NIS2 & CyFun
Verschil tussen NIS2 & CyFun
NIS2 is de Europese wetgeving die organisaties verplicht hun cybersecurity te versterken, terwijl CyFun (CyberFundamentals) het praktische raamwerk is, ontwikkeld door het CCB, om aan die eisen te voldoen. NIS2 bepaalt wat moet, CyFun toont hoe.
| NIS2 | CyFun | |
|---|---|---|
| Type | Wetgeving | Raamwerk / Tool |
| Gericht op | Verplichtingen, risicomanagement, incidentrapportage | Concrete maatregelen, normen en stappenplannen |
| Aanpak | Juridisch en resultaatgericht | Technisch, praktisch en implementatiegericht |
Samengevat
- NIS2: De waarom en wat (wettelijke plicht)
- CyFun: De hoe (concrete invulling)
- CyFun is de Belgische vertaling/invulling van NIS2, ontwikkeld door het CCB.
Dreigingslandschap
Geopolitieke context
Cybercriminaliteit is nauw verbonden met geopolitieke instabiliteit. In regio's zoals KK Park, Myanmar — politiek instabiel na staatsgreep, hoge corruptie, geen uitleverings-verdragen — is cybercrime een logische keuze geworden door de straffeloosheid.
- Naar schatting 23.000 hackers en scammers actief in één stad
- Volledig professioneel opgezet: HR, managers, targets, dagelijkse bedrijfsvoering
- Landen zonder uitleveringsverdrag = onmogelijk te vervolgen
- De FBI heeft een lijst vol 'most wanted' hackers, wetende exact waar ze zitten, maar machteloos om te handelen
Geopolitieke spanningen = verhoogd cyberrisico
Hoe groter de geopolitieke spanning tussen landen, hoe groter de motivatie voor staatsgesponsorde en criminele hackers. Cyberaanvallen zijn de "makkelijkste manier om oorlog te voeren".
Cybercrime als professionele industrie
- Cybercriminelen zijn georganiseerde, professionele entiteiten geworden
- 547 bekende hacking groups, o.a. Lockbit, Medusa, Play Hacking Group
- Gelekte data wordt op 4 manieren ingezet:
- Wachtwoorden makkelijker raden (credential stuffing)
- Identiteitsfraude
- Spearphishing
- Verkoop op darkweb
Wie zou mij nu willen hacken?
De wetenschap wie er aangevallen werd, komt vaak pas na het binnendringen. Aanvallers kijken pas achteraf wat de potentiële buit of impact kan zijn. Iedereen is een potentieel target.
Bekende Cases
Case 1 — Limburg.net (Medusa, 2023)
- 14 november: eerste aanmeldpogingen met geldige wachtwoorden → geblokkeerd door MFA
- 17 november: RDP-sessie zonder MFA → succesvolle inbraak
- Pas een maand later, bij het beginnen van bestandsencryptie, had Limburg.net door dat ze gehackt waren
Zou CyFun dit voorkomen hebben? MFA op alle diensten (ook RDP) is een basisvereiste in CyFun.
Case 2 — Stad Antwerpen (Play Hacking Group)
- Stad Antwerpen lag 2 jaar plat na de aanval
- Herstelkosten: ±100 miljoen euro, los van eventuele dwangsom
Case 3 — Salesforce Connected App
- Aanvaller creëerde een nieuwe "Connected App" in Salesforce via social engineering (telefoon)
- Leek onschuldig, maar gaf volledige toegang → game over
NIS2 Richtlijnen
Kritische vs. Zeer Kritieke Entiteiten
| Categorie | Maximale downtime |
|---|---|
| Zeer kritiek | Minder dan 1 dag |
| Kritiek | Minder dan 1 week |
Supply Chain
Een van de belangrijkste toevoegingen van NIS2 is de supply chain-verplichting:
Als u een dienst bij een leverancier parkeert, moet u cybersecurityvereisten contractueel afdwingen én actief controleren op naleving.
Aansprakelijkheid van Bestuursorganen
Bestuursleden kunnen hoofdelijk aansprakelijk gesteld worden, tot en met gevangenisstraf.
Vastamo Case
Vastamo was een Fins psychotherapeutisch centrum. De CEO werd veroordeeld tot 3 maanden voorwaardelijk omdat basismaatregelen niet genomen werden na een datalek waarbij patiëntendossiers gestolen werden.
CyFun Audit Methodologie
Fasen
| Fase | Inhoud |
|---|---|
| Fase 1 | Gap-analyse en interviews |
| Fase 2 | Problemen aanpakken: policies uitschrijven, tools aanschaffen, enz. |
| Fase 3 | Claim opmaken via self-assessment |
Risico bij zelf scoren
Als u als organisatie "pass" aangeeft, en een externe auditor nadien niet akkoord gaat, draagt u de volledige verantwoordelijkheid. Wees conservatief in uw scores.
Way of Work (Interview)
- Tijdens het interview: alles noteren, nog niet scoren
- Klant stuurt nadien eventueel bewijsmateriaal aan
- Notities dienen als persoonlijke leidraad voor de consultant
Maturity Levels
Elke maatregel krijgt een score op implementatie én documentatie. Start altijd bij documentatie.
| Score | Betekenis |
|---|---|
| 1 | Geen beleidsdocumenten (ondertekend door management) aanwezig |
| 2 | Beleidsdocument aanwezig, maar niet bijgewerkt in de laatste 2 jaar |
| 2,5 | Maatregel gemotiveerd uitgesloten (max. 1 per assessment, goed onderbouwd) |
| 3 | Gedocumenteerd en geïmplementeerd |
| 4+ | Geoptimaliseerd / continu verbeterd |
Belangrijk bij key measures
Bij een score hoger dan 3 gaat de auditor veel strenger controleren. Geef op key measures in de praktijk maximaal een 3, tenzij u het bewijs ijzersterk kunt onderbouwen.
Beleidsdocument vs. uitvoering: - Het beleidsdocument toont de minimumvereisten vanuit management - Het contract/SLA met de vendor is de aantoning dat dit effectief zo uitgevoerd wordt
Audit Sheet vs. Gap Analyse
| Document | Doel |
|---|---|
| Audit Sheet | Sec de bevindingen — technisch, volledig, objectief |
| Gap Analyse | Strategisch overzicht voor management — uitlegt wat, waarom en hoe (plan van aanpak) |
Taal van de ontvanger
De gap-analyse moet opgemaakt worden in de taal van de ontvanger. Niet-IT-profielen hebben een andere aanpak nodig dan technische profielen.
Finale noot
Op het einde van de rit telt niet de score van de consultant, niet die van de klant — maar die van de instantie die de finale audit uitvoert.