Overzicht van de (R)evolutie
De CyFun 2025 Essential is een significante upgrade van de 2023-editie. Waar CyFun 2023 voornamelijk was gebaseerd op NIST CSF 1.1 in combinatie met ISO/IEC 27001:2022, sluit de nieuwe versie volledig aan bij NIST Cybersecurity Framework 2.0, inclusief de nieuwe functie “Govern” en herziening van de oorspronkelijke vijf functies (Identify, Protect, Detect, Respond, Recover). zie CyFun2025_Booklet-ESSENTIAL.
België leert uit de storm: 272 incidenten en de wedergeboorte van cyberweerbaarheid
Er is iets bijzonders aan de hand in België. Terwijl andere landen nog worstelen met reactieve compliance en papieren beveiliging, lijken Belgische bedrijven stilaan een nieuw hoofdstuk te schrijven in digitale weerbaarheid. De cijfers liegen er niet om: 272 gemelde cyberincidenten in één jaar tijd — elk met zijn eigen verhaal van paniek, verwarring, en uiteindelijk, transformatie.
Wat begon als een sombere optelsom van datalekken, verstoringen en phishingaanvallen, groeide uit tot een nationale wake-upcall. Bedrijven van Antwerpen tot Aarlen leerden dat beveiliging niet langer een kwestie is van IT, maar van leiderschap. Achter elke melding schuilt een beslissing om anders te gaan werken: risico’s niet langer te negeren, leveranciers te screenen alsof het levenspartners zijn, en incidenten te behandelen als kansen om sterker te worden.
“Het was kantje boord,” zegt een CISO van een middelgroot technologiebedrijf, “maar dat ene incident heeft ons gered van iets veel ergers.” Zulke uitspraken illustreren een opvallende trend: waar de klap hard viel, kwam de vernieuwing nog harder terug. Door snel in te grijpen, transparant te rapporteren en lessen te trekken uit hun eigen fouten, wisten tientallen organisaties niet alleen boetes te vermijden, maar hun reputatie te versterken.
En nu, met de lancering van het CyFun Essential Framework 2025, keert België de pagina met een opmerkelijke zelfverzekerdheid. De nieuwe versie — gestoeld op het internationale NIST CSF 2.0 — is geen theoretisch handboek meer, maar een weerspiegeling van wat in de praktijk is geleerd uit die 272 incidenten. Incidentbeheer en leveranciersvertrouwen vormen de kern van deze evolutie. Bedrijven die ooit slachtoffer waren, zijn nu gidsen voor anderen.
België staat weer op de radar — niet omdat het onkwetsbaar is, maar omdat het durft te leren. De les is duidelijk: cyberveiligheid is geen fort, het is een ecosysteem. En uit elke breuklijn groeit nu een sterkere structuur.
De 2025-editie is modulair opgebouwd met zes functies, en de controls worden direct gelabeld volgens de NIST CSF 2.0-code (zoals GV.OC, ID.IM, RS.MI, RC.CO). Dit zorgt voor betere traceerbaarheid en aansluiting met ISO 27001:2022 Annex A.
Kernvergelijking: aantal en aard van maatregelen
| Element | CyFun 2023 | CyFun 2025 | Evolutie |
|---|---|---|---|
| Totale kernfuncties | 5 (Identify, Protect, Detect, Respond, Recover) | 6 (Govern toegevoegd) | +1 functie |
| Aantal hoofdmaatregelen (Essential niveau) | ±155 | ±190 | +23% |
| Governance controls | 8 (in “Management & Policy”) | 20+ (GV.* sectie) | +150% |
| Incident management controls | 6 | 12 | verdubbeling |
| Supplier management controls | 5 | 10 | verdubbeling |
| Overlap met 2023 | ~70% van de oorspronkelijke maatregelen behouden | 30% herzien/verfijnd | inhoudelijk uitgebreid |
Belangrijkste inhoudelijke verbeteringen
1. Integratie van NIST CSF 2.0
De frameworkstructuur en codering zijn nu volledig afgestemd op CSF 2.0, met de nieuwe functie “Govern” waarin strategisch beleid, risicobeheer, toewijzing van verantwoordelijkheden en leveranciersbeheer zijn samengebracht. Zie CyFun2025_Booklet-ESSENTIAL.
Voorbeelden:
- GV.RR-01 – GV.RR-03: leggen nadruk op topmanagementverantwoordelijkheid en resourceallocatie.
- GV.OC-02 en GV.OC-04: verplichten formele stakeholderanalyse en operationele continuïteitsdoelen.
Deze toevoegingen versterken de aansluiting met ISO/IEC 27001:2022 (clausule 5–8) en met NIS2-governance-eisen.
2. Versterkt incidentbeheer
De 2025-editie breidt de Respond en Recover-domeinen aanzienlijk uit.
Nieuwe controls zoals:
- RS.MA-01 t.e.m. RS.MA-05: verfijnen incidenttriage, categorisatie en escalatieprocessenCyFun2025_Booklet-ESSENTIAL.
- RS.CO-02.2: vereist formele rapportage van significante incidenten aan bevoegde autoriteiten (conform NIS2)CyFun2025_Booklet-ESSENTIAL.
- ID.IM-03 & ID.IM-04: introduceren verplichte post-incident evaluaties en periodieke testen van IR- en BCP-plannen, inclusief samenwerking met externe stakeholdersCyFun2025_Booklet-ESSENTIALCyFun2025_Booklet-ESSENTIAL.
Impact: De incidentcyclus wordt nu holistisch beschouwd — van preventie tot herstel — met meetbare maturity-doelen en integratie in risicobeoordelingen.
3. Versterkt leveranciersbeheer (Supplier & Supply Chain Security)
De 2025-versie verdubbelt het aantal maatregelen rond leveranciersrisico’s:
- GV.SC-05 – GV.SC-10: introduceren volledige lifecycle-integratie van leveranciersbeheerCyFun2025_Booklet-ESSENTIAL.
- GV.SC-07 & GV.SC-03: leggen nadruk op jaarlijkse evaluaties, contractuele cyberclausules en voortdurende monitoring van leveranciersprestatiesCyFun2025_Booklet-ESSENTIALCyFun2025_Booklet-ESSENTIAL.
- GV.SC-10.1: vereist formele offboardingprocedures om rest-risico’s na beëindiging van samenwerking te minimaliseren.
Impact: leveranciersbeheer evolueert van reactieve compliance naar continu risicogestuurd toezicht, vergelijkbaar met DORA– en ENISA CVD-verwachtingen.
4. Operationele verbeteringen
- Automatisering: Nieuwe controls zoals ID.RA-08.2 introduceren automatische kwetsbaarheidsdistributie en tracking van maatregelen.
- OT-dekking: Elk domein bevat nu OT-specifieke richtlijnen, waaronder segmentatie (PR.IR-01.4), fysieke beveiliging en leverancierscoördinatie.
- Evaluatie & maturity tracking: De frameworksectie Framework Improvement [ID.IM] koppelt testen, lessons learned en maturitybeoordelingen aan continue verbeteringCyFun2025_Booklet-ESSENTIAL.
Samenvattend: behoud en verbetering
| Categorie | Behouden uit 2023 | Verbeterd in 2025 |
|---|---|---|
| Basisbescherming & awareness | Ongewijzigd, geherstructureerd | Duidelijkere koppeling met CSF 2.0 en ISO 27002 |
| Risicobeheer & governance | Fundamenteel vernieuwd | Uitgebreide “Govern”-functie met topmanagementverantwoordelijkheid |
| Incidentbeheer | Verdubbeld aantal maatregelen | Geïntegreerd met recovery en externe meldplichten |
| Leveranciersbeheer | Sterk uitgebreid | Volledige lifecycle + contractuele integratie |
| Detectie & monitoring | Inhoudelijk gelijk | Meer nadruk op correlatie en automatisering |
| Continu verbeteren | Nieuw raamwerk voor evaluatie | Maturitygericht, aansluitend bij CyFun Maturity Model |
Conclusie
De CyFun Essential 2025 markeert een duidelijke transitie van een technische baseline naar een governance-gedreven raamwerk.
De belangrijkste vernieuwingen zijn:
- Volledige adoptie van NIST CSF 2.0 (met “Govern” als zesde functie);
- Dubbel zoveel nadruk op incident- en leveranciersbeheer, inclusief externe rapportage en OT-dekking;
- Een meer aantoonbaar maturity- en risicogebaseerd karakter met continue verbeteringscycli.
Samengevat: ongeveer 70% van de oorspronkelijke 2023-maatregelen zijn behouden, terwijl 30% zijn geüpdatet of vervangen door diepere, governance- en responsgerichte controls.
