Richting CyFun Compliance met Fox&Fish Cyberdefense

// Samen naar Cyber Fundamentals Compliance (Basic)

Het traject naar CyFun compliance

Met de GAP-analyse uit uw CyFun-audit heeft u een helder beeld gekregen van waar uw organisatie vandaag staat tegenover het Cyberfundamentals Framework (CyFun) van het Centrum voor Cybersecurity België. U weet welke maatregelen, beleidsdocumenten en procedures er nog ontbreken of onvoldoende zijn uitgewerkt. De logische volgende stap is om die punten weg te werken en de weg naar het officiële CyFun-label in te zetten.

Dat traject verloopt in grote lijnen als volgt:

STAP 1
Eerst brengen we samen de ontbrekende "measures" en "key measures" in orde, zowel op technisch vlak als op het vlak van beleid en documentatie. Elke maatregel die u implementeert, verhoogt uw CyFun-score.

STAP 2
Voor u de stap naar de verificatie zet, voeren we een gerichte controlefase uit op basis van "selective sampling": via steekproeven sporen we de uitzonderingen op de geïmplementeerde maatregelen op en kwantificeren we die. Dat is nodig om uw score correct te onderbouwen en om de bewijsvoering rond te krijgen die een auditor verwacht.

STAP 3
Zodra de vereiste minimumscore behaald is, stelt u een formele claim op: het document waarmee u het verificatieproces bij een geaccrediteerde Conformity Assessment Body (CAB) opstart. Wij helpen u, indien gewenst, bij het schrijven van deze claim.

STAP 4
Tot slot volgt de effectieve verificatie-audit door de onafhankelijke CAB, waarbij wij u, indien gewenst, als adviseur begeleiden zodat u goed voorbereid aan tafel zit.

Contacteer ons voor meer informatie →

// Drie heldere prijsformules

Geen twee organisaties leggen dit traject op dezelfde manier af

De omvang hangt af van uw GAP-score, de maturiteit van uw IT-omgeving en vooral van hoeveel werk u zelf intern kan en wil opnemen. Sommige organisaties willen volledig ontzorgd worden, andere hebben een sterk intern team en willen ons enkel inschakelen als expert en klankbord. Daarom werken we niet met één vaste totaalprijs voor een traject waarvan de invulling per organisatie verschilt, maar met drie heldere formules. Zo betaal je voor de begeleiding die uw organisatie effectief nodig heeft, met een voorspelbaar maandbudget en een duidelijk afgesproken plafond.

Elk begeleidingstraject start daarom eerst met een korte en vaste opstartfase. Daarin vertalen we de roadmap uit de GAP-analyse van uw audit naar een concreet implementatieplan:

Welke maatregelen pakken we?
In welke volgorde tackelen we deze maatregelen?
Wie doet wat binnen dit traject?
Welke doorlooptijd is realistisch?

Dat plan vormt de werkbasis voor de gekozen formule en geeft jou meteen een onderbouwde raming van de totale inspanning.

Vraag een voorstel op maat aan →

// Wat kan u van ons verwachten?

Onze begeleidingsformules

Elk succesvol traject begint met een solide basis. Welke formule u ook kiest, we starten altijd met een vaste opstartfase waarin we uw GAP-analyse vertalen naar een concreet en geprioriteerd implementatieplan.

En omdat iedere organisatie uniek is, stemmen we onze ondersteuning volledig af op uw interne capaciteit en expertise via drie flexibele formules:

Opstartfase 1: implementatieplan (vast onderdeel van elke formule)

In de opstartfase zetten we de bevindingen uit de GAP-analyse om in een geprioriteerd implementatieplan. We bepalen samen welke measures en key measures het meeste gewicht in de schaal leggen, welke quick wins er zijn, en waar de grootste inspanning zal zitten. Het resultaat is een planning met werkpakketten, verantwoordelijkheden en een dagenraming per pakket.

Dit plan is meteen ook het stuurinstrument voor de rest van het traject: bij elke maandelijkse opvolging toetsen we de voortgang af tegen dit plan, zodat je op elk moment weet waar je staat en wat er nog rest tot de minimumscore.

Formule 1: Expertdagen op afroep

Wilt u het traject volledig zelfstandig afleggen en ons enkel inschakelen op de momenten dat u vastloopt?

Dit pakket is ontworpen voor organisaties die over sterke interne resources beschikken en voornamelijk nood hebben aan een extern klankbord en kwaliteitscontrole.

In deze rol fungeert Fox&Fish Cyberdefense als uw kritische sparringpartner. Wij verwijzen u naar de nodige document-templates van het CCB en best-practice richtlijnen. Uw eigen team schrijft de procedures en voert de technische wijzigingen uit. Zodra een maatregel is geïmplementeerd of een document is opgesteld, voeren wij een gerichte review uit. Wij toetsen dit af met de blik van een auditor: voldoet dit aan de norm en werkt het ook in de praktijk?

Enkele voorbeelden:

Een halve dag review van uw incident response plan.
Een werksessie rond de interpretatie van een specifieke maatregel.
Een second opinion op de claim voor je ze indient.

U bepaalt zelf wanneer en waarvoor u onze dagen inzet, in blokken van minimaal een halve dag (4u).

Deze formule biedt maximale vrijheid, maar zonder vaste maandelijkse opvolging en zonder gereserveerde capaciteit in onze planning. Prestaties op afroep plannen we in volgens beschikbaarheid, doorgaans binnen een periode van twee tot vier weken. De bundel blijft vierentwintig maanden geldig vanaf aankoop. Merkt u gaandeweg dat u toch meer nood heeft aan een structurele ondersteuning, dan kan u de resterende dagen op ieder moment omzetten naar formule 2 of 3.

Dit is de meest kostenefficiënte route voor organisaties die zelf de handen uit de mouwen willen steken en voorzien zijn van de nodige inhouse kennis.

Formule 2: Begeleiding en coaching

In dit traject trekken we samen op: wij verdelen de taken pragmatisch.

Fox&Fish Cyberdefense adviseert niet alleen, maar schrijft actief mee aan het cybersecuritybeleid en de benodigde procedures op basis van de input die u aanlevert.

Ook op de technische maatregelen brengen we onze ervaring en best practices in:

We reiken uw IT-beheerder(s) de juiste richting en aandachtspunten aan, afgestemd op de concrete situatie van uw omgeving.
We jagen het proces gezamenlijk aan, bewaken de roadmap richting de minimumscore en bereiden samen de formele ‘claim’ (inclusief bewijsvergaring) voor de CAB voor.

Dit pakket biedt de perfecte balans tussen ontzorging en actieve interne betrokkenheid.

Dit is de formule voor organisaties met een capabel intern team dat tijd kan vrijmaken, maar dat de zekerheid wil van een ervaren gids naast zich. U combineert zo de laagste externe kost met de garantie dat u geen tijd verliest aan verkeerde interpretaties of overbodig werk. In de praktijk is dit voor de meeste organisaties de beste verhouding tussen prijs, snelheid en leereffect: de kennis blijft in huis, wat ook na het behalen van het label zijn waarde bewijst.

Formule 3: Volledige ontzorging (Interim CISO)

Met deze formule neemt u de zorg over uw cyberveiligheid maximaal van uw schouders.

Fox&Fish Cyberdefense treedt op als uw interim Chief Information Security Officer:

We nemen de regie over het volledige CyFun-traject.
We schrijven de beleidsdocumenten en procedures.
We bewaken de voortgang van de score.
We stellen samen met u de claim op.
We bereiden samen de verificatie-audit voor.
We vertalen het framework naar een concrete prioriteitenlijst.
We specificeren welke technische maatregelen nodig zijn en tegen wanneer, zodat uw IT-dienst of IT-partner gericht aan de slag kan. De effectieve uitvoering ligt bij hen, maar wij volgen op of het resultaat aan de CyFun-vereisten voldoet.
Uw rol beperkt zich tot het aanleveren van informatie, het nemen van beslissingen en het valideren van wat we opleveren.

Belangrijk is wat deze formule wel en niet inhoudt:

✅ Wij nemen wel de CISO-rol op
🚫 Wij nemen niet de rol van uw IT-dienst of IT-beheerder over.

Dit betekent dat wij de cyberveiligheid aansturen, ontwerpen en bewaken, maar dat de effectieve technische uitvoering (de hands-on implementatie en het operationele systeembeheer) bij uw interne IT-dienst of bij uw IT-partner blijft.

Vraagt een bepaalde maatregel om specialistische uitvoering die uw IT-partij niet zelf opneemt, bijvoorbeeld de inrichting van een back-upoplossing, dan signaleren we dat tijdig en adviseren we over de vereisten waaraan de oplossing moet voldoen. De keuze van een geschikte partner, de coördinatie van die uitvoering en de bijbehorende kosten, net als die van software, licenties of tooling, liggen bij uw organisatie en vallen buiten onze formule 3.

Cyberveiligheid is bovendien een doorlopend proces, geen eenmalige inspanning. Maatregelen zoals het periodiek testen van back-ups, het opvolgen van logging of het herzien van toegangsrechten moeten blijvend gebeuren, ook na het behalen van het label. In onze CISO-rol richten we die processen in, leggen we vast wie ze uitvoert en met welke frequentie, en bewaken we dat ze effectief lopen. De terugkerende uitvoering zelf blijft een verantwoordelijkheid van uw IT-operatie of een aangeduide partner.

Deze formule past bij organisaties zonder interne capaciteit of expertise om het traject zelf te trekken, of waar de tijdsdruk hoog ligt.

Het kernverschil met de coachingformule: hier trekken wij het traject en houden wij de pen vast, en beperkt uw inbreng zich tot beslissingen, input en validatie. We reserveren een vast aantal dagen per maand in onze planning, zodat het traject gegarandeerd vooruitgaat en niet ondergesneeuwd raakt door de dagelijkse werking. U heeft één vast aanspreekpunt dat het volledige traject overziet. In de opstartfase leggen we in een helder projectvoorstel vast wie welke taken opneemt, zodat de verdeling tussen Fox&Fish Cyberdefense, uw IT-dienst en eventuele externe partners van bij de start voor iedereen duidelijk is.

Onze 3 formules in detail

	Formule 1: Op afroep	Formule 2: Begeleiding en coaching	Formule 3: Volledige ontzorging als interim CISO
Voor wie	Organisaties die zelfstandig werken en ad hoc expertise willen	Organisaties met een capabel intern team dat tijd kan vrijmaken	Organisaties zonder interne capaciteit of met hoge tijdsdruk
Rol van Fox&Fish Cyberdefense	Expert op afroep	Wij coachen en reviewen, uw team voert uit	Wij nemen de CISO-regie: documentatie, prioritering, specificatie en opvolging van maatregelen, claim, auditvoorbereiding
Wie trekt het traject	Uw team	Uw team	Fox&Fish Cyberdefense, u levert beslissingen en input
Wie voert de technische maatregelen uit	Uw team	Uw team	Uw team of IT-partner; specialistische uitvoering kies en coördineert u zelf (kosten apart)
Wie schrijft de documentatie	Uw team	Uw team, met onze review	Fox&Fish Cyberdefense
Opstartfase implementatieplan	Inbegrepen	Inbegrepen	Inbegrepen
Vaste maandelijkse opvolging	Neen	Ja, inclusief voortgangsrapportage	Ja, inclusief voortgangsrapportage
Gereserveerde capaciteit	Neen, inplanning volgens beschikbaarheid	Ja	Ja
Begeleiding claim en CAB-audit	Op te nemen uit de bundel	Op aanvraag inbegrepen	Op aanvraag inbegrepen
Subsidies	Ja, KMO Portefeuille (35% of 45%, maximum 7.500 EUR per jaar)	Ja, KMO Portefeuille (35% of 45%, maximum 7.500 EUR per jaar) OF VLAIO Cybersecurity Verbetertraject (50%)	Ja, KMO Portefeuille (35% of 45%, maximum 7.500 EUR per jaar) OF VLAIO Cybersecurity Verbetertraject (50%)

Vraag een voorstel op maat aan →

// Subsidiemogelijkheden voor KMO’s

Tot 45% subsidies voor Cybersecurity-advies via KMO-portefeuille

Cybersecurity is geen pure kost, maar een investering in uw bedrijfscontinuïteit. Om deze investering toegankelijker te maken, is Fox&Fish Cyberdefense een geregistreerd dienstverlener voor de KMO-portefeuille. Dit betekent dat u voor cybersecurity-advies in aanmerking komt voor steun van 45 procent voor kleine en 35 procent voor middelgrote ondernemingen.

Wij begeleiden u graag bij deze aanvraag, zodat u geniet van onze hoogwaardige expertise tegen een gereduceerd tarief.

Wilt u graag meer weten over de KMO-portefeuille? Lees het hier.

Tot 50% subsidies voor VLAIO Cybersecurity Verbetertrajecten

VLAIO biedt ook “cybersecurity verbetertrajecten” aan met 50% subsidie-mogelijkheden. Wanneer u kiest voor formule 2 of formule 3 kan hiervan eventueel gebruik gemaakt worden.

Hierbij kan enkel gebruik gemaakt worden van een aantal vaste formules. Neem dus gerust contact op met ons voor verdere toelichting over deze vaste formules, deverbetertrajecten en de administratieve verplichtingen die hierbij komen kijken.

// Betrouwbare cybersecurity partner in Vlaanderen

Waarom huren KMO's en lokale besturen onze ethische hackers in?

// Hands-on cybersecurity audit met Cyber Fundamentals Framework

Stad Geraardsbergen versterkt cyberweerbaarheid met Fox&Fish

De pragmatische aanpak van Fox&Fish Cyberdefense bewijst dagelijks haar waarde in zowel de publieke als de private sector.

Een sprekend voorbeeld is het traject bij de Stad Geraardsbergen. Ter voorbereiding op hun officiële certificatie voerden wij een CyFun Basic-audit uit.

Als ethische hackers keken we verder dan de theorie en toetsten we de werkelijke maturiteit van hun systemen af. Dit resulteerde in een helder actieplan waarmee de stad gericht kon investeren in een veilige digitale toekomst. Benieuwd naar de details?

Lees het volledige verhaal van stad Geraardsbergen

"De experts van Fox&Fish zijn een cruciaal verlengstuk van ons team. De CyFun audit heeft ons niet alleen inzicht gegeven in onze risico's, maar ook in de strategische roadmap om gemoedsrust te garanderen."

Jan De Smet, ICT Manager, Stad Geraardsbergen

Vraag uw CyFun begeleidingstraject nu aan →

// Vragen en antwoorden

VEELGESTELDE VRAGEN OVER CYBER FUNDAMENTALS

// 1

Wat is het verschil tussen NIS2 en Cyber Fundamentals?

NIS2 is de Europese wetgeving die eisen stelt aan de beveiliging van netwerk- en informatiesystemen.

Cyber Fundamentals (CyFun) is het praktische framework van het CCB dat u helpt om met uw organisatie cyberveiliger te worden, op een aangepaste en pragmatische manier voor uw organisatie.

U kunt CyFun het beste zien als de praktische vertaling van de Europese NIS2-regelgeving. Waar de NIS2-wetgeving vaak complex en juridisch aanvoelt, maakt CyFun het tastbaar voor kmo’s en organisaties zoals lokale besturen.

// 3

Ik heb al een ISO 27001-certificaat, is een CyFun-label dan nog relevant?

Hoewel ISO 27001 een uitstekende standaard is, focust CyFun specifiek op de Belgische context en de NIS2-verplichtingen.

Bovendien voegen wij als ethische hackers een technische diepgang toe die bij een standaard ISO-audit vaak ontbreekt. Het is dus bijna altijd een waardevolle, hands-on aanvulling.

// 6

Hoe lang duurt een gemiddeld begeleidingstraject?

De doorlooptijd van het CyFun-begeleidingstraject hangt af van de grootte van uw organisatie en de gekozen formule.

// 7

Helpt Fox&Fish ook bij de implementatie van de verbeterpunten?

Absoluut. Na de audit laten we u niet aan uw lot over. Wij kunnen u en uw IT-partner ondersteunen bij het implementeren van de nodige technische en organisatorische maatregelen.

// 8

Kan ik gebruik maken van KMO Portefeuille voor het CyFun-begeleidingstraject?

Ja, u kan tot 45% subsidies via KMO Portefeuille gebruiken hiervoor, en daarnaast biedt VLAIO ook “cybersecurity verbetertrajecten” aan met 50% subsidie-mogelijkheden bij formule 2 e 3.

// 9

Wat is de rol van mijn bestaande IT-partner tijdens deze begeleiding?

Wij werken nauw samen met uw IT-partner en/of IT-team. Zij kennen uw infrastructuur het best, waardoor ze de technische aanbevelingen gericht kunnen implementeren.

// 11

Is een Cyber Fundamentals Label verplicht voor mijn bedrijf?

Voor bedrijven die onder de NIS2-richtlijn vallen, wordt een vorm van compliance verplicht. Voor vele andere organisaties is het een sterke aanbeveling van het CCB en vaak een vereiste van grotere klanten of verzekeraars in de toeleveringsketen.

Sowieso is voldoen aan Cyber Fundamentals niveau Basic een goed idee, omdat het alle basis best practices bevat voor cyberveiligheid.