Vérification CyFun et NIS2

La loi NIS2 vise à renforcer la cybersécurité des réseaux et des systèmes d’information présentant
un intérêt général pour la sécurité publique. Les organisations concernées doivent se conformer
à un certain nombre d’obligations.

Grâce à notre accréditation BELAC, nous pouvons effectuer une vérification des
CyberFundamentals (CyFun).

Si vous réussissez la vérification, vous pouvez demander un label CyFun. Cela vous permet
de démontrer (une présomption de) conformité à la norme NIS2 !

Sur cette page, vous trouverez tout ce que vous devez savoir sur le CyFun. Demander une
vérification CyFun sans aucun engagement, et nous discuterons personnellement des options avec vous.

Demander une vérification CyFun

Domaine d'application de la NIS2

Pour être soumise à la loi belge NIS2, une organisation doit être établie en Belgique et fournir un service figurant dans les annexes I ou II de la loi NIS2. Les seuils définis pour les entreprises de taille moyenne (plus de 50 employés ou un chiffre d’affaires annuel supérieur à 10 millions d’euros) doivent être dépassés.

Le NIS2-scope-test-tool permet de vérifier si votre organisation est considérée comme une entité essentielle ou importante.

Obligations des entités essentielles et importantes

La loi NIS2 impose plusieurs obligations aux entités concernées: renforcer leur cybersécurité, gérer et signaler les incidents.

  1. Enregistrement
    Les entités NIS2 relevant du champ d’application de la loi belge NIS2 doivent enregistrer leur organisation auprès du Centre pour la cybersécurité Belgique  (CCB).
  2. Mesures de gestion des risques liés à la cybersécurité
    Les entités essentielles et importantes doivent mettre en œuvre des mesures appropriées pour sécuriser leurs réseaux et systèmes d’information, prévenir les incidents et limiter leur impact sur les clients et les services.
  3. Notification des incidents significatifs
    Toutes les entités doivent informer le CSIRT national (en Belgique, le CCB) de tout incident majeur affectant leurs services, y compris les effets transfrontaliers potentiels.
  4. Responsabilité de la direction
    Les organes de direction des entités NIS2 doivent approuver les mesures de cybersécurité et superviser leur mise en œuvre. En cas de non-conformité, la responsabilité incombe à la direction.

Les entités essentielles doivent également se soumettre à une évaluation régulière de conformité, avec trois options possibles : une certification CyberFundamentals, une certification ISO/IEC 27001 ou une inspection par le service d’audit du CCB.

Les entités importantes doivent réaliser elles-mêmes une évaluation des risques et mettre en œuvre des mesures de sécurité adaptées pour protéger leurs réseaux et systèmes d’information. Le programme CyFun est un excellent moyen de démontrer la cybersécurité.

Surveillance et sanctions

Le CCB est désigné comme autorité nationale en matière de cybersécurité et veillera au respect de la loi.

Amendes

Le CCB peut imposer des amendes en cas de non-déclaration d’incidents, de sanctions injustifiées envers les dirigeants, ou de non-respect des obligations de surveillance. Des amendes élevées peuvent être imposées aux entités importantes et essentielles.

Avertissements

Le CCB peut également émettre des avertissements, notamment des instructions pour cesser ou adapter certains comportements, la publication des infractions constatées, la désignation d’un fonctionnaire de contrôle, l’obligation de mettre en œuvre des recommandations spécifiques, la suspension de certifications ou de licences ou l’interdiction d’exercer des fonctions dirigeantes pour les entités essentielles.

À qui s’adresse les CyFun ?

La loi NIS2 s’applique aux organisations fournissant des services essentiels, tels que définis dans les annexes I et II de la directive. La certification CyberFundamentals est adaptée aux profils suivants :

  • Petites et moyennes entreprises (PME) : souhaitant mettre en place une sécurité de base sans recourir à des systèmes de management complexes ;
  • Grandes entreprises : désirant établir une base solide avant de mettre en œuvre des normes plus avancées ;
  • Institutions publiques et semi-publiques : qui sont tenues de se conformer aux exigences de la directive NIS2 ;
  • Prestataires de services et sous-traitants : souhaitant offrir à leurs clients des garanties en matière de sécurité de l’information.

En résumé, CyFun est pertinente pour toute organisation qui prend la cybersécurité au sérieux et/ou souhaite se conformer aux exigences légales.

Pourquoi la vérification CyFun est-elle importante pour votre organisation ?

Obtenir une vérification CyberFundamentals présente de nombreux avantages pour les organisations belges souhaitant renforcer leur cybersécurité.

Les principaux avantages sont les suivants :

  • Protection contre les cybermenaces : réduction du risque de fuites de données et cyberattaques ;
  • Confiance des clients et partenaires : démontrez que votre organisation prend la cybersécurité au sérieux ;
  • Conformité légale : contribue au respect des obligations légales ;
  • Continuité opérationnelle : réduit le risque de perturbations opérationnelles dues à des cyberincidents;
  • Amélioration continue : soutien à l’évaluation et à l’optimisation régulières des mesures de sécurité.
Devis gratuit

Niveaux de CyberFundamentals

CyberFundamentals comporte trois niveaux, chacun conçu pour des organisations de tailles et de profils de risque différents :

Basic
Le niveau de sécurité Basic contient des mesures de sécurité de l’information standard pour toutes entreprises. Ceux-ci fournissent une valeur de sécurité efficace avec des technologies et des processus qui sont généralement déjà disponibles. Lorsque cela se justifie, les mesures sont adaptées et affinées.

Important
Le niveau Important est conçu pour minimiser les risques de cyberattaques ciblées par des acteurs disposant de compétences et de ressources communes, en plus des risques de cybersécurité connus.

Essentiel
Le niveau Essentiel offre une protection renforcée contre les cyberattaques avancées, menées par des acteurs disposant de compétences et de ressources étendues.

Processus de vérification

Pour obtenir une vérification CyberFundamentals, une organisation doit suivre les étapes suivantes :

  • Effectuer une évaluation des risques
    Utilisez l’outil CyFun Selection Tool pour choisir le niveau d’assurance approprié.

 

  • Compléter l’auto-évaluation et mettre en œuvre les mesures correctives
    Utilisez l’outil CyFun Self-Assessment Tool pour réaliser l’auto-évaluation et générer un rapport de gestion.

 

  • Demander une vérification ou un audit auprès de Brand Compliance
    Faites vérifier votre auto-évaluation par Brand Compliance.

 

  • Demander votre label sur Safeonweb@work
    Une fois le processus d’évaluation de conformité terminé avec votre organisme de vérification, demandez votre label CyFun.
Demander une verification

Processus chez Brand Compliance

Le processus chez Brand Compliance se déroule comme suit :

 

Passez dès aujourd’hui à l'étape suivante de votre conformité NIS2 avec Brand Compliance

Protégez votre organisation contre les cybermenaces et respectez les obligations légales de la loi NIS2 en optant pour une vérification ou une certification CyberFundamentals.
Brand Compliance, en tant qu’organisme de certification indépendant, est votre partenaire de confiance dans ce parcours.
Contactez-nous dès aujourd’hui pour un entretien sans engagement.

Planifier un rendez-vous