Hoeveel Werk Is CyFun Basic? Een Echte Implementatie van 11 Weken, Gemeten
Belgie telt meer dan 4.000 onder NIS2 geregistreerde entiteiten, en de meeste adviezen over CyberFundamentals spreken in maanden en consultancybudgetten. Wij hadden iets zeldzamers: een echte implementatie, volledig geinstrumenteerd. Elke actie in ons platform is een event met een actor en een tijdstip. In plaats van iemand te vragen hoe lang het duurde, hebben we de log geexporteerd en geteld. Een eerlijke noot vooraf: zie het platform als een scorebord, niet als de sportschool. Het registreert het moment waarop iets wordt vastgelegd; het echte werk erachter, en de vele uren ervan, gebeurt buiten het platform waar geen log het ziet.
Elf weken aan een dag per week: de activiteitenkalender
Lees dit zoals een GitHub-bijdragegrafiek: een cel per dag, donkerder is meer. De groene kalender is de mens: 26 sessies, ruwweg een echte werkdag per week, met een zware inventarisdag op 11 mei. De blauwe kalender is het platform: zodra de integraties verbonden waren (8 tot 18 mei), blijft de geautomatiseerde bewijsverzameling draaien, of er nu iemand inlogt of niet.
Wat er gebeurde, in vier fasen
1. Scoping (30 maart, een ochtend)
Onboarding, de CyFun-niveaucheck en de eerste beleidsskeletten. De check beveelt BASIC aan voor de omvang en het risicoprofiel van deze organisatie.
2. Intake (april)
De begeleide intake: 90 antwoorden over hoe de organisatie echt werkt. Op 20 april zet het platform een eerste maturiteitsbasislijn over alle 34 controls.
3. Bouw (mei)
De zware weken. Inventarissen komen binnen via integraties en een CSV-import; de uitvoerder beslist wat bedrijfskritisch is, werkt 8 beleidsdocumenten en procedures af, en verbindt Microsoft 365 en endpointbeveiliging. Vanaf 21 mei draait de geautomatiseerde bewijsverzameling.
4. Beoordelen en afronden (juni)
Het deel dat alleen een mens kan: elke control nakijken, scores aanvaarden of corrigeren, en een expert raadplegen waar juridische interpretatie nodig was. Eindstand op 17 juni: 31 van 34 controls audit-klaar, 3 verwacht te falen, eerlijk zo gelabeld.
Waar de 672 handmatige acties naartoe gingen
Geen van de grote blokken vraagt beveiligingsexpertise. Ze vragen kennis van je eigen organisatie.
| Soort werk | Handmatige acties |
|---|---|
| Beslissen wat bedrijfskritisch is (assets en mensen groeperen) | 153 |
| Bewijs verwerken (uploaden, koppelen, nakijken) | 133 |
| De intake beantwoorden | 90 |
| Onboarding en beleidsskeletten | 67 |
| Beleid en procedures schrijven (8 documenten) | 64 |
| Registerbewerkingen en CSV-imports | 60 |
| Maturiteitsscores zetten en aanvaarden | 30 |
| Al de rest (exports, integratiekoppelingen, uitzonderingen) | 25 |
Acties die integratiesyncs en de eigen verwerking van het platform onder gebruikersaccounts registreren, tellen als automatisering, niet als handwerk.
Wat het platform zelf deed
Voor elke handmatige actie voerde het platform er zeven uit. De registers (toestellen, mensen, applicaties) werden geschreven en actueel gehouden door integratiesyncs; het registerwerk van de uitvoerder bleef beperkt tot zo'n 60 bewerkingen en CSV-acties, grotendeels op een dag. 19 van de 34 controls eindigden het project volledig gescoord op geautomatiseerd bewijs, zonder handmatige correctie.
Sinds de geautomatiseerde bewijsverzameling op 21 mei live ging, heeft het platform op eigen kracht meer dan 1.300 bewijsstukken aangemaakt. Dat is wat telt na het project: bouwwerk gebeurt een keer, maar de versheid van bewijs is wat een auditor controleert. De 19 geautomatiseerde controls blijven actueel zonder dat iemand zijn vrijdag aan screenshots besteedt.
Waar een niet-specialist tegen de muur liep
Een patroon verdient eerlijkheid. De control die het langst duurde van eerste aanraking tot goedkeuring (GV.OC-03.1, het wettelijk en regelgevend register) was ook die waar de uitvoerder expliciet expertinput nodig had, twee keer. Bepalen welke wetten op je organisatie van toepassing zijn is geen afvinktaak. Technische en procedurele controls raakten af zonder die hulp. Het is een observatie uit een implementatie, geen natuurwet, maar het klopt met hoe het werk zou moeten splitsen: automatisering en begeleiding dragen de routine, experttijd gaat naar waar oordeel schaars is.
Gemodelleerd: integraties verbonden op dag een
Deze implementatie was gemengd: inventarissen werden eerst handmatig en via CSV opgebouwd (de zware inventarisdag op 11 mei), daarna namen integraties het over. Gemodelleerd op de gemeten data verdwijnt met integraties in week een het grootste deel van dat registerwerk. Maar het grotere verschil is niet de bouwtijd. Het is dat inventarissen en bewijs daarna continu actueel blijven, zonder dat iemand inlogt.
Alle 34 controls: uitkomst en tijdlijn
Elke control kreeg zijn eerste score op 20 april. De kolom laatste activiteit toont welke controls in juni nog een mens nodig hadden, en welke de automatisering vroeg afsloot.
| Control | Wat het dekt | Uitkomst | Eerste / laatste activiteit |
|---|---|---|---|
| GV.OC-03.1 | Legal & regulatory register | Menselijk beoordeeld | 20 Apr → 9 Jun |
| GV.PO-01.1 | Policy framework | Geautomatiseerd bewijs | 20 Apr → 9 Jun |
| GV.RM-03.1 | Risk strategy | Geautomatiseerd bewijs | 20 Apr → 7 May |
| GV.RR-04.1 | Authentication for critical access | Menselijk beoordeeld | 20 Apr → 5 Jun |
| ID.AM-01.1 | Hardware inventory | Geautomatiseerd bewijs | 20 Apr → 8 May |
| ID.AM-02.1 | Software inventory | Geautomatiseerd bewijs | 20 Apr → 7 May |
| ID.AM-5.1 | Asset prioritisation | Menselijk beoordeeld | 20 Apr → 8 Jun |
| ID.AM-07.1 | Data identification | Menselijk beoordeeld | 20 Apr → 9 Jun |
| ID.AM-08.2 | Patching | Geautomatiseerd bewijs | 20 Apr → 7 May |
| ID.RA-01.1 | Threat & vulnerability identification | Geautomatiseerd bewijs | 20 Apr → 2 Jun |
| ID.RA-05.1 | Risk assessment | Geautomatiseerd bewijs | 20 Apr → 22 Apr |
| ID.IM-03.1 | Post-incident lessons | Geautomatiseerd bewijs | 20 Apr → 22 Apr |
| PR.AA-01.1 | Identity & credential management | Geautomatiseerd bewijs | 20 Apr → 7 May |
| PR.AA-03.1 | Wireless access points | Menselijk beoordeeld | 20 Apr → 2 Jun |
| PR.AA-03.2 | Remote MFA | Menselijk beoordeeld | 20 Apr → 4 Jun |
| PR.AA-05.1 | Access permissions | Geautomatiseerd bewijs | 20 Apr → 7 May |
| PR.AA-05.2 | Access needs determination | Menselijk beoordeeld | 20 Apr → 9 Jun |
| PR.AA-05.3 | Least privilege | Geautomatiseerd bewijs | 20 Apr → 7 May |
| PR.AA-05.4 | No routine admin rights | Menselijk beoordeeld | 20 Apr → 5 Jun |
| PR.AA-06.1 | Physical access | Geautomatiseerd bewijs | 20 Apr → 7 May |
| PR.AT-01.1 | Awareness & training | Menselijk beoordeeld | 20 Apr → 28 May |
| PR.DS-01.9 | Asset disposal | Geautomatiseerd bewijs | 20 Apr → 7 May |
| PR.DS-11.1 | Off-system backups | Menselijk beoordeeld | 20 Apr → 5 Jun |
| PR.PS-04.1 | Log monitoring | Menselijk beoordeeld | 20 Apr → 9 Jun |
| PR.PS-05.1 | Web & e-mail filters | Geautomatiseerd bewijs | 20 Apr → 28 May |
| PR.IR-01.1 | Firewalls | Geautomatiseerd bewijs | 20 Apr → 7 May |
| PR.IR-01.2 | Network segmentation | Menselijk beoordeeld | 20 Apr → 5 Jun |
| DE.CM-01.1 | Boundary & endpoint firewalls | Geautomatiseerd bewijs | 20 Apr → 2 Jun |
| DE.CM-01.2 | Anti-malware | Geautomatiseerd bewijs | 20 Apr → 5 Jun |
| DE.CM-03-1 | Behaviour monitoring | Geautomatiseerd bewijs | 20 Apr → 22 Apr |
| DE.AE-03.1 | Detection log review | Geautomatiseerd bewijs | 20 Apr → 22 Apr |
| RS.MA-01.1 | Incident response plan | Menselijk beoordeeld | 20 Apr → 5 Jun |
| RS.CO-02.1 | Incident communication | Menselijk beoordeeld | 20 Apr → 5 Jun |
| RC.RP-01.1 | Recovery process | Menselijk beoordeeld | 20 Apr → 15 Jun |
Uitkomst per de stand van 29 juni; controlstatussen blijven bewegen naarmate geautomatiseerd bewijs bijwerkt. De 91% is de gedateerde beoordeling van 17 juni, die 3 controls markeerde als verwacht te falen. Audit-klaar betekent dat het bewijs aannemelijk standhoudt bij een CAB-auditor; de audit zelf wordt uitgevoerd door een geaccrediteerde CAB.
Wat dit betekent als NIS2 op jou van toepassing is
- 1 Ben je een kleine entiteit die opziet tegen een consultancyofferte: dit liep over ongeveer elf weken aan zo'n een dag per week. Het is een project, geen carriereswitch. Het grootste deel van de echte inspanning is je omgeving configureren en je procedures schrijven, buiten het platform; het platform vertelt je precies wat nodig is en bewijst het zodra je het gedaan hebt.
- 2 Ben je een MSP of IT-partner: een junior kan dit voor je klanten draaien. Wat jij echt verkoopt is de oordeelslaag: kriticiteitsbeslissingen, beleidsgoedkeuring en de juridische vragen, niet de gegevensinvoer.
- 3 Wil je data in plaats van beloften: elke implementatie op het platform wordt op dezelfde manier geinstrumenteerd. Vraag naar de methode, of meet je eigen traject.
Veelgestelde Vragen
Is 91% audit-klaar hetzelfde als NIS2-conform zijn?
Nee. Audit-klaar betekent dat elke control implementatie plus bewijs heeft dat aannemelijk standhoudt bij een CAB-auditor, zoals beoordeeld in het platform. De audit zelf gebeurt door een Conformity Assessment Body. De beoordeling van 17 juni markeerde ook 3 van 34 controls als verwacht te falen, zichtbaar en eerlijk gelabeld in plaats van verborgen.
Kan iemand zonder cybersecurity-achtergrond dit echt?
Deze implementatie is een bestaansbewijs dat het een keer gebeurd is: iemand zonder voorafgaande cybersecurity- of compliance-ervaring, control per control begeleid, aan ongeveer een dag per week. Waar hulp nodig was, was specifiek: juridische interpretatie (welke wetten van toepassing zijn). Technisch en procedureel werk raakte af zonder expertinput.
Bewijst een implementatie dat dit voor iedereen werkt?
Nee, en dat beweren we ook niet. Dit is een gemeten case, gepubliceerd met methode en beperkingen. Elke implementatie op het platform wordt op dezelfde manier geinstrumenteerd, dus de dataset groeit met elke volgende. Liever een eerlijk datapunt dan een oncontroleerbaar gemiddelde.
Wat blijft handwerk, zelfs met volledige automatisering?
Je eigen organisatie kennen: beslissen welke assets en mensen bedrijfskritisch zijn (het grootste blok handwerk, 153 acties), maturiteitsscores nakijken en aanvaarden, beleidsinhoud, en de vragen die juridische interpretatie vergen. Automatisering schrijft en ververst inventarissen en bewijs; ze weet niet wat er voor jouw zaak toe doet.
Waarom rapporteren jullie de uren inspanning niet?
Omdat we ze niet eerlijk kunnen meten. Het platform bewaart elke wijziging als een event, dus we kunnen acties tellen (672 handmatig) en de dagen waarop ze vielen (26), maar niet de minuten ertussen. De uitvoerder deed tegelijk helpdesk, dus de spanne van een dag is geen tijd aan compliance. De grotere reden: het echte werk laat helemaal geen event na. MFA aanzetten, firewalls installeren, procedures schrijven en uitvoeren, bewijs verzamelen. Dat gebeurt buiten het platform. We rapporteren de tijdspanne en de aantallen, die we kunnen verdedigen, en laten de stopwatch met rust.
Wat hadden de drie niet-audit-klare controls nodig?
Echte organisatorische veranderingen die software kan signaleren maar niet uitvoeren. Het platform markeert zulke controls als verwacht te falen in plaats van ze mooier voor te stellen, want een eerlijke 91% met een takenlijst klopt beter dan een valse 100%.