Wat als mijn IT-partner CyFun nog niet kent?

Nuttige informatie. Het CCB CyberFundamentals-raamwerk is de officiele Belgische compliance-route voor NIS2 en is live sinds 2023. Een IT-partner die er niet bekend mee is kan nog op snelheid komen — het raamwerk is goed gedocumenteerd en gratis — maar vraag openlijk naar tijdschema en kosten. Als ze 3 maanden nodig hebben om het raamwerk te leren voor ze met je beoordeling kunnen beginnen, kan de wiskunde een partner bevoordelen die al gecertificeerd of ECP-getraind is.

Hoeveel zou de IT-partner moeten rekenen voor een CyFun BASIC-zelfbeoordeling?

Branche-gerapporteerde ranges suggereren dat een beheerde CyFun BASIC-zelfbeoordeling €3K-€15K kost afhankelijk van of de partner een tooling-platform gebruikt (lager) of een handgerolde aanpak (hoger). MSPs die ECP draaien rekenen in de lagere band omdat het platform uren handmatige steigerwerk vervangt. Zie het CAB-auditkostenartikel voor de volledige kostenuitsplitsing.

Wat als mijn IT-partner mij in plaats daarvan naar ISO 27001 duwt?

Een verdedigbare positie als je al een ISO 27001-ISMS hebt of bouwt. Het CCB erkent ISO 27001 met een NIS2-gemapte Statement of Applicability als gelijkwaardig pad. Voor KMO's zonder bestaand ISMS is CyFun BASIC sneller, goedkoper, en expliciet aanvaard door het CCB als de minimum NIS2-zelfbeoordeling. Vergelijk beide paden voor verbintenis.

Kan mijn IT-partner ons bestaande beveiligingswerk nemen en gewoon de beoordeling indienen?

Soms. Als je partner MFA, EDR, backups, patching en incidentrespons heeft beheerd met gedocumenteerd bewijs, is de gap naar een schone BASIC-zelfbeoordeling vooral het mappen van hun bestaande artefacten op de CCB-workbookstructuur. Als documentatie ad-hoc was, is de gap groter. De eerlijke test: vraag ze om je de laatste 3 maanden patch-compliance-rapporten en backup-restore-test-logs te laten zien. Als die gemakkelijk ophaalbaar zijn, sta je goed.

Mijn IT-partner is geweldig in beveiliging maar compliance is hun ding niet — wat doe ik?

Veelvoorkomend patroon in de Belgische KMO-markt. Twee opties: (1) een aparte compliance-consultancy inschakelen om de CyFun-laag te behandelen terwijl je partner de technische controls blijft draaien, of (2) je partner vragen om aan te sluiten op een managed compliance-platform zoals ECP, dat hen compliance-diensten laat leveren zonder een compliance-praktijk vanaf nul te bouwen. De tweede is het model waar ECP rond is ontworpen.

Wat als mijn IT-partner CyFun nog niet kent?

Nuttige informatie. Het CCB CyberFundamentals-raamwerk is de officiele Belgische compliance-route voor NIS2 en is live sinds 2023. Een IT-partner die er niet bekend mee is kan nog op snelheid komen — het raamwerk is goed gedocumenteerd en gratis — maar vraag openlijk naar tijdschema en kosten. Als ze 3 maanden nodig hebben om het raamwerk te leren voor ze met je beoordeling kunnen beginnen, kan de wiskunde een partner bevoordelen die al gecertificeerd of ECP-getraind is.

Hoeveel zou de IT-partner moeten rekenen voor een CyFun BASIC-zelfbeoordeling?

Branche-gerapporteerde ranges suggereren dat een beheerde CyFun BASIC-zelfbeoordeling €3K-€15K kost afhankelijk van of de partner een tooling-platform gebruikt (lager) of een handgerolde aanpak (hoger). MSPs die ECP draaien rekenen in de lagere band omdat het platform uren handmatige steigerwerk vervangt. Zie het CAB-auditkostenartikel voor de volledige kostenuitsplitsing.

Wat als mijn IT-partner mij in plaats daarvan naar ISO 27001 duwt?

Een verdedigbare positie als je al een ISO 27001-ISMS hebt of bouwt. Het CCB erkent ISO 27001 met een NIS2-gemapte Statement of Applicability als gelijkwaardig pad. Voor KMO's zonder bestaand ISMS is CyFun BASIC sneller, goedkoper, en expliciet aanvaard door het CCB als de minimum NIS2-zelfbeoordeling. Vergelijk beide paden voor verbintenis.

Kan mijn IT-partner ons bestaande beveiligingswerk nemen en gewoon de beoordeling indienen?

Soms. Als je partner MFA, EDR, backups, patching en incidentrespons heeft beheerd met gedocumenteerd bewijs, is de gap naar een schone BASIC-zelfbeoordeling vooral het mappen van hun bestaande artefacten op de CCB-workbookstructuur. Als documentatie ad-hoc was, is de gap groter. De eerlijke test: vraag ze om je de laatste 3 maanden patch-compliance-rapporten en backup-restore-test-logs te laten zien. Als die gemakkelijk ophaalbaar zijn, sta je goed.

Mijn IT-partner is geweldig in beveiliging maar compliance is hun ding niet — wat doe ik?

Veelvoorkomend patroon in de Belgische KMO-markt. Twee opties: (1) een aparte compliance-consultancy inschakelen om de CyFun-laag te behandelen terwijl je partner de technische controls blijft draaien, of (2) je partner vragen om aan te sluiten op een managed compliance-platform zoals ECP, dat hen compliance-diensten laat leveren zonder een compliance-praktijk vanaf nul te bouwen. De tweede is het model waar ECP rond is ontworpen.

Hoe Praat Je met Je IT-partner over een CyFun CAB-audit

Waarom Dit Gesprek Nu Belangrijk Is

De zelfbeoordelingsdeadline van 18 april 2026 is al voorbij. Ongeveer 84% van de Belgische organisaties in scope was niet volledig klaar (D3 Security branche-onderzoek, april 2026). Het volgende drukpunt is de essentiele-entiteit-volledige-certificeringsdeadline van 18 april 2027 — en een Conformity Assessment Body (CAB)-auditcyclus duurt 3-6 maanden zodra de voorbereiding klaar is.

Voor de meeste Belgische KMO's is de IT-partner het natuurlijke startpunt. Zij beheren al MFA, EDR, backups, patching, en waarschijnlijk wat van het beleid. De vraag is of zij ook het artefact kunnen produceren dat een CAB-audit nodig heeft: een CCB CyberFundamentals-workbook eerlijk gescoord, met bewijs per control, klaar voor indiening.

Het gesprek hieronder is ontworpen om het antwoord op die vraag snel naar boven te halen — zonder je partner in de verdediging te drukken.

Kopieer-en-plak Email-starter

Vervang de placeholders tussen haakjes, plak in je emailclient, verstuur. De vijf vragen zijn afgebakend zodat je een concreet antwoord krijgt in het eerste antwoord, geen marketingbrochure.

Onderwerp: NIS2 audit-klaarheid — kunnen we bespreken?

Hallo [partnernaam],

De Belgische NIS2-wet vereist dat wij cybersecurity audit-klaar zijn. De zelfbeoordelingsdeadline van 18 april 2026 is al voorbij en de volledige-certificeringsdeadline van 18 april 2027 is de volgende.

We moeten een CyFun (CyberFundamentals) zelfbeoordeling indienen bij het CCB en idealiter beginnen met de voorbereiding op een CAB-audit op IMPORTANT- of ESSENTIAL-niveau. Ik zou willen begrijpen:

1. Ben je bekend met CCB CyberFundamentals (BASIC = 34 controls, IMPORTANT = 132, ESSENTIAL = 217)? Heb je andere klanten erdoorheen geleid?

2. Kun je een CyFun BASIC-zelfbeoordeling voor ons afbakenen? Hoe ziet dat eruit in tijd, kosten, en jouw betrokkenheid versus de onze?

3. Kun je het bewijs verzamelen dat de CCB-workbook verwacht (beleid, screenshots, logvoorbeelden, trainingsregistraties) voor onze bestaande controls — MFA, EDR, backups, patch management?

4. Heb je een tooling-laag (compliance-platform, bewijswiki) die je zou gebruiken, of zouden we dit in Excel doen?

5. Als we een CAB-audit op IMPORTANT-niveau nodig hadden, zou jij de voorbereiding doen, of zouden we een aparte consultancy inschakelen?

Een kort gesprek deze week zou helpen. Kun je antwoorden met twee of drie tijdsloten?

Bedankt,
[jouw naam]

Het Antwoord Eerlijk Lezen

Drie signalen om naar te luisteren in het antwoord van je partner:

Specificiteit boven algemeenheden. "We kunnen dit in 6 weken doen voor €X" is een echt antwoord. "We zullen het afbakenen" is dat niet. Druk aan voor het concrete antwoord.
Tooling vs Excel. Een partner die CyFun-beoordelingen uitvoert vanuit Excel kan het ; een partner met een compliance-platform zal 2-3x sneller zijn en de workbook-kwaliteit zal hoger zijn. Vraag expliciet.
Eerlijkheid over CAB-niveau scope. Een BASIC-zelfbeoordeling ligt ruim binnen het bereik van de meeste MSPs. Een IMPORTANT- of ESSENTIAL CAB-audit is een grotere klus; partners die zeggen "we komen er wel uit" zonder te verwijzen naar een methode of platform leveren waarschijnlijker te weinig. Beter om "we zouden samenwerken met X voor de CAB-laag" te horen dan zelfverzekerde vaagheid.

Als Je Partner Compliance Wil Leveren maar de Toolkit Mist

Easy Cyber Protection is gebouwd voor managed service providers in precies deze situatie. Je IT-partner krijgt een compliance-platform dat:

Elke CyFun BASIC-, IMPORTANT- en ESSENTIAL-control mapt op bewijsverzameling — geen Excel.
Live dekkingsdata trekt uit Microsoft Graph, Sophos, Bitdefender in de relevante control-bewijssleuven automatisch.
De CCB-compatibele Excel-workbook exporteert die het Safeonweb @work-portaal aanvaardt — en CAB-bevindingen reimporteert zonder handmatige reconciliatie.
Stuur dit artikel door naar je IT-partner — de partnerpagina hieronder heeft de technische setup.