Wat betekent NIS2-compliance?

NIS2-compliance houdt in dat organisaties voldoen aan de cybersecurity-eisen zoals vastgesteld door de Europese NIS2-richtlijn. Dit omvat maatregelen om risico’s te beheersen, incidenten te melden en de algemene cyberweerbaarheid te verhogen.

Hoe kan een organisatie NIS2-compliance aantonen?

In België kan NIS2-compliance worden aangetoond via drie routes: een CyberFundamentals-certificering, een ISO 27001-certificering van een geaccrediteerde Certificerende Instelling, of een inspectie door het CCB of een sectorale inspectiedienst.

Is Brand Compliance geautoriseerd voor NIS2-gerelateerde certificering?

Ja. Het Centre for Cybersecurity Belgium (CCB) heeft Brand Compliance B.V. geautoriseerd om essentiële en belangrijke entiteiten te certificeren via ISO 27001 in het kader van NIS2-compliance.

Kunnen belangrijke entiteiten ook een ISO 27001-certificering gebruiken voor NIS2-compliance?

Ja. Belangrijke entiteiten kunnen vrijwillig dezelfde mechanismen volgen als essentiële entiteiten en zo hun compliance aantonen via een ISO 27001-certificering.

Obtenir la conformité NIS2 avec ISO 27001

Le Centre pour la Cybersécurité Belgique (CCB) a autorisé Brand Compliance à permettre aux entités essentielles et importantes d’obtenir une certification ISO/IEC 27001 dans le cadre de la directive NIS2. Une certification ISO 27001 permet à une organisation de démontrer une présomption de conformité NIS2. Souhaitez-vous savoir ce que cela signifie concrètement pour votre organisation ?

Conformité NIS2

La législation NIS2 impose des exigences en matière de cybersécurité aux organisations européennes, dans le but de renforcer leur résilience face aux menaces numériques. En Belgique, les organisations doivent se conformer à ces obligations depuis octobre 2024. La certification ISO 27001 est l’un des moyens de se conformer à cette exigence.

Vous souhaitez vérifier si votre organisation relève de la NIS2 ? Consultez le site nis2certification.eu.

Entités essentielles

Pour les entités essentielles, telles que les hôpitaux, les entreprises du secteur de l’énergie et d’autres organisations disposant d’infrastructures critiques, il existe trois voies possibles pour se conformer à cette loi :

Certification CyberFundamentals
Cette certification est délivrée par un organisme de certification.
Certification ISO 27001
Cette certification peut être délivrée par un organisme de certification accrédité, tel que Brand Compliance.
Inspection
L’inspection est réalisée par le service d’inspection du CCB ou par un service d’inspection sectoriel.

Discutez avec nos experts pour déterminer quelle voie NIS2 correspond le mieux à votre organisation.

Lorsqu’une entité essentielle satisfait avec succès à l’une de ces trois options, elle obtient le label CyberFundamentals. Les exigences suivantes du programme CyberFundamentals doivent être respectées :

Le périmètre doit couvrir l’ensemble de l’organisation, sauf si les environnements IT et OT sont physiquement ou techniquement séparés de manière démontrable. Dans ce cas, cette séparation doit être documentée et l’organisation doit démontrer que les environnements exclus n’ont aucune incidence sur les risques de l’environnement inclus dans le périmètre.

Entités importantes

Les entités importantes susceptibles d’être soumises à une supervision peuvent choisir volontairement de suivre les mêmes mécanismes que les entités essentielles afin de démontrer leur conformité.

Certification ISO 27001

Les organisations qui souhaitent obtenir le label CyberFundamentals via une certification ISO/IEC 27001 doivent suivre les étapes suivantes :

Niveau d’assurance : Le niveau applicable est déterminé en fonction de l’évaluation des risques de l’entité, de préférence à l’aide de l’outil de sélection CyFun®.
Domaine d’application : vérifier que le certificat ISO 27001 couvre l’intégralité du périmètre de l’organisation. Cela inclut de vérifier si les environnements IT et OT sont correctement séparés et n’ont aucun impact sur les risques lorsqu’ils sortent du périmètre.
Mesures de maîtrise : Le DdA doit démontrer que les mesures de contrôle mises en œuvre sont manifestement équivalentes aux mesures des niveaux Basique, Important ou Essentiel de CyberFundamentals.
Demande : télécharger le certificat ISO 27001 et la Déclaration d’applicabilité via le CyberFundamentals Framework | CCB Safeonweb.
Vérification : le CCB contrôle si la Déclaration d’applicabilité satisfait aux exigences du niveau choisi.
Obtention du label : lorsque toutes les exigences sont remplies, l’organisation reçoit le label CyberFundamentals.

La relation entre l’ISO 27001 et la NIS2 soulève souvent des questions concernant le périmètre, les mesures de maîtrise et les niveaux d’assurance. Nos experts se feront un plaisir de vous apporter des éclaircissements.

En savoir plus ?

Souhaitez-vous discuter de la manière dont Brand Compliance peut vous accompagner dans l’obtention de la conformité NIS2 ? N’hésitez pas à nous contacter ci-dessous pour un échange personnalisé.