IT-partner? Ontdek hoe je NIS2 audit-readiness levert

Bekijk partneraanbod →
Door · Oprichter, Easy Cyber Protection · · Hoe wij dit schrijven

Hoeveel Werk Is CyFun Basic? Een Echte Implementatie van 11 Weken, Gemeten

Belgie telt meer dan 4.000 onder NIS2 geregistreerde entiteiten, en de meeste adviezen over CyberFundamentals spreken in maanden en consultancybudgetten. Wij hadden iets zeldzamers: een echte implementatie, volledig geinstrumenteerd. Elke actie in ons platform is een event met een actor en een tijdstip. In plaats van iemand te vragen hoe lang het duurde, hebben we de log geexporteerd en geteld. Een eerlijke noot vooraf: zie het platform als een scorebord, niet als de sportschool. Het registreert het moment waarop iets wordt vastgelegd; het echte werk erachter, en de vele uren ervan, gebeurt buiten het platform waar geen log het ziet.

Elf weken aan een dag per week: de activiteitenkalender

Lees dit zoals een GitHub-bijdragegrafiek: een cel per dag, donkerder is meer. De groene kalender is de mens: 26 sessies, ruwweg een echte werkdag per week, met een zware inventarisdag op 11 mei. De blauwe kalender is het platform: zodra de integraties verbonden waren (8 tot 18 mei), blijft de geautomatiseerde bewijsverzameling draaien, of er nu iemand inlogt of niet.

Activiteit in de app door de uitvoerder (per dag)
aprmeijun mawovr 2026-03-30: 3.4 h 2026-03-31: 0 h 2026-04-01: 0 h 2026-04-02: 0 h 2026-04-03: 0 h 2026-04-04: 0 h 2026-04-05: 0 h 2026-04-06: 0 h 2026-04-07: 0 h 2026-04-08: 0 h 2026-04-09: 0 h 2026-04-10: 0 h 2026-04-11: 0 h 2026-04-12: 0 h 2026-04-13: 0.2 h 2026-04-14: 0.4 h 2026-04-15: 0 h 2026-04-16: 0 h 2026-04-17: 0 h 2026-04-18: 0 h 2026-04-19: 0 h 2026-04-20: 2.9 h 2026-04-21: 1 h 2026-04-22: 0 h 2026-04-23: 0.2 h 2026-04-24: 1.1 h 2026-04-25: 0 h 2026-04-26: 0 h 2026-04-27: 0 h 2026-04-28: 0 h 2026-04-29: 0 h 2026-04-30: 0 h 2026-05-01: 0 h 2026-05-02: 0 h 2026-05-03: 0 h 2026-05-04: 0.2 h 2026-05-05: 0 h 2026-05-06: 0 h 2026-05-07: 1.1 h 2026-05-08: 0.7 h 2026-05-09: 0 h 2026-05-10: 0 h 2026-05-11: 11.1 h 2026-05-12: 0.1 h 2026-05-13: 0 h 2026-05-14: 0 h 2026-05-15: 0.1 h 2026-05-16: 0 h 2026-05-17: 0 h 2026-05-18: 1.2 h 2026-05-19: 1.6 h 2026-05-20: 0 h 2026-05-21: 2.6 h 2026-05-22: 1.9 h 2026-05-23: 0.2 h 2026-05-24: 0 h 2026-05-25: 0 h 2026-05-26: 0 h 2026-05-27: 0 h 2026-05-28: 3.3 h 2026-05-29: 0 h 2026-05-30: 0 h 2026-05-31: 0 h 2026-06-01: 0.1 h 2026-06-02: 1.5 h 2026-06-03: 0 h 2026-06-04: 1.3 h 2026-06-05: 2.6 h 2026-06-06: 0 h 2026-06-07: 0 h 2026-06-08: 0.8 h 2026-06-09: 2.1 h 2026-06-10: 0 h 2026-06-11: 0 h 2026-06-12: 0 h 2026-06-13: 0 h 2026-06-14: 0 h 2026-06-15: 0.1 h 2026-06-16: 0 h 2026-06-17: 0 h
minder meer
Geautomatiseerde platformacties (per dag)
aprmeijun mawovr 2026-03-30: 4 2026-03-31: 1 2026-04-01: 0 2026-04-02: 0 2026-04-03: 0 2026-04-04: 0 2026-04-05: 0 2026-04-06: 0 2026-04-07: 5 2026-04-08: 0 2026-04-09: 0 2026-04-10: 0 2026-04-11: 0 2026-04-12: 0 2026-04-13: 0 2026-04-14: 1 2026-04-15: 0 2026-04-16: 0 2026-04-17: 0 2026-04-18: 1 2026-04-19: 0 2026-04-20: 1299 2026-04-21: 103 2026-04-22: 210 2026-04-23: 17 2026-04-24: 18 2026-04-25: 0 2026-04-26: 0 2026-04-27: 15 2026-04-28: 7 2026-04-29: 9 2026-04-30: 5 2026-05-01: 6 2026-05-02: 6 2026-05-03: 6 2026-05-04: 8 2026-05-05: 9 2026-05-06: 15 2026-05-07: 71 2026-05-08: 607 2026-05-09: 14 2026-05-10: 0 2026-05-11: 26 2026-05-12: 42 2026-05-13: 6 2026-05-14: 6 2026-05-15: 10 2026-05-16: 0 2026-05-17: 0 2026-05-18: 240 2026-05-19: 54 2026-05-20: 12 2026-05-21: 195 2026-05-22: 184 2026-05-23: 121 2026-05-24: 12 2026-05-25: 0 2026-05-26: 20 2026-05-27: 29 2026-05-28: 224 2026-05-29: 45 2026-05-30: 0 2026-05-31: 0 2026-06-01: 31 2026-06-02: 114 2026-06-03: 29 2026-06-04: 120 2026-06-05: 273 2026-06-06: 20 2026-06-07: 0 2026-06-08: 108 2026-06-09: 91 2026-06-10: 12 2026-06-11: 52 2026-06-12: 33 2026-06-13: 18 2026-06-14: 0 2026-06-15: 28 2026-06-16: 24 2026-06-17: 59
minder meer

Wat er gebeurde, in vier fasen

1. Scoping (30 maart, een ochtend)

Onboarding, de CyFun-niveaucheck en de eerste beleidsskeletten. De check beveelt BASIC aan voor de omvang en het risicoprofiel van deze organisatie.

2. Intake (april)

De begeleide intake: 90 antwoorden over hoe de organisatie echt werkt. Op 20 april zet het platform een eerste maturiteitsbasislijn over alle 34 controls.

3. Bouw (mei)

De zware weken. Inventarissen komen binnen via integraties en een CSV-import; de uitvoerder beslist wat bedrijfskritisch is, werkt 8 beleidsdocumenten en procedures af, en verbindt Microsoft 365 en endpointbeveiliging. Vanaf 21 mei draait de geautomatiseerde bewijsverzameling.

4. Beoordelen en afronden (juni)

Het deel dat alleen een mens kan: elke control nakijken, scores aanvaarden of corrigeren, en een expert raadplegen waar juridische interpretatie nodig was. Eindstand op 17 juni: 31 van 34 controls audit-klaar, 3 verwacht te falen, eerlijk zo gelabeld.

Waar de 672 handmatige acties naartoe gingen

Geen van de grote blokken vraagt beveiligingsexpertise. Ze vragen kennis van je eigen organisatie.

Soort werkHandmatige acties
Beslissen wat bedrijfskritisch is (assets en mensen groeperen) 153
Bewijs verwerken (uploaden, koppelen, nakijken) 133
De intake beantwoorden 90
Onboarding en beleidsskeletten 67
Beleid en procedures schrijven (8 documenten) 64
Registerbewerkingen en CSV-imports 60
Maturiteitsscores zetten en aanvaarden 30
Al de rest (exports, integratiekoppelingen, uitzonderingen) 25

Acties die integratiesyncs en de eigen verwerking van het platform onder gebruikersaccounts registreren, tellen als automatisering, niet als handwerk.

Wat het platform zelf deed

Voor elke handmatige actie voerde het platform er zeven uit. De registers (toestellen, mensen, applicaties) werden geschreven en actueel gehouden door integratiesyncs; het registerwerk van de uitvoerder bleef beperkt tot zo'n 60 bewerkingen en CSV-acties, grotendeels op een dag. 19 van de 34 controls eindigden het project volledig gescoord op geautomatiseerd bewijs, zonder handmatige correctie.

Sinds de geautomatiseerde bewijsverzameling op 21 mei live ging, heeft het platform op eigen kracht meer dan 1.300 bewijsstukken aangemaakt. Dat is wat telt na het project: bouwwerk gebeurt een keer, maar de versheid van bewijs is wat een auditor controleert. De 19 geautomatiseerde controls blijven actueel zonder dat iemand zijn vrijdag aan screenshots besteedt.

Waar een niet-specialist tegen de muur liep

Een patroon verdient eerlijkheid. De control die het langst duurde van eerste aanraking tot goedkeuring (GV.OC-03.1, het wettelijk en regelgevend register) was ook die waar de uitvoerder expliciet expertinput nodig had, twee keer. Bepalen welke wetten op je organisatie van toepassing zijn is geen afvinktaak. Technische en procedurele controls raakten af zonder die hulp. Het is een observatie uit een implementatie, geen natuurwet, maar het klopt met hoe het werk zou moeten splitsen: automatisering en begeleiding dragen de routine, experttijd gaat naar waar oordeel schaars is.

Gemodelleerd: integraties verbonden op dag een

Deze implementatie was gemengd: inventarissen werden eerst handmatig en via CSV opgebouwd (de zware inventarisdag op 11 mei), daarna namen integraties het over. Gemodelleerd op de gemeten data verdwijnt met integraties in week een het grootste deel van dat registerwerk. Maar het grotere verschil is niet de bouwtijd. Het is dat inventarissen en bewijs daarna continu actueel blijven, zonder dat iemand inlogt.

Alle 34 controls: uitkomst en tijdlijn

Elke control kreeg zijn eerste score op 20 april. De kolom laatste activiteit toont welke controls in juni nog een mens nodig hadden, en welke de automatisering vroeg afsloot.

ControlWat het dektUitkomstEerste / laatste activiteit
GV.OC-03.1 Legal & regulatory register Menselijk beoordeeld 20 Apr → 9 Jun
GV.PO-01.1 Policy framework Geautomatiseerd bewijs 20 Apr → 9 Jun
GV.RM-03.1 Risk strategy Geautomatiseerd bewijs 20 Apr → 7 May
GV.RR-04.1 Authentication for critical access Menselijk beoordeeld 20 Apr → 5 Jun
ID.AM-01.1 Hardware inventory Geautomatiseerd bewijs 20 Apr → 8 May
ID.AM-02.1 Software inventory Geautomatiseerd bewijs 20 Apr → 7 May
ID.AM-5.1 Asset prioritisation Menselijk beoordeeld 20 Apr → 8 Jun
ID.AM-07.1 Data identification Menselijk beoordeeld 20 Apr → 9 Jun
ID.AM-08.2 Patching Geautomatiseerd bewijs 20 Apr → 7 May
ID.RA-01.1 Threat & vulnerability identification Geautomatiseerd bewijs 20 Apr → 2 Jun
ID.RA-05.1 Risk assessment Geautomatiseerd bewijs 20 Apr → 22 Apr
ID.IM-03.1 Post-incident lessons Geautomatiseerd bewijs 20 Apr → 22 Apr
PR.AA-01.1 Identity & credential management Geautomatiseerd bewijs 20 Apr → 7 May
PR.AA-03.1 Wireless access points Menselijk beoordeeld 20 Apr → 2 Jun
PR.AA-03.2 Remote MFA Menselijk beoordeeld 20 Apr → 4 Jun
PR.AA-05.1 Access permissions Geautomatiseerd bewijs 20 Apr → 7 May
PR.AA-05.2 Access needs determination Menselijk beoordeeld 20 Apr → 9 Jun
PR.AA-05.3 Least privilege Geautomatiseerd bewijs 20 Apr → 7 May
PR.AA-05.4 No routine admin rights Menselijk beoordeeld 20 Apr → 5 Jun
PR.AA-06.1 Physical access Geautomatiseerd bewijs 20 Apr → 7 May
PR.AT-01.1 Awareness & training Menselijk beoordeeld 20 Apr → 28 May
PR.DS-01.9 Asset disposal Geautomatiseerd bewijs 20 Apr → 7 May
PR.DS-11.1 Off-system backups Menselijk beoordeeld 20 Apr → 5 Jun
PR.PS-04.1 Log monitoring Menselijk beoordeeld 20 Apr → 9 Jun
PR.PS-05.1 Web & e-mail filters Geautomatiseerd bewijs 20 Apr → 28 May
PR.IR-01.1 Firewalls Geautomatiseerd bewijs 20 Apr → 7 May
PR.IR-01.2 Network segmentation Menselijk beoordeeld 20 Apr → 5 Jun
DE.CM-01.1 Boundary & endpoint firewalls Geautomatiseerd bewijs 20 Apr → 2 Jun
DE.CM-01.2 Anti-malware Geautomatiseerd bewijs 20 Apr → 5 Jun
DE.CM-03-1 Behaviour monitoring Geautomatiseerd bewijs 20 Apr → 22 Apr
DE.AE-03.1 Detection log review Geautomatiseerd bewijs 20 Apr → 22 Apr
RS.MA-01.1 Incident response plan Menselijk beoordeeld 20 Apr → 5 Jun
RS.CO-02.1 Incident communication Menselijk beoordeeld 20 Apr → 5 Jun
RC.RP-01.1 Recovery process Menselijk beoordeeld 20 Apr → 15 Jun

Uitkomst per de stand van 29 juni; controlstatussen blijven bewegen naarmate geautomatiseerd bewijs bijwerkt. De 91% is de gedateerde beoordeling van 17 juni, die 3 controls markeerde als verwacht te falen. Audit-klaar betekent dat het bewijs aannemelijk standhoudt bij een CAB-auditor; de audit zelf wordt uitgevoerd door een geaccrediteerde CAB.

Wat dit betekent als NIS2 op jou van toepassing is

  • 1 Ben je een kleine entiteit die opziet tegen een consultancyofferte: dit liep over ongeveer elf weken aan zo'n een dag per week. Het is een project, geen carriereswitch. Het grootste deel van de echte inspanning is je omgeving configureren en je procedures schrijven, buiten het platform; het platform vertelt je precies wat nodig is en bewijst het zodra je het gedaan hebt.
  • 2 Ben je een MSP of IT-partner: een junior kan dit voor je klanten draaien. Wat jij echt verkoopt is de oordeelslaag: kriticiteitsbeslissingen, beleidsgoedkeuring en de juridische vragen, niet de gegevensinvoer.
  • 3 Wil je data in plaats van beloften: elke implementatie op het platform wordt op dezelfde manier geinstrumenteerd. Vraag naar de methode, of meet je eigen traject.

Veelgestelde Vragen

Is 91% audit-klaar hetzelfde als NIS2-conform zijn?

Nee. Audit-klaar betekent dat elke control implementatie plus bewijs heeft dat aannemelijk standhoudt bij een CAB-auditor, zoals beoordeeld in het platform. De audit zelf gebeurt door een Conformity Assessment Body. De beoordeling van 17 juni markeerde ook 3 van 34 controls als verwacht te falen, zichtbaar en eerlijk gelabeld in plaats van verborgen.

Kan iemand zonder cybersecurity-achtergrond dit echt?

Deze implementatie is een bestaansbewijs dat het een keer gebeurd is: iemand zonder voorafgaande cybersecurity- of compliance-ervaring, control per control begeleid, aan ongeveer een dag per week. Waar hulp nodig was, was specifiek: juridische interpretatie (welke wetten van toepassing zijn). Technisch en procedureel werk raakte af zonder expertinput.

Bewijst een implementatie dat dit voor iedereen werkt?

Nee, en dat beweren we ook niet. Dit is een gemeten case, gepubliceerd met methode en beperkingen. Elke implementatie op het platform wordt op dezelfde manier geinstrumenteerd, dus de dataset groeit met elke volgende. Liever een eerlijk datapunt dan een oncontroleerbaar gemiddelde.

Wat blijft handwerk, zelfs met volledige automatisering?

Je eigen organisatie kennen: beslissen welke assets en mensen bedrijfskritisch zijn (het grootste blok handwerk, 153 acties), maturiteitsscores nakijken en aanvaarden, beleidsinhoud, en de vragen die juridische interpretatie vergen. Automatisering schrijft en ververst inventarissen en bewijs; ze weet niet wat er voor jouw zaak toe doet.

Waarom rapporteren jullie de uren inspanning niet?

Omdat we ze niet eerlijk kunnen meten. Het platform bewaart elke wijziging als een event, dus we kunnen acties tellen (672 handmatig) en de dagen waarop ze vielen (26), maar niet de minuten ertussen. De uitvoerder deed tegelijk helpdesk, dus de spanne van een dag is geen tijd aan compliance. De grotere reden: het echte werk laat helemaal geen event na. MFA aanzetten, firewalls installeren, procedures schrijven en uitvoeren, bewijs verzamelen. Dat gebeurt buiten het platform. We rapporteren de tijdspanne en de aantallen, die we kunnen verdedigen, en laten de stopwatch met rust.

Wat hadden de drie niet-audit-klare controls nodig?

Echte organisatorische veranderingen die software kan signaleren maar niet uitvoeren. Het platform markeert zulke controls als verwacht te falen in plaats van ze mooier voor te stellen, want een eerlijke 91% met een takenlijst klopt beter dan een valse 100%.

Gerelateerde Artikels

Bronnen

  1. CCB CyberFundamentals Framework
  2. CCB: One year of NIS2 in Belgium (registration figures)
  3. Easy Cyber Protection