Cybersécurité · Belgique · NIS2
Le CyberFundamentals Framework (CyFun) est le cadre pratique développé par le Centre pour la Cybersécurité Belgique (CCB) pour renforcer la résilience cyber des organisations et assurer leur conformité à la directive NIS2, en vigueur en Belgique depuis le 18 octobre 2024.
Champ d'application
Toute organisation établie en Belgique qui fournit un service repris aux annexes I ou II de la loi NIS2 et dépasse les seuils des entreprises de taille moyenne : plus de 50 employés ou un chiffre d'affaires annuel supérieur à 10 millions d'euros.
Une entité NIS2 doit garantir la sécurité de ses fournisseurs et prestataires directs. Le CCB recommande à ces organisations de se conformer au minimum au niveau Basic du CyFun, même si elles ne sont pas directement soumises à la loi.
Maturité
Le CyFun est structuré autour de niveaux de maturité progressifs qui guident le développement de votre résilience numérique. Le niveau d'assurance se choisit sur la base d'une analyse de risque.
Concrètement
Les entités transmettent au CCB leur auto-évaluation CyFun (Basic ou Important), ou leur politique de sécurité de l'information accompagnée de leur Statement of Applicability ISO/IEC 27001. Un rapport de progrès est ensuite attendu (voir le calendrier ci-dessous).
Désigner un responsable de la cybersécurité, mettre en place des mesures de sécurité renforcées, et signaler tout incident cyber significatif en moins de 24 heures.
Toutes les mesures de gestion des risques doivent être explicitement approuvées par la direction, qui acquiert les connaissances nécessaires pour identifier les risques. La direction est tenue responsable de tout défaut de conformité.
Trois options : une vérification / certification CyFun délivrée par un organisme agréé par le CCB, une certification ISO/IEC 27001, ou une inspection par le service d'inspection du CCB.
Les entités NIS2 évaluent la sécurité de toute leur chaîne d'approvisionnement. Fournisseurs et partenaires se voient donc de plus en plus imposer des exigences CyFun par voie contractuelle, même hors champ NIS2 direct.
Calendrier
Si votre organisation relève de NIS2 et n'a pas encore soumis son auto-évaluation, la priorité est de régulariser votre situation auprès du CCB et d'engager votre parcours CyFun sans attendre.
En cas de manquement
Le CCB peut imposer des amendes administratives et d'autres mesures (avertissements, instructions contraignantes, publication de l'infraction, suspension de la certification) lorsqu'une entité ne respecte pas ses obligations NIS2 : absence de mesures de gestion des risques adéquates, non-déclaration d'un incident significatif, ou non-respect des demandes du service d'inspection. La responsabilité de la direction peut être engagée personnellement, et pour les entités essentielles, ses membres peuvent être temporairement écartés de leurs fonctions dirigeantes. Les montants les plus élevés visent les entités importantes et essentielles.
La solution ESIA
Plusieurs mesures du CyFun reposent avant tout sur des capacités techniques : connaître son parc, surveiller en continu, repérer les vulnérabilités, prouver que les sauvegardes tournent. ESIA, solution belge de supervision réseau et de cybersécurité unifiée, fournit nativement ces informations et les preuves de conformité. Les contrôles repris ci-dessous dans le tableau sont couverts par nos solutions de cybersécurité.
Identifier
Inventaire automatique des actifs, gestionnaire d'adresses IP (IPAM) et schémas réseau : la base de tout référentiel CyFun, car on ne protège que ce que l'on connaît.
Identifier · Protéger
Scanner de vulnérabilités, suivi des versions logicielles (obsolescence) et des certificats, vérification des correctifs de sécurité : repérez les failles avant qu'elles ne deviennent une porte d'entrée.
Détecter
Surveillance des switchs, pare-feu, serveurs, hyperviseurs, NAS et onduleurs, collecte des logs (syslog) et supervision Microsoft 365 — le cœur de la fonction « Détecter ».
Protéger · Récupérer
Protection des postes et serveurs via Bitdefender GravityZone intégré, et supervision des sauvegardes pour garantir qu'elles s'exécutent réellement.
Répondre
Alertes immédiates et application mobile ESIA Voyager : la réactivité indispensable pour notifier un incident significatif au CCB sous 24 heures.
Gouverner
Rapports automatisés et tableaux de bord lisibles par les dirigeants : la direction doit superviser la mise en œuvre — ESIA en fournit les indicateurs et les preuves.
ESIA ne se substitue pas à l'auto-évaluation CyFun, pour les entités essentielles, à la vérification par un organisme accrédité (CAB) demeure.
Comparatif
En résumé
Si votre organisation est belge et entre dans le champ NIS2, vous devez démontrer la mise en œuvre effective de mesures de gestion des risques et suivre un parcours de conformité reconnu — CyFun ou ISO 27001.
Vous souhaitez gagner en visibilité sur votre infrastructure et automatiser vos mesures CyFun avec ESIA ? Parlons-en.
Prendre contactCybersécurité · Belgique · NIS2
Le CyberFundamentals Framework (CyFun) est le cadre pratique développé par le Centre pour la Cybersécurité Belgique (CCB) pour renforcer la résilience cyber des organisations et assurer leur conformité à la directive NIS2, en vigueur en Belgique depuis le 18 octobre 2024.
Champ d'application
Toute organisation établie en Belgique qui fournit un service repris aux annexes I ou II de la loi NIS2 et dépasse les seuils des entreprises de taille moyenne : plus de 50 employés ou un chiffre d'affaires annuel supérieur à 10 millions d'euros.
Une entité NIS2 doit garantir la sécurité de ses fournisseurs et prestataires directs. Le CCB recommande à ces organisations de se conformer au minimum au niveau Basic du CyFun, même si elles ne sont pas directement soumises à la loi.
Maturité
Le CyFun est structuré autour de niveaux de maturité progressifs qui guident le développement de votre résilience numérique. Le niveau d'assurance se choisit sur la base d'une analyse de risque.
Concrètement
Les entités transmettent au CCB leur auto-évaluation CyFun (Basic ou Important), ou leur politique de sécurité de l'information accompagnée de leur Statement of Applicability ISO/IEC 27001. Un rapport de progrès est ensuite attendu (voir le calendrier ci-dessous).
Désigner un responsable de la cybersécurité, mettre en place des mesures de sécurité renforcées, et signaler tout incident cyber significatif en moins de 24 heures.
Toutes les mesures de gestion des risques doivent être explicitement approuvées par la direction, qui acquiert les connaissances nécessaires pour identifier les risques. La direction est tenue responsable de tout défaut de conformité.
Trois options : une vérification / certification CyFun délivrée par un organisme agréé par le CCB, une certification ISO/IEC 27001, ou une inspection par le service d'inspection du CCB.
Les entités NIS2 évaluent la sécurité de toute leur chaîne d'approvisionnement. Fournisseurs et partenaires se voient donc de plus en plus imposer des exigences CyFun par voie contractuelle, même hors champ NIS2 direct.
Calendrier
Si votre organisation relève de NIS2 et n'a pas encore soumis son auto-évaluation, la priorité est de régulariser votre situation auprès du CCB et d'engager votre parcours CyFun sans attendre.
En cas de manquement
Le CCB peut imposer des amendes administratives et d'autres mesures (avertissements, instructions contraignantes, publication de l'infraction, suspension de la certification) lorsqu'une entité ne respecte pas ses obligations NIS2 : absence de mesures de gestion des risques adéquates, non-déclaration d'un incident significatif, ou non-respect des demandes du service d'inspection. La responsabilité de la direction peut être engagée personnellement, et pour les entités essentielles, ses membres peuvent être temporairement écartés de leurs fonctions dirigeantes. Les montants les plus élevés visent les entités importantes et essentielles.
La solution ESIA
Plusieurs mesures du CyFun reposent avant tout sur des capacités techniques : connaître son parc, surveiller en continu, repérer les vulnérabilités, prouver que les sauvegardes tournent. ESIA, solution belge de supervision réseau et de cybersécurité unifiée, fournit nativement ces informations et les preuves de conformité. Les contrôles repris ci-dessous dans le tableau sont couverts par nos solutions de cybersécurité.
Identifier
Inventaire automatique des actifs, gestionnaire d'adresses IP (IPAM) et schémas réseau : la base de tout référentiel CyFun, car on ne protège que ce que l'on connaît.
Identifier · Protéger
Scanner de vulnérabilités, suivi des versions logicielles (obsolescence) et des certificats, vérification des correctifs de sécurité : repérez les failles avant qu'elles ne deviennent une porte d'entrée.
Détecter
Surveillance des switchs, pare-feu, serveurs, hyperviseurs, NAS et onduleurs, collecte des logs (syslog) et supervision Microsoft 365 — le cœur de la fonction « Détecter ».
Protéger · Récupérer
Protection des postes et serveurs via Bitdefender GravityZone intégré, et supervision des sauvegardes pour garantir qu'elles s'exécutent réellement.
Répondre
Alertes immédiates et application mobile ESIA Voyager : la réactivité indispensable pour notifier un incident significatif au CCB sous 24 heures.
Gouverner
Rapports automatisés et tableaux de bord lisibles par les dirigeants : la direction doit superviser la mise en œuvre — ESIA en fournit les indicateurs et les preuves.
ESIA ne se substitue pas à l'auto-évaluation CyFun, pour les entités essentielles, à la vérification par un organisme accrédité (CAB) demeure.
Comparatif
En résumé
Si votre organisation est belge et entre dans le champ NIS2, vous devez démontrer la mise en œuvre effective de mesures de gestion des risques et suivre un parcours de conformité reconnu — CyFun ou ISO 27001.
Vous souhaitez gagner en visibilité sur votre infrastructure et automatiser vos mesures CyFun avec ESIA ? Parlons-en.
Prendre contact