Vérification CyberFundamentals et NIS2

La loi NIS2, qui remplace la précédente législation NIS1, transpose
la directive européenne 2022/2555 en Belgique. Son objectif est de renforcer la
cybersécurité des réseaux et des systèmes d’information d’importance vitale pour
la sécurité publique.

Les organisations relevant du champ d’application de la loi doivent démontrer leur conformité
à la NIS2. En Belgique, cela peut se faire par le biais d’une vérification selon le cadre CyberFundamentals.

Sur cette page, vous trouverez toutes les informations nécessaires concernant la vérification
et la certification NIS2 via CyberFundamentals.

Devis sans engagement

Champ d'application de la NIS2

Pour être soumise à la loi belge NIS2, une organisation doit être établie en Belgique et fournir un service figurant dans les annexes I ou II de la loi NIS2. Les seuils définis pour les entreprises de taille moyenne (plus de 50 employés ou un chiffre d’affaires annuel supérieur à 10 millions d’euros) doivent être dépassés.

Le NIS2-scope-test-tool permet de vérifier si votre organisation est considérée comme une entité essentielle ou importante.

Obligations des entités essentielles et importantes

La loi NIS2 impose plusieurs obligations aux entités concernées: renforcer leur cybersécurité, gérer et signaler les incidents.

  1. Enregistrement
    Les entités NIS2 relevant du champ d’application de la loi belge NIS2 doivent enregistrer leur organisation auprès du Centre pour la cybersécurité Belgique  (CCB).
  2. Mesures de gestion des risques liés à la cybersécurité
    Les entités essentielles et importantes doivent mettre en œuvre des mesures appropriées pour sécuriser leurs réseaux et systèmes d’information, prévenir les incidents et limiter leur impact sur les clients et les services.
  3. Notification des incidents significatifs
    Toutes les entités doivent informer le CSIRT national (en Belgique, le CCB) de tout incident majeur affectant leurs services, y compris les effets transfrontaliers potentiels.
  4. Responsabilité de la direction
    Les organes de direction des entités NIS2 doivent approuver les mesures de cybersécurité et superviser leur mise en œuvre. En cas de non-conformité, la responsabilité incombe à la direction.

Les entités essentielles doivent également se soumettre à une évaluation régulière de conformité, avec trois options possibles : une certification CyberFundamentals, une certification ISO/IEC 27001 ou une inspection par le service d’audit du CCB.

Les entités importantes doivent réaliser elles-mêmes une évaluation des risques et mettre en œuvre des mesures de sécurité adaptées pour protéger leurs réseaux et systèmes d’information.

Surveillance et sanctions

Le CCB est désigné comme autorité nationale en matière de cybersécurité et veillera au respect de la loi.

Amendes

Le CCB peut imposer des amendes en cas de non-déclaration d’incidents, de sanctions injustifiées envers les employés, ou de non-respect des obligations de surveillance. Des amendes élevées peuvent être imposées aux entités importantes et essentielles et sont calculées en fonction du chiffre d’affaires.

Avertissements

Le CCB peut également émettre des avertissements, notamment des instructions pour cesser ou adapter certains comportements, la publication des infractions constatées, la désignation d’un fonctionnaire de contrôle, l’obligation de mettre en œuvre des recommandations spécifiques, la suspension de certifications ou de licences ou l’interdiction d’exercer des fonctions dirigeantes pour les entités essentielles.

À qui s’adresse la certification CyberFundamentals ?

La loi NIS2 s’applique aux organisations fournissant des services essentiels, tels que définis dans les annexes I et II de la directive. La certification CyberFundamentals est adaptée aux profils suivants :

  • Petites et moyennes entreprises (PME) : souhaitant mettre en place une sécurité de base sans recourir à des systèmes de management complexes ;
  • Grandes entreprises : désirant établir une base solide avant de mettre en œuvre des normes plus avancées comme ISO 27001 ;
  • Institutions publiques et semi-publiques : qui sont tenues de se conformer aux exigences de la directive NIS2 ;
  • Prestataires de services et sous-traitants : souhaitant offrir à leurs clients des garanties en matière de sécurité de l’information.

En résumé, cette certification est pertinente pour toute organisation qui prend la cybersécurité au sérieux et/ou souhaite se conformer aux exigences légales.

Pourquoi la certification CyberFundamentals est-elle importante pour votre organisation ?

Obtenir la certification CyberFundamentals présente de nombreux avantages pour les organisations belges souhaitant renforcer leur cybersécurité.

Les principaux avantages sont les suivants :

  • Protection contre les cybermenaces : réduction du risque de fuites de données et cyberattaques ;
  • Confiance des clients et partenaires : démontrez que votre organisation prend la cybersécurité au sérieux ;
  • Conformité légale : ide à se conformer à la directive NIS2 qui sera obligatoire en Belgique à partir d’avril 2024 ;
  • Continuité opérationnelle : réduit le risque de perturbations opérationnelles dues à des cyberincidents;
  • Amélioration continue : soutien à l’évaluation et à l’optimisation régulières des mesures de sécurité.

Niveaux de CyberFundamentals

Dans le cadre de la vérification ou de la certification, CyberFundamentals propose trois niveaux de sécurité, chacun conçu pour des organisations de tailles et de profils de risque différents :

Basic
Le niveau de sécurité Basic contient des mesures de sécurité de l’information standard pour toutes entreprises. Ceux-ci fournissent une valeur de sécurité efficace avec des technologies et des processus qui sont généralement déjà disponibles. Lorsque cela se justifie, les mesures sont adaptées et affinées.

Important
Le niveau Important est conçu pour minimiser les risques de cyberattaques ciblées par des acteurs disposant de compétences et de ressources communes, en plus des risques de cybersécurité connus.

Essentiel
Le niveau Essentiel offre une protection renforcée contre les cyberattaques avancées, menées par des acteurs disposant de compétences et de ressources étendues.

Processus de vérification ou de certification

Pour obtenir une vérification ou une certification CyberFundamentals, une organisation doit suivre les étapes suivantes :

  • Effectuer une évaluation des risques
    Utilisez l’outil CyFun Selection Tool pour choisir le niveau d’assurance approprié.

 

  • Compléter l’auto-évaluation et mettre en œuvre les mesures correctives
    Utilisez l’outil CyFun Self-Assessment Tool pour réaliser l’auto-évaluation et générer un rapport de gestion.

 

  • Demander une vérification ou un audit auprès de Brand Compliance
    Faites vérifier ou certifier votre auto-évaluation et les mesures correctives par Brand Compliance.

 

  • Demander votre label sur Safeonweb@work
    Une fois le processus d’évaluation de conformité terminé avec votre organisme de certification, demandez votre label CyFun.

Processus chez Brand Compliance

Le processus chez Brand Compliance se déroule comme suit :

cycle d'audit CyFun

Passez dès aujourd’hui à l'étape suivante de votre conformité NIS2 avec Brand Compliance

Protégez votre organisation contre les cybermenaces et respectez les obligations légales de la loi NIS2 en optant pour une vérification ou une certification CyberFundamentals.
Brand Compliance, en tant qu’organisme de certification indépendant, est votre partenaire de confiance dans ce parcours.
Contactez-nous dès aujourd’hui pour un entretien sans engagement.

Planifier un rendez-vous