Veelgestelde vragen over CYRA en de CYRA-methode

CYRA is een methode (vragenlijst) die bestaat uit vier niveaus met elk drie volwassenheidslevels. Er bestaan verschillende modules. Iedere module is gebaseerd op een internationale norm (bijvoorbeeld ISO/IEC 27001, IEC62443 of NEN 7510).

Met de CYRA-tool krijgen organisaties inzicht in hun digitale weerbaarheid en kunnen ze stap voor stap hun digitale weerbaarheid verbeteren. Als alle vragen op een bepaald niveau zijn beantwoord, dan kun je hiervan een zelfverklaring downloaden om de staat van de digitale weerbaarheid van jouw organisatie aan klanten aan te tonen.

Daarnaast kun je een onafhankelijke beoordeling aanvragen bij een geaccrediteerde certificatie-instelling.

CYRA helpt organisaties om:

• Inzicht te krijgen in hun digitale risico’s
• Deze gericht te verbeteren
• Dit inzicht te kunnen delen met opdrachtgevers, toezichthouders of ketenpartners via een zelfverklaring of (na een geslaagde audit) CYRA-certificaat.

De CYRA-methode kent op dit moment drie modules en een aanvullende module. Dit zijn: CYRA-IT, CYRA-OT, CYRA-Zorg en de aanvullende module CYRA-NDO.

• CYRA-IT is de CYRA-module voor digitale weerbaarheid van IT-omgevingen. De vragen en normen sluiten aan bij internationale standaarden voor informatiebeveiliging, namelijk ISO/IEC 27001. CYRA-IT is gebaseerd op de informatiebeveiligingsmaatregelen uit bijlage A van de ISO/IEC 27001.
• CYRA-OT is de CYRA-module voor operationele technologie (OT) en industriële automatisering (zoals proces- en besturingssystemen). De module sluit aan bij normen uit de IEC 62443-reeks.
• CYRA-Zorg is de CYRA-module voor zorgorganisaties. Deze module sluit aan bij de NEN 7510-norm voor informatiebeveiliging in de zorg.
• CYRA-NDO is een aanvullende module voor CYRA-IT en CYRA-Zorg. NDO staat voor Normkader Digitale Ondermijning.

CYRA is een groeimodel. Het gaat niet alleen om ‘voldoen of niet voldoen’, maar ook om inzicht: wat heb je al op orde en wat (nog) niet. Ook als je op onderdelen ‘nee’ antwoordt, levert dat waardevolle informatie op om te verbeteren en keuzes te onderbouwen en al dan niet gericht door te groeien naar een hogere digitale weerbaarheid.

Implementatie van een gehele norm zoals ISO/IEC 27001 kan voor veel organisaties te zwaar of te complex zijn. Daarnaast is implementatie van een volledige norm niet altijd nodig. CYRA is proportioneel en schaalbaar: je kiest een niveau dat past bij jouw risico’s en rol in de keten en kunt van daaruit doorgroeien wanneer dat nodig is.

Door het assessment te laten beoordelen door een krijg je een onafhankelijk oordeel over je digitale weerbaarheid. Dit vergroot ook het vertrouwen van opdrachtgevers en ketenpartners. Afhankelijk van het resultaat kan een beoordeling leiden tot een CYRA-certificaat, waarmee je laat zien dat je structureel aandacht besteedt aan cybersecurity en risico’s beheerst.

De CYRA-methode kent meerdere niveaus: Entry, Basic, Intermediate en Advanced. Elk niveau beschrijft een ander ambitieniveau en past bij een ander risicoprofiel. Het niveau dat past bij jouw organisatie hangt af van factoren zoals je rol in de leveranciersketen en wat ketenpartners van je verwachten, het type dienstverlening en de risico’s die daarbij horen.

In het CCV-certificatieschema CYRA ligt onder andere vast hoe een assessment (vragenlijst) is opgebouwd en onder welke voorwaarden een beoordeling plaats vindt en een certificaat afgegeven kan worden. Ook staat in het certificatieschema omschreven aan welke voorwaarden de certificatie-instellingen moeten voldoen om audits uit te mogen voeren. Het certificatieschema zorgt daarmee voor duidelijkheid en consistentie in de toepassing van CYRA.

Het bepalen van het juiste niveau begint met een risico-afweging. Daarbij kijk je onder andere naar:

• De aard van je dienstverlening
• De gevoeligheid van de informatie die je verwerkt
• Je rol binnen de leveranciersketen
• De verwachtingen van opdrachtgevers.

Een formele risicoanalyse is geen vereiste, maar kan wel helpen om deze afweging te onderbouwen. Afhankelijk van de uitkomst van je risicoanalyse, kies je een passend CYRA-niveau. Een risicoanalyse is geen onderdeel van de CYRA-methode zelf, maar is dus wel belangrijk om te bepalen welk niveau van CYRA je wilt halen.

Dat verschilt per sector en per opdrachtgever. Iedere opdrachtgever is zelf verantwoordelijk voor de eisen die aan leveranciers worden gesteld. Dat kan bijvoorbeeld het voldoen aan een specifieke norm zijn, maar ook, als een volledige normcertificering (nog) niet passend of haalbaar is, het aantonen van een bepaald CYRA-niveau.

Steeds vaker vragen opdrachtgevers om inzicht in de digitale weerbaarheid van hun toeleveranciers, zeker wanneer je een rol hebt in hun keten of toegang hebt tot systemen en/of data. Daarnaast verplicht de Cyberbeveiligingswet (Cbw) organisaties om risico’s in hun toeleveringsketen in beeld te hebben. Daardoor worden ook directe leveranciers vaker gevraagd om inzicht te geven in hun digitale weerbaarheid.

CYRA helpt je om dat inzicht gestructureerd te bieden. Je laat zien:

• Waar je nu staat
• Welke maatregelen je al hebt getroffen
• Waar je eventueel nog moet ontwikkelen om aan specifieke eisen te voldoen.

Het is dus niet zo dat je vooraf altijd volledig kunt voldoen aan alle eisen van een opdrachtgever. Vaak vraagt dit om overleg: samen bepaal je welk niveau of welke aanvullende maatregelen passend zijn. CYRA ondersteunt dat gesprek en maakt transparant wat al op orde is en wat nog aandacht vraagt.

CYRA is een basis en groeimodel: het geeft structuur en een minimale set aan eisen passend bij een gekozen niveau. Opdrachtgevers kunnen daarnaast aanvullende eisen stellen die specifiek passen bij hun risico’s, sector of keten. CYRA helpt je om de ‘basis op orde’ te hebben en maakt het makkelijker om eventuele extra eisen te plaatsen en te onderbouwen. CYRA legt het fundament en daar kun je, indien nodig, aanvullende maatregelen bovenop zetten.

De CYRA-tool is het online platform waarin je:

• Een self-assessment (de vragenlijst) invult
• Voortgang bijhoudt
• Een zelfverklaring als pdf kunt downloaden
• Een audit kunt aanvragen bij een geaccrediteerde certificatie-instelling.

De actuele jaarbijdragen vind je op de website van het CCV. Je betaalt per CYRA-module (bijvoorbeeld CYRA-IT of CYRA-OT) een jaarlijkse bijdrage.

Het CCV werkt voor de facturatie met betaalpartner Billie. Om de factuur via Billie te ontvangen, klik je op de knop ‘Betalen’ in de CYRA-tool. Na het aanleveren van enkele gegevens verloopt de facturatie via Billie en zie je de status op je dashboard ‘Facturatie verloopt via Billie’.

Voor een snelle introductie van de CYRA-tool kun je de instructievideo bekijken.

De CYRA-tool is ontwikkeld door een Nederlandse ontwikkelaar en wordt in Nederland beheerd. Bij de ontwikkeling stond security by design centraal: beveiliging en vertrouwelijkheid zijn vanaf de eerste ontwerpfase als uitgangspunt meegenomen, in plaats van achteraf toegevoegd.

De tool is zo ingericht dat gebruikers geen documentatie, configuratiebestanden of andere bewijsstukken kunnen uploaden. Er worden uitsluitend antwoorden ingevoerd op zelfbeoordelingsvragen. Er vindt geen automatische uitlezing plaats van technische systemen of omgevingen. Dit minimaliseert het risico op het verwerken of opslaan van gevoelige informatie. Wat niet in het systeem wordt ingevoerd, kan er ook niet uit worden gehaald.

Voor publicatie is de CYRA-tool uitgebreid getest door middel van een onafhankelijke penetratietest (pentest), uitgevoerd door een andere organisatie dan de ontwikkelaar, die beschikt over het Keurmerk Pen Test. Eventuele bevindingen zijn opgelost voordat de tool beschikbaar is gesteld. Zo waarborgen wij dat de CYRA-tool voldoet aan actuele eisen op het gebied van digitale weerbaarheid en vertrouwelijkheid.

Ja, de tool is beschikbaar in het Nederlands en Engels.

Je kunt de taal aanpassen via de taalinstelling in de tool. Selecteer daar Nederlands of English.

Je registreert je via de CYRA-tool door via app.cyberrating.nl een account aan te maken met je zakelijke e-mailadres en bedrijfsgegevens.

Je kunt je bedrijfsgegevens aanpassen via het dashboard (of je account-/bedrijfsinstellingen). Het is belangrijk om deze gegevens actueel te houden.

De bedrijfsgrootte kan invloed hebben op de jaarbijdrage voor de tool. Daarom vragen we je om dit jaarlijks te controleren en waar nodig bij te werken.

Als beheerder van het account kun je via gebruikersbeheer extra gebruikers toevoegen. Deze gebruikers moeten hetzelfde e-maildomein hebben als die van de gebruikersbeheerder/je organisatie.

Ja. Meerdere gebruikers binnen dezelfde organisatie kunnen tegelijk in hetzelfde assessment werken. De voortgang en antwoorden worden in het account bijgehouden.

Je accountgegevens blijven bewaard zolang je een actief account hebt. Als het account wordt beëindigd, gelden de bewaartermijnen en privacyvoorwaarden van het CCV.

Een self-assessment is een zelfbeoordeling voor het door jouw gekozen CYRA-niveau waarin je vragen beantwoordt over de maatregelen en werkwijze van je organisatie. Je vult deze zelf in, op basis van hoe je organisatie daadwerkelijk werkt.

Ja. Het assessment is gebaseerd op jouw eigen situatie. Je mag hierbij wel interne collega’s betrekken of je laten ondersteunen door een externe adviseur.

CYRA kent meerdere niveaus, namelijk Entry, Basic, Intermediate en Advanced. Hoe hoger het niveau, hoe uitgebreider en volwassener de eisen. Ieder niveau bestaat uit drie volwassenheidslevels (ad hoc, best effort en defined).

Per CYRA-module (CYRA-IT, CYRA-OT of CYRA-Zorg) kun je aan één assessment tegelijk werken. Wil je een nieuw assessment starten, dan dien je het andere assessment eerst te voltooien of te overschrijven. Als je meerdere CYRA-modules aan je account gekoppeld hebt (bijvoorbeeld CYRA-IT én CYRA-OT), dan kun je uiteraard per module werken aan een assessment.

• In bewerking: er staan nog vragen open.
• Afgerond: alle vragen zijn volledig beantwoord en het assessment is afgerond.

Een vraag is volledig beantwoord wanneer je gekozen hebt voor ‘Ja’ of ‘Niet van toepassing’, je vervolgens het beste kloppende meerkeuze-antwoord hebt geselecteerd en een onderbouwing hebt ingevuld. Dit wordt in de CYRA-tool aangegeven met een groen vinkje.

Je kunt dit op meerdere manieren doen. Controleer allereerst per vraag of deze volledig is ingevuld. Daarnaast kun je in de vragenlijst gebruikmaken van de zoekfunctie om snel specifieke vragen of onderwerpen terug te vinden. Met de filters kun je vervolgens eenvoudig alleen de vragen tonen die nog openstaan of nog niet volledig zijn beantwoord. Dit helpt om overzicht te houden en gericht ontbrekende informatie aan te vullen.

Dit verwijst naar de structuur/nummering van de onderliggende norm zoals bijvoorbeeld de ISO/IEC 27701 als het met een ‘B’ begint.

Het versienummer verwijst naar de versie van de vragenlijst. Dit is handig, zodat je overzicht houdt wanneer er een nieuwe versie gepubliceerd wordt.

Je start een nieuw self-assessment via het dashboard door te kiezen voor ‘Nieuw self-assessment starten’.

De tijdsinvestering verschilt per organisatie en per gekozen niveau. Het invullen is een zorgvuldige klus, omdat het vraagt om nadenken en afstemmen. Daar staat tegenover dat je hiermee actief werkt aan je digitale weerbaarheid en inzicht krijgt in waar verbeteringen nodig zijn.

Je kunt het assessment afronden. Daarna kun je een zelfverklaring downloaden of ervoor kiezen om een audit aan te vragen bij een certificatie-instelling.

Een zelfverklaring is een pdf met de resultaten van jouw self-assessment. Deze kun je gebruiken om inzicht te delen met opdrachtgevers, klanten of ketenpartners.

Je kunt de zelfverklaring als pdf downloaden via het dashboard in de CYRA-tool, nadat het assessment volledig is ingevuld. Het downloaden van de zelfverklaring doe je door achter het assessment op de drie puntjes te klikken en te kiezen voor ‘Download zelfverklaring’.

Via de knop ‘Audit aanvragen’ kun je de antwoorden van jouw assessment koppelen aan een certificatie-instelling naar keuze. Alle praktische afspraken, zoals planning en prijsafspraken, regel je rechtstreeks met de certificatie-instelling zelf.

Ja. Alleen volledig ingevulde en afgeronde assessments kunnen worden aangeboden voor een audit.

Als je bij één of meerdere vragen ‘nee’ hebt ingevuld, kun je geen certificaat aanvragen. Het doel van CYRA is in dat geval eerst inzicht krijgen en verbeteren. Je kunt het assessment later aanvullen en alsnog opnieuw aanbieden voor audit.

Je assessment wordt beoordeeld door een auditor van de door jou gekozen geaccrediteerde certificatie-instelling.

Een audit geeft een onafhankelijk oordeel over de digitale weerbaarheid van je organisatie. Bij een positieve beoordeling leidt dit tot een officieel CYRA-certificaat, waarmee je aantoonbaar maakt dat je organisatie voldoet aan het gekozen niveau en behaalde volwassenheidslevel.

Ja. De audit wordt wel via de tool aangevraagd, maar afspraken over planning, kosten en uitvoering maak je rechtstreeks met de certificatie-instelling.

e vraagt een audit aan via de CYRA-tool nadat je het assessment hebt afgerond. Vervolgens neem je rechtstreeks contact op met de certificatie-instelling om de audit verder af te stemmen.

Een CYRA-certificaat is twee jaar geldig. Daarna is herbeoordeling nodig om het certificaat te verlengen.

De kosten voor een audit kunnen verschillen per certificatie-instelling. Afspraken hierover maak je rechtstreeks met de door jou gekozen certificatie-instelling.

De CYRA-tool helpt je met uitleg en structuur, maar biedt geen inhoudelijke begeleiding. Mocht er binnen jouw organisatie onvoldoende kennis aanwezig zijn om de vragenlijst in te vullen, dan kun je op zoek naar een extern adviseur.

Als je er niet uit komt, dan kun je contact opnemen via de Help-button in de CYRA-tool of via cyra@hetccv.nl.

Je kunt collega’s inschakelen of een externe adviseur benaderen.