#nis2
# Het Cyberfundamentals Framework

Het Centre for Cyber Security Belgium ([CBB](https://ccb.belgium.be/nl)) heeft NIS2 vertaald in het [Cyberfundamentals Framework](https://ccb.belgium.be/nl/cyberfundamentals-framework) . 

Het Cyberfundamentals Framework is een reeks concrete maatregelen om:
* gegevens te beschermen,
* het risico op de meest voorkomende cyberaanvallen aanzienlijk te verminderen,
* de cyberweerbaarheid van een organisatie te vergroten. 

Het raamwerk is gebaseerd op en gekoppeld aan 4 veelgebruikte cyberbeveiligingsraamwerken: NIST CSF, ISO 27001 / ISO 27002, CIS Controls en IEC 62443.

## Vijf Kernfuncties
Het CCB Cyberfundamentals Framework is opgebouwd rond vijf kernfuncties: identificeren, beschermen, detecteren, reageren en herstellen. Deze functies helpen de communicatie rond cyberbeveiliging te bevorderen tussen zowel technische vakmensen als belanghebbenden, over organisatie- en sectorgrenzen heen. Ook helpt het om cybergerelateerde risico's te integreren met de algemene risicobeheerstrategie van de organisatie.

## Vier Zekerheidsniveaus
Het framework definieert 4 zekerheidsniveaus met oplopende requirements:
1. Small: voor micro-organisaties of organisaties met een beperkte technische kennis. “Hiermee kan een organisatie een eerste inschatting maken”. [PDF met Guidance](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CYFUN_SMALL_NL_20230301.pdf)
2. Basis: standaardmaatregelen voor informatiebeveiliging voor alle ondernemingen. Bedoeld om 82% van de aanvallen te kunnen afdekken. [PDF met Guidance](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CYFUN_BASIC_NL_20230301.pdf)
3. Belangrijk: risicobeperking voor gerichte, gebruikelijke cyberaanvallen. Bedoeld om 94% van de aanvallen te kunnen afdekken. [PDF met Guidance](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CYFUN_IMPORTANT_NL_20230301.pdf)
4. Essentieel: risicobeperking voor gerichte, geavanceerde cyberaanvallen. Bedoeld om 100% van de aanvallen kunnen afdekken. [PDF met Guidance](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CYFUN_ESSENTIAL_NL_20230301.pdf)

M.b.t. de zekerheidspercentages: voor succesvolle cyberaanvallen uit het verleden zijn de maatregelen bepaald, die de aanval hadden kunnen pareren.

## Bepalen van het juiste zekerheidsniveau (1-4)
De [CyFun Selection tool](https://ccb.belgium.be/sites/default/files/cyberfundamentals/BE-NIS2-RA-v2023-08-03.xlsx) geeft per sector een matrix, met de impactniveaus van 5 soorten aanvallen door 5 soorten bedreigende actoren (’threat actors’).

De categorieën van aanvallen zijn:
* Sabotage/verstoring (DDOS,...)
* Informatiediefstal (spionage,...)
* Misdaad (losgeldaanvallen)
* Hacktivisme (ondermijning, defacement,...)
* Desinformatie (politieke beïnvloeding)

Voor elk van de categorieën is de impact op nationaal, maatschappelijk of bedrijfsniveau bepaald. Er zijn drie niveaus van impact: Hoog, Medium en Laag. Deze niveaus zijn gekwalificeerd in het document [Beschrijving van impactniveaus](https://ccb.belgium.be/sites/default/files/cyberfundamentals/IMPACTNIVEAUS_v2023-07-10.pdf). 

De categorieën bedreigende actoren zijn:
* Concurrenten
* Ideologen (Hacktivisten)
* Terroristen
* Cybercriminelen
* Actoren gesteund door naties

Voor elke categorie cyberaanvallen en voor elk type bedreigende actor is de waarschijnlijkheid  bepaald (hoog, gemiddeld, laag) van dit type cyberaanval door dit type bedreigende actor.

Gebruik van de [CyFun Selection tool](https://ccb.belgium.be/sites/default/files/cyberfundamentals/BE-NIS2-RA-v2023-08-03.xlsx):
1. Kies de sector waarin uw organisatie actief is (tabblad)
2. Selecteer de toepasselijke organisatiegrootte
3. Rechtsonder ziet u het van toepassing zijnde zekerheidsniveau.
4. U kunt de standaard waarden voor Impact en Waarschijnlijkheid aanpassen aan de specifieke situatie van uw organisatie, maar als u afwijkt van de standaard moet u dat motiveren.

### Bepalen van de Volwassenheid van de organisatie t.o.v. het Zekerheidsniveau

Gebruik het [CyFun Self-Assessment tool](https://ccb.belgium.be/nl/cyfun-self-assessment-tool) "om zelfevaluatie voor te bereiden” – dit bevat ook spider-diagrammen ter ondersteuning van managementrapportage.

* De tool geeft voor ieder van de vier Zekerheidsniveaus de **vereiste maatregelen** (tabblad ‘Details’).
* Voor iedere maatregel kun je op de aspecten documentatie en implementatie een **volwassenheidsniveau** ingeven van 1 tot 5. De volwassenheidsniveaus worden gekwalificeerd op het tabblad ‘Maturity Levels’.
* Sommige maatregelen zijn geïdentificeerd als Kernmaatregel (‘Key Measure’). Deze maatregelen “vereisen bijzondere aandacht”, volgens de CCB Guidance documenten (zie onder [[/Vier Zekerheidsniveaus]])

- Op het van toepassing zijnde “Summary” tabblad kunnen vervolgens de volwassenheidsscores op verschillende categorieën van maatregelen worden afgelezen.
- De vereiste score verschilt per Zekerheidsniveau: Basis = 2,5 / Belangrijk en Essentieel = 3,0

 Het eerste tabblad vermeldt:
> - Het framework kan vrijwillig of verplicht worden ingezet.
> - Bij vrijwillig gebruik wordt het gezien als een certificeringsschema voor implementatie van “the statutory mandate of the CCB (RD 10 Oct 2014, Art. 3 8°)”.
> - Voor verplicht gebruik van het certificeringsschema gelden de wetten en reguleringen die verplicht gebruik afdwingen.
> - De zelfevaluatie-rapportage (‘self-declaration’) kan door een onafhankelijke derde partij (Conformity Assessment Body) geverifieerd worden en geldt dan als een certificering overeenkomstig de Conformity Assessment Scheme.

## Mapping op bekende security frameworks
De [CyberFundamentals Framework mapping](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CyFun%20mapping%20Full_v20230825.xlsx) mapt de maatregelen uit het CyberFundamentals Framework op de maatregelen uit 5 bekende frameworks (ISO 27001:2022, ISO 27002:2022, CIS v8, IEC 62443-2-1:2010, IEC 62443-3-3:2013).

## Relevante links
- [NIS 2 in Vlaanderen](NIS%202%20in%20Vlaanderen.md)
- [CCB: Cyberfundamentals NL](https://ccb.belgium.be/nl/cyberfundamentals-framework) 
- [Cert.be](https://www.cert.be/nl)