoet een schone BASIC-zelfbeoordeling met een remediatieplan aan een leveranciers-due-diligence-vragenlijst; soms doet alleen een extern CAB-certificaat dat.
Veelgestelde Vragen
Is het CCB CyberFundamentals-raamwerk werkelijk gratis?
Ja. De raamwerkspecificatie, de Excel-workbook, de volwassenheidsscoringsrubriek en indiening via het CCB Safeonweb @work-portaal zijn allemaal gratis. De kosten leven elders: voorbereidingsinspanning, optionele externe consultancy en de CAB-auditkost voor IMPORTANT- of ESSENTIAL-niveau certificering.
Waarom zijn er geen gepubliceerde CAB-prijslijsten?
Conformity Assessment Bodies (CABs) geaccrediteerd door BELAC stellen hun eigen tarieven in en offreren typisch per engagement gebaseerd op organisatiegrootte, complexiteit en niveau (IMPORTANT of ESSENTIAL). Op het moment van schrijven publiceert geen Belgische CAB een vaste tarievenkaart. De €5K-€25K-range hierboven aangehaald is gebaseerd op branche-rapportage en Toms directe gesprekken met prospects — het is geen authoritatief CAB-gepubliceerd cijfer.
Wat dekt de €15K-€60K voorbereidingsrange werkelijk?
Externe consultancy voor een eerste IMPORTANT-niveau audit dekt typisch gap-analyse, beleidsopstelling, ondersteuning bij bewijsverzameling, mock-run en pre-audit-handholding. De lagere kant (€15K-€20K) is voor organisaties met redelijke bestaande beveiligingshygiene; de hogere kant (€40K-€60K) is voor organisaties die starten vanaf bijna-nul documentatie. Dit zijn branche-gerapporteerde ranges, geen genoemd-bron-quotes — verzamel drie CAB- of consultancy-voorstellen voor budgettering.
Hoe verandert ECP-via-MSP-economie dit?
Een managed service provider die meerdere klanten draait op Easy Cyber Protection betaalt een gestaffelde platformkost (Starter €399 setup + €75/klant/maand zonder basis, Practice €499/maand, Studio €999/maand, Firm €1.999/maand, Enterprise MSP €4.999+/maand) en amortiseert die over de portefeuille. De kosten per klant landen ruim onder standalone consultancy in de €5K-€60K-range, omdat het platform uren handmatige steigerwerk vervangt (workbook invullen, beleidstemplates, bewijsverzameling, mock-run) en de MSP expertise erbovenop levert.
Kan ik een CAB-audit doen zonder externe voorbereiding?
Ja — en veel organisaties doen dat, vooral wanneer een interne compliance-lead het werk aandrijft en een tooling-laag zoals ECP de workbook + bewijsmachinerie behandelt. Het CCB vereist niet dat je een consultancy inhuurt voor het indienen bij een CAB. De eerlijke vraag is of je team 2-6 maanden beschikbare bandbreedte heeft en de discipline om de workbook eerlijk te scoren — beide zijn gemakkelijker te onderschatten dan te overschatten.
Is er een verschil tussen IMPORTANT- en ESSENTIAL-auditkosten?
Ja. ESSENTIAL-niveau dekt 217 controls vs 132 voor IMPORTANT, plus strengere bewijsvereisten per control. Branche-rapportage suggereert dat ESSENTIAL-niveau CAB-audits 50-100% boven IMPORTANT-niveau audits trenden in kosten en voorbereidingstijd, met het kostenverschil groter voor organisaties wiens bestaande beveiligingspositie dichter bij BASIC ligt dan bij IMPORTANT.
Hoe zit het met doorlopend certificeringsonderhoud?
CyberFundamentals-certificering is typisch geldig voor 2-3 jaar met surveillance-audits ertussen. Surveillance-audits zijn kleinere-scope (her-controle van bemonsterde controls) en lopen ongeveer 30-50% van de initiele auditkost. Plan hiervoor in jaar-2- en jaar-3-budgetten.