Wat is CYRA?
CYRA is een nationaal raamwerk en certificeringsmethode voor cybersecurity en informatiebeveiliging. Het biedt organisaties een gestructureerde manier om hun digitale weerbaarheid te beoordelen, te versterken en officieel te laten certificeren.
Sinds januari 2025 valt CYRA officieel onder beheer van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV). Daarmee heeft Nederland een erkende en eenduidige methode om cybersecurity op een praktisch en meetbaar niveau te brengen.
CYRA is speciaal ontwikkeld voor mkb-bedrijven en groeiende organisaties die op zoek zijn naar een duidelijke, stapsgewijze aanpak om hun digitale beveiliging te professionaliseren.
Waarom CYRA is ontwikkeld
Veel organisaties kampen met uiteenlopende eisen van klanten en leveranciers op het gebied van informatiebeveiliging. De ene partij vraagt om ISO 27001, de andere om eigen vragenlijsten of audits.
CYRA biedt een nationale standaard die deze versnippering tegengaat. Het framework helpt organisaties hun volwassenheidsniveau te begrijpen, gericht verbeteringen door te voeren en hun vooruitgang te laten certificeren.
Met CYRA krijgen bedrijven niet alleen inzicht in hun huidige beveiligingsniveau, maar ook een duidelijk groeipad richting hogere digitale weerbaarheid.
Hoe werkt de CYRA-methode
CYRA is gebaseerd op een maturity model, ofwel een volwassenheidsmodel, waarmee organisaties in verschillende fasen hun cybersecurity kunnen ontwikkelen.
De niveaus van CYRA
Het model start met het Entry-niveau, bedoeld als instap voor organisaties die hun eerste stappen zetten in gestructureerde informatiebeveiliging. Vervolgens kunnen ze doorgroeien naar hogere niveaus die meer volwassenheid en complexiteit vragen.
Elke fase bevat praktische richtlijnen, voorbeelden en verbetertips die aansluiten bij de grootte en sector van de organisatie.
Domeinen binnen CYRA
CYRA beoordeelt organisaties op meerdere domeinen:
-
Informatie- en IT-beveiliging
-
Privacy en gegevensbescherming
-
Ketenverantwoordelijkheid
-
Digitale ondermijning (optioneel) — gericht op weerbaarheid tegen criminele beïnvloeding via digitale middelen
Belangrijkste kenmerken van CYRA
Gestandaardiseerde zelfevaluatie
Organisaties kunnen een zelfevaluatie uitvoeren met behulp van een vaste set controlepunten. De resultaten worden aangevuld met praktische aanbevelingen, zodat teams weten welke stappen ze kunnen nemen om hun niveau te verhogen.
Onafhankelijke certificering
Na het behalen van een bepaald volwassenheidsniveau kunnen organisaties zich laten certificeren door onafhankelijke, erkende partijen. Hierdoor ontstaat een betrouwbaar en uniform bewijs van hun digitale weerbaarheid.
Toegankelijk voor mkb en grote organisaties
CYRA is bewust ontworpen voor zowel kleinere bedrijven als grotere organisaties. De methode is schaalbaar en begrijpelijk, waardoor het ook zonder diepgaande technische kennis toepasbaar is.
CYRA en het Digitaal Subversie Raamwerk (NDO)
Met de integratie van het Nationaal Digitaal Ondermijningsraamwerk (NDO) ondersteunt CYRA nu ook organisaties die risico lopen op digitale beïnvloeding of criminele inmenging.
Hiermee laat een CYRA-certificering zien dat een organisatie niet alleen technisch beveiligd is, maar ook structureel weerbaar tegen digitale dreigingen en sociale manipulatie.
CYRA versus RiskStudio Cyber Ratings
Hoewel beide methoden inzicht geven in cyberweerbaarheid, zijn CYRA en RiskStudio fundamenteel verschillend.
CYRA is een handmatig beoordelings- en certificeringssysteem dat kijkt naar beleid, governance en volwassenheid binnen de organisatie.
RiskStudio’s Cyber Ratings zijn daarentegen gebaseerd op technische data-analyse en continue monitoring van publieke en netwerkgegevens.
Beide systemen vullen elkaar aan in plaats van te overlappen.
Hoe CYRA en RiskStudio elkaar versterken
Voor gebruikers van RiskStudio kan een CYRA-certificaat dienen als extra informatiepunt bij het beoordelen van leveranciers of partners.
Waar RiskStudio realtime inzicht biedt in technische kwetsbaarheden, datalekken en dreigingen, laat CYRA zien hoe goed een organisatie structureel is ingericht op cybersecurity en governance.
Door deze twee perspectieven te combineren ontstaat een compleet beeld van de digitale weerbaarheid van een organisatie. Dit helpt bij strategische beslissingen, bijvoorbeeld bij het selecteren van leveranciers of het prioriteren van beveiligingsmaatregelen.
Voor wie is CYRA bedoeld?
CYRA is ontwikkeld voor organisaties die hun digitale volwassenheid willen aantonen of verbeteren. Denk aan:
-
Mkb-bedrijven die willen voldoen aan de verwachtingen van grotere klanten
-
Leveranciers die inzicht willen geven in hun beveiligingsniveau
-
Publieke instellingen die uniforme normen willen hanteren
-
Adviseurs en auditors die klanten begeleiden bij cybersecurityverbeteringen
Voordelen van CYRA-certificering
-
Helder groeipad voor informatiebeveiliging
-
Landelijk erkende standaard onder beheer van CCV
-
Vermindert auditdruk en dubbele vragenlijsten
-
Versterkt vertrouwen binnen de keten
-
Bevordert interne verantwoordelijkheid en governance
Veelgestelde vragen over CYRA
1. Wat betekent CYRA?
CYRA staat voor Cyber Resilience Assessment, een methode om digitale volwassenheid te meten en te certificeren.
2. Wie beheert CYRA?
Vanaf 2025 valt CYRA onder het Centrum voor Criminaliteitspreventie en Veiligheid (CCV).
3. Voor welke organisaties is CYRA bedoeld?
CYRA is ontwikkeld voor mkb’s, grote bedrijven en publieke organisaties die hun cyberweerbaarheid willen aantonen.
4. Wat is het verschil tussen CYRA en RiskStudio?
CYRA beoordeelt organisatorische volwassenheid, terwijl RiskStudio realtime inzicht geeft in technische risico’s.
5. Is CYRA verplicht?
Nee, maar het sluit aan op nationale en Europese normen zoals NIS2 en ISO 27001, waardoor het waardevol is voor compliance.
6. Hoe helpt CYRA mijn organisatie verder?
Het geeft structuur, meetbaarheid en erkende certificering voor cybersecuritygroei.
Conclusie: Samen bouwen aan digitale weerbaarheid
De CYRA-methodiek markeert een belangrijke stap in de professionalisering van cybersecurity binnen Nederland.
Door CYRA te combineren met de dynamische inzichten van RiskStudio, ontstaat een krachtig samenspel tussen structurele volwassenheid en actuele risico-informatie.
Zo bouwen organisaties niet alleen aan een veiliger digitaal fundament, maar ook aan vertrouwen en transparantie binnen hun hele keten.