NIS2 Certificering: CyberFundamentals & ISO 27001 Trajecten
NIS2 creert geen "NIS2-certificaat." In plaats daarvan gebruikt Belgie het CyberFundamentals (CyFun) framework als compliancetraject. Ongeveer 25% van de geregistreerde organisaties kiest voor ISO 27001. Deze gids legt beide trajecten uit, wat certificering werkelijk betekent, en hoe je audit-ready wordt.
Is NIS2 Certificering Verplicht?
Niet rechtstreeks. NIS2 is een Europese richtlijn. Het geeft geen certificaten af. Elke lidstaat beslist hoe compliance wordt geverifieerd. In Belgie koos het Centrum voor Cybersecurity Belgie (CCB) het CyberFundamentals framework als primair compliancemechanisme. Organisaties kunnen ook compliance aantonen via ISO 27001 certificering.
CyberFundamentals Certificeringsniveaus
CyFun heeft vier niveaus. Je vereiste niveau hangt af van je NIS2-classificatie.
Small
Basic
Important
Essential
CyFun vs ISO 27001
| Aspect | CyberFundamentals | ISO 27001 |
|---|---|---|
| Framework kosten | Gratis | Aankoop norm vereist |
| Belgisch NIS2 aanvaard | Ja (primair traject) | Ja (alternatief traject) |
| Audit vereist | Important & Essential niveaus | Altijd (voor certificering) |
| Internationale erkenning | Alleen Belgie | Wereldwijd erkend |
| Typische auditkosten | Lager | Hoger |
| Onderhoud | Jaarlijkse herbeoordeling | Jaarlijkse surveillance-audits |
| Beste voor | Belgisch-gerichte organisaties | Internationale organisaties |
ISO 27001 als Alternatief
Ongeveer 25% van de NIS2-geregistreerde organisaties in Belgie koos ISO 27001 boven CyberFundamentals. ISO 27001 is internationaal erkend en kan de voorkeur hebben als je al gecertificeerd bent of over grenzen heen opereert. Het CCB accepteert het als equivalent voor NIS2-compliance.
- ✓ ISO 27001 certificering is doorgaans duurder dan CyFun audits
- ✓ Het vereist jaarlijkse surveillance-audits en driejaarlijkse hercertificering
- ✓ Als je al ISO 27001 hebt, ben je mogelijk al compliant
- ✓ ISO 27001 dekt een breder bereik dan CyFun
Hoe Certificering Werkt
Voor CyFun Important en Essential niveaus voert een Conformity Assessment Body (CAB) de audit uit. CAB-accreditatie wordt afgerond in april 2026. Dit is het proces:
- 1 Registreer bij het CCB en bepaal je classificatie
- 2 Kies je traject: CyberFundamentals of ISO 27001
- 3 Implementeer de vereiste controls en documenteer bewijs
- 4 Voor zelfbeoordeling: dien je beoordeling in bij het CCB
- 5 Voor auditniveaus: schakel een geaccrediteerde CAB in voor audit
- 6 Ontvang je certificering en onderhoud deze jaarlijks
Certificering vs Zelfbeoordeling
Niet elke organisatie heeft een volledige audit door derden nodig. De vereisten hangen af van je NIS2-classificatie:
Zelfbeoordeling
Wie: Belangrijke entiteiten op Basic niveau
Deadline: April 2026
Wat: Vul de CyFun zelfbeoordelingsvragenlijst in en dien in bij het CCB
Audit door derden
Wie: Essentiele entiteiten op Important/Essential niveau
Deadline: April 2027
Wat: Schakel een geaccrediteerde CAB in om je controls en bewijs te verifieren
Kostenoverwegingen
Audit-ready worden hoeft niet duur te zijn.
- ✓ Het CyFun framework zelf is volledig gratis
- ✓ Zelfbeoordeling heeft geen externe kosten (alleen je tijd)
- ✓ CyFun audits door derden varieren per organisatiegrootte (doorgaans lager dan ISO)
- ✓ ISO 27001 certificering kost EUR 5.000-30.000+ afhankelijk van scope
- ✓ De grootste kost is implementatietijd, niet de audit zelf
- ✓ Starten met Small/Basic niveau houdt initiele kosten bij nul
Hoe Easy Cyber Protection Helpt
Wij maken je organisatie audit-ready. Dat betekent dat je met vertrouwen je beoordeling of audit ingaat.
- ✓ Begeleide implementatie van CyFun controls op jouw niveau
- ✓ Bewijsverzameling en documentatiesjablonen
- ✓ Gap-analyse die precies toont wat ontbreekt
- ✓ Voortgangsmonitoring over alle vereiste controls
- ✓ Duidelijke richtlijnen over wat auditors verwachten
Bekijk ook onze NIS2 compliance checklist en de implementatiestappen om je op weg te helpen.
Word Audit-Ready
Easy Cyber Protection begeleidt je door elke CyberFundamentals control met duidelijke bewijsvereisten. Weet precies waar je staat voordat de auditor komt.
Veelgestelde Vragen
Bestaat er een NIS2-certificaat?
Nee. NIS2 is een richtlijn, geen certificeringsschema. In Belgie toon je NIS2-compliance aan via CyberFundamentals certificering of ISO 27001. Dit zijn de geaccepteerde bewijzen van compliance.
Wat is een CAB en hoe vind ik er een?
Een CAB (Conformity Assessment Body) is een geaccrediteerde organisatie die audits door derden uitvoert. BELAC accrediteert CABs in Belgie. Het accreditatieproces wordt afgerond in april 2026. Het CCB publiceert een lijst van geaccrediteerde CABs.
Kan ik ISO 27001 gebruiken in plaats van CyberFundamentals?
Ja. Het CCB accepteert ISO 27001 als alternatief compliancetraject voor NIS2. Ongeveer 25% van de geregistreerde organisaties koos deze optie. Als je al ISO 27001 hebt, controleer of je scope de NIS2-relevante diensten dekt.
Wat gebeurt er als ik de zelfbeoordelingsdeadline van april 2026 mis?
Essentiele entiteiten die hun zelfbeoordeling niet indienen voor 18 april 2026 riskeren handhavingsmaatregelen door het CCB. Dit omvat mogelijke boetes. Begin nu met je beoordeling om last-minute druk te vermijden.
Hoe lang duurt het om CyFun gecertificeerd te worden?
Voor Small en Basic niveaus (zelfbeoordeling) kun je in dagen tot weken afronden. Voor Important en Essential niveaus die een audit door derden vereisen, plan 3-6 maanden voorbereiding plus het auditproces zelf.