Hoe ver komt u met CyFUN Basic? Een nuchtere blik op de baseline

Het CyFUN-framework van het CCB is een van de meest pragmatische cybersecurity raamwerken voor de Belgische KMO. Geen vierhonderd-pagina's ISO-standaard, geen consultants-jargon, gewoon een gelaagde lijst met praktische maatregelen die meegroeit met uw maturiteit en risicoprofiel.

Een vraag die regelmatig opduikt: is Basic genoeg, of moet ik meteen voor Important gaan? Hieronder een nuchtere uitleg van wat Basic afdekt, wat het bewust niet doet, wanneer Important effectief de moeite waard is, en welke inspanning u typisch moet inplannen.

Wat Basic afdekt en wat niet

CyFUN Basic bestaat uit 34 essentiële controles. Veel daarvan zijn dingen die u eigenlijk al hoort te doen:

• Antivirus op elke endpoint
• Multi-factor authenticatie op kritieke accounts
• Backups die effectief getest worden
• Een actueel incident response plan
• Centraal beheer van toegangsrechten en software-installaties

Een Basic-traject voor een typische KMO van 10 tot 30 medewerkers duurt doorgaans ongeveer drie maanden van eerste assessment tot het kunnen aantonen van compliance. Niet omdat de maatregelen technisch complex zijn, wel omdat het organisatorisch ankeren een serieuze inspanning vraagt. Voorbeeld: het kost niets om "verplicht wachtwoordbeheer" als regel op te schrijven. Het kost wel iets om alle medewerkers Vaultwarden of vergelijkbaar te leren gebruiken, hun bestaande wachtwoorden te importeren, en gedeelde Excel-bestanden uit de chats te weren.

Wat Basic niet doet

Basic geeft u een goede baseline. Het geeft u geen:

• Continue detectie van geavanceerde dreigingen (daar gaat Important of Essential over)
• Penetratietests of red teaming
• Compliance met sector-specifieke kaders zoals DORA of NIS2 als entiteit

Voor veel KMO's met een beperkt risicoprofiel (client-side dreigingen zoals phishing en ransomware, oplichtingspogingen via vervalste mailboxen, courante credential-misbruiken) is dat genoeg. Basic ankert die risico's afdoende zonder dat er een SIEM of 24/7 SOC voor moet draaien.

Wanneer dan toch naar Important?

Drie redenen die in de praktijk doorslaggevend zijn:

1. Een klant vraagt erom. Bij contractvernieuwing met grotere accounts komt CyFUN Important steeds vaker terug. Vooral als die klant zelf onder NIS2 valt.
2. Uw cyberverzekering vraagt erom. Sommige verzekeraars geven 15 tot 20 procent korting bij Important-niveau. Op de premie tikt dat aan.
3. U bent zelf onder NIS2 als 'belangrijke entiteit'. Dan is Important het minimum dat u kunt aantonen als 'redelijke maatregelen'.

Als geen van die drie van toepassing is, is Basic een prima eindpunt. Niet elke organisatie moet maximaal beveiligd zijn, wel passend beveiligd.

Wat u typisch moet inplannen

Indicatieve cijfers voor een KMO van ongeveer 10 tot 20 medewerkers, gebaseerd op wat in de markt gebruikelijk is:

• Assessment en gap-analyse: ongeveer 12 uur consultancy
• Remediatie-traject: ongeveer 50 uur werk, verspreid over drie maanden
• Tools (wachtwoordbeheerder, MFA-app, eventueel extra backup-licentie): ongeveer 80 euro per maand bovenop bestaande tooling
• Awareness-sessie voor het hele team: twee uur

Geen ingewikkelde getallen. Wel reëel werk. Een belangrijke nuance: dit gaat veel sneller wanneer de zaakvoerder zelf de awareness-sessie volgt en het traject mee draagt. Zonder die buy-in van bovenaf duurt het minstens twee keer zo lang, en dan vooral omdat gedragsverandering blijft hangen.