De weg naar april 2026 - Deel II: Hoe voert u de CyFun-zelfevaluatie uit?

Published on March 26, 2026

Reeks: De weg naar 18 april 2026

Met de deadline van 18 april aan de horizon zullen wij in deze reeks alle relevante info van het moment voor jullie verzamelen, zodat vraagtekens waar mogelijk verduidelijkt kunnen worden en we de meest actuele info en updates onmiddellijk met jullie kunnen delen.

Deze info zal regelmatig aangevuld worden en is gebaseerd op de info zoals hij op dit ogenblik voorhanden is.

Met vragen kunt u altijd terecht bij Thomas Rooyakkers, Robert Dirks en David Saray van ons GRC team.

 

Deel II: Hoe voert u de CyFun-zelfevaluatie uit?

De CyberFundamentals (CyFun)-zelfevaluatie is meer dan “even een Excel invullen”. Het is een formele beoordeling van de mate waarin uw organisatie op dit moment voldoet aan de CyFun-vereisten.

Het is belangrijk om te beseffen dat dit een beoordeling is van de huidige situatie (as-is). Het is dus geen document waarin u beschrijft wat nog gepland is of in ontwikkeling is. Wanneer de zelfbeoordeling is afgerond, wordt verwacht dat de organisatie al werkt volgens het vereiste volwassenheidsniveau en dat zij dit met bewijs kan aantonen.

De voltooiingsdatum van de zelfbeoordeling bepaalt voor welk moment de evaluatie geldig is. Dat betekent dat zowel de documentatie als het bewijs op die datum moeten bestaan en geldig moeten zijn.

Het Excel-bestand zelf mag niet worden aangepast. Het maakt deel uit van de officiële methode. De organisatie vult enkel de scores voor documentatie, implementatie en opmerkingen in. Alle berekeningen gebeuren automatisch.

1. Beoordeling versus verificatie

Er is een belangrijk verschil tussen de zelfbeoordeling en de verificatie-audit.

De zelfbeoordeling voert u als organisatie zelf uit. U beoordeelt uw eigen volwassenheid en verzamelt het ondersteunende bewijs.

De verificatie-audit wordt uitgevoerd door een onafhankelijke Conformiteitsbeoordelingsinstantie (CAB). De rol van de CAB is niet om te helpen bij het invullen van de beoordeling, maar om na te gaan of de scores van de organisatie worden ondersteund door voldoende en passend bewijsmateriaal.

De verificatie is dus geen moment om “nog snel compliant te worden”. Er wordt verwacht dat de organisatie op de voltooiingsdatum al compliant is. De verificatie-audit controleert of dat inderdaad zo is.

2. Vereisten en controles

Elke vereiste in CyFun beschrijft wat de organisatie moet bereiken. Een controle is hoe de organisatie ervoor kiest om aan die vereiste te voldoen.

Eenvoudig gezegd:

  • de vereiste beschrijft de doelstelling
  • de controle beschrijft hoe u die doelstelling invult
  • de beoordeling kijkt of aan de vereiste wordt voldaan, niet of er een specifieke controle bestaat

In audittermen is de kernvraag:
Hoe voldoet de organisatie aan de gedefinieerde vereiste?

3. Wat u evalueert

Elke eis wordt vanuit twee perspectieven bekeken.

Het eerste perspectief gaat over hoe de eis is georganiseerd.
Het tweede perspectief gaat over hoe dit in de praktijk werkt.

Een eenvoudige manier om uzelf te sturen is met deze vragen:

  • Hoe is deze eis georganiseerd, formeel vastgelegd en afgestemd?
  • Hoe tonen we aan dat dit echt gebeurt, en dat we in de praktijk aan de eis voldoen?

De eerste vraag gaat over documentatie.
De tweede gaat over implementatie.

Documentatie betekent dat de organisatie duidelijk heeft vastgelegd hoe de eis wordt opgevolgd, wie verantwoordelijk is en dat dit waar nodig formeel is goedgekeurd. Dit veronderstelt dat relevante documentatie is goedgekeurd door de bevoegde instantie.

Implementatie betekent dat de organisatie ook daadwerkelijk volgens die afspraken werkt en dat dit aantoonbaar is.

4. Bewijs en wat bewijs geldig maakt

Bewijs toont aan dat iets bestaat of is gebeurd. In de praktijk gaat het vaak om documentatie.

Voorbeelden van bewijs zijn systeemconfiguraties, exports uit tools, tickets, logs, rapporten, notulen, goedkeuringen en geregistreerde acties.

Het belangrijkste is niet of er bewijs bestaat, maar of het het juiste bewijs is.

Het juiste bewijs laat zien dat aan de eis in de praktijk wordt voldaan.

Bij het evalueren van toegangsbeheer is een screenshot van Active Directory bijvoorbeeld niet voldoende. Dat toont dat het systeem bestaat, maar niet dat toegang correct wordt beheerd. Een beter bewijs kan een export zijn van gebruikers met gebruikersnaam, volledige naam, datum van laatste login en een tijdstempel. Zo kan een beoordelaar nagaan of toegang volledig, actueel en effectief in gebruik is.

Het bewijs moet ook overeenkomen met de werkelijkheid. Als toegang via single sign-on wordt beheerd, moet duidelijk zijn waar authenticatie en autorisatie plaatsvinden (centraal of deels in de applicatie). Het bewijsmateriaal moet die architectuur weerspiegelen.

Hetzelfde geldt voor inventarissen. Een software-inventaris is niet volledig als die enkel lokaal geïnstalleerde software bevat. Software-as-a-service-oplossingen horen er ook bij zodra ze door de organisatie worden gebruikt. Denk daarbij aan business owner, leverancier, URL en relevante leveranciersinformatie.

Ook middelen die niet door IT beheerd worden, moeten waar relevant meegenomen worden. Denk aan operationele technologie voor gebouwbeheer of medische apparatuur, zoals IoMT-systemen. Als deze middelen eigendom zijn van de organisatie en informatie verwerken, vallen ze binnen het toepassingsgebied.

5. Wanneer is bewijs sterk genoeg?

Niet elk bewijs is even betrouwbaar. Om de kwaliteit te beoordelen, zijn drie principes belangrijk:

  1. Volledigheid: het bewijs toont het volledige beeld. Een onvolledige inventaris of gedeeltelijke gebruikerslijst is geen betrouwbare basis.

  2. Actualiteit: het bewijs is recent en weerspiegelt de huidige situatie. Oude rapporten of verouderde documentatie ondersteunen geen claim over de huidige volwassenheid.

  3. Juistheid: de informatie is nauwkeurig en begrijpelijk. Het bewijs moet consistent, duidelijk gestructureerd en interpreteerbaar zijn voor een onafhankelijke beoordelaar.

Samen bepalen deze principes of het bewijs een betrouwbare weergave is van de werkelijkheid.

6. Redelijke zekerheid

Het doel van de beoordeling is het verkrijgen van redelijke zekerheid.

Dat betekent: er is voldoende objectief bewijs zodat een onafhankelijke persoon kan begrijpen en aanvaarden dat aan de eis wordt voldaan.

Een sterke manier om dat te bereiken is via een systeem- of procesbenadering. Als u kunt aantonen hoe een proces is ontworpen, wie verantwoordelijk is en welke output het proces doorheen de tijd oplevert, wordt het eenvoudiger om zowel het ontwerp als de werking van de eis aan te tonen.

7. Verantwoordelijkheid en eigenaarschap

Elke vereiste moet een duidelijke eigenaar hebben.

De proceseigenaar is de persoon of functie die ervoor verantwoordelijk is dat aan de vereiste wordt voldaan. Dat is vaak degene die beslist hoe het proces werkt en die de kosten voor onderhoud zou goedkeuren.

Dat is niet altijd IT. Het eigenaarschap moet passen bij het onderliggende bedrijfsproces.

Het directie comité blijft uiteindelijk verantwoordelijk en kan taken delegeren naar het middenkader. Die verantwoordelijkheid moet wel duidelijk blijven.

Een praktische manier om de eigenaar te bepalen is te vragen: wie zou beslissen om de activiteit te wijzigen of te stoppen, en wie is verantwoordelijk als het misloopt?

8. Uitzonderingen

Een uitzondering is een bewuste en goedgekeurde afwijking van de standaardwerkwijze.

Een uitzondering moet:

  • gerechtvaardigd zijn
  • gedocumenteerd zijn
  • goedgekeurd zijn

Uitzonderingen mogen niet op een te laag niveau worden goedgekeurd. In de praktijk horen ze goedgekeurd te worden door senior management of een formeel aangewezen autoriteit.

Dit impliceert ook dat de organisatie een proces voor uitzonderingsbeheer heeft. Dat proces moet toelaten om uitzonderingen te registreren, te beoordelen en periodiek te rapporteren aan senior management. Het bewijs omvat zowel het gedefinieerde proces als het uitzonderingsregister in de praktijk.

9. Het moment-in-de-tijd-principe

De zelfbeoordeling beschrijft de organisatie op één specifiek moment: de voltooiingsdatum van de zelfbeoordeling.

Documentatie moet op dat moment al goedgekeurd, van een versienummer voorzien en identificeerbaar zijn. Het bewijsmateriaal moet bestaan en de feitelijke werking weerspiegelen.

Bewijs mag niet enkel gebaseerd zijn op één recente output. Waar relevant moet het tonen dat het proces over een periode (meestal enkele maanden) heeft gewerkt, zodat consistentie en herhaalbaarheid zichtbaar worden.

10. Hoe een vereiste te doorlopen

Om een vereiste te beoordelen, begint u met ze in eenvoudige woorden te begrijpen.

  1. Vertaal de eis in uw eigen woorden en bepaal welk risico ermee wordt afgedekt.

  2. Bepaal vervolgens wie verantwoordelijk is voor deze vereiste.

  3. Kijk daarna hoe de organisatie dit georganiseerd heeft: is er een gedefinieerde en goedgekeurde werkwijze?

  4. Verzamel vervolgens bewijs dat toont hoe de eis in de praktijk wordt uitgevoerd. Zorg dat dit bewijs relevant is en de werkelijke situatie weerspiegelt.

  5. Vergelijk de afgesproken werkwijze met wat er echt gebeurt. Noteer hiaten of inconsistenties.

  6. Evalueer op basis daarvan de score voor documentatie en implementatie. Leg tot slot uw redenering helder uit in de opmerkingen.

11. Verificatie en onjuistheden

De CAB voert de verificatie audit uit op basis van de ingevulde en voltooide zelfbeoordeling.

De CAB beoordeelt of het bewijs de door de organisatie toegekende scores ondersteunt. Als het bewijs toereikend is, wordt de score bevestigd.

Als het bewijs de score niet ondersteunt, concludeert de auditor dat er sprake is van een onjuistheid. Dat betekent dat de score onvoldoende onderbouwd is met het beschikbare bewijs. In dat geval wordt de score naar beneden bijgesteld.

Scores worden niet verhoogd tijdens verificatie. De organisatie blijft verantwoordelijk voor het aantonen van haar eigen volwassenheid.

Na evaluatie van alle onjuistheden en eventuele aanpassingen wordt het totale resultaat opnieuw beoordeeld.

Als de totale volwassenheidsscore nog steeds de vereiste drempel haalt en alle relevante kernmaatstaven voor het gekozen zekerheidsniveau conform blijven, ontvangt de organisatie een verificatieverklaring.

Als na aanpassingen de drempel niet meer gehaald wordt of één of meerdere kernmaatstaven niet langer voldoen, wordt geen verificatieverklaring afgegeven. In dat geval moet de verificatie later opnieuw volledig gebeuren, zodra de tekortkomingen zijn verholpen.

De verificatie-audit bevestigt dus of de zelfbeoordeling van de organisatie op een bepaald moment correct is en voldoende door bewijs wordt ondersteund.

12. Om af te sluiten

Het doel van de zelfbeoordeling is niet om “zo hoog mogelijk te scoren”, maar om een duidelijk en correct beeld te geven van hoe de organisatie vandaag werkt.

Een sterke beoordeling vertrekt vanuit de werkelijkheid, steunt op relevant bewijs en is helder toegelicht.

Als een onafhankelijke beoordelaar uw redenering kan volgen en uw bewijs kan verifiëren, dan is uw beoordeling goed voorbereid en verdedigbaar.

 

* dit advies werd geformuleerd door ons SHIELD GRC team en geldt ter ondersteuning van onze SHIELD leden bij het voorbereiden van hun verificatieproces in aanloop naar 18/4/2026.

Other news

SHIELD vzw in Datanews - Technologie is de kern van de zorg

March 23, 2026
SHIELD vzw staat deze week in Datanews met een opiniestuk van onze CEO Wim Bijnens. Wij delen het artikel hier graag integraal met jullie.Technologie is de kern van zorg: een lineaire financiering volstaat niet meer  Als technologie exponentieel evolueert, moeten de investeringen daarin die logica volgen. Dat geldt ook voor de zorg, schrijft Wim Bijnens, CEO van non-profitorganisatie SHIELD vzw.  

Hiring: Programme Lead Human Cyber Resilience (EU Healthcare) (ENG)

April 1, 2026
We are looking for a Programme Lead Human Cyber Resilience (EU Healthcare) You lead the human layer of cybersecurity across Europe. As Programme Lead Human Cyber Resilience, you are responsible for designing, scaling and operationalizing awareness programmes, training & cyber range simulations, dissemination & stakeholder engagement. You ensure that cybersecurity is not only implemented, but under