Comprendre la réglementation

NIS2 & CyFun, sans jargon

La loi, le référentiel et les échéances — et surtout : est-ce que ça vous concerne, et qu'est-ce que vous devez faire.

NIS2

Suis-je concerné par NIS2 ?

NIS2 est la loi belge de cybersécurité, en vigueur depuis le 18 octobre 2024. Vous êtes directement concerné si vous cumulez trois conditions : votre activité relève d'un des 18 secteurs des annexes I et II (énergie, transport, santé, finance, infrastructure numérique, administration publique…) ; vous dépassez le seuil d'une moyenne entreprise (au moins 50 employés, ou un chiffre d'affaires/bilan annuel élevé) ; vous êtes établi en Belgique.

Beaucoup de PME — cabinets d'avocats, petits cabinets médicaux, structures de moins de 50 personnes — ne sont pas dans le champ direct. Mais NIS2 peut quand même vous toucher : si vous fournissez une entité NIS2 (hôpital, commune, acteur de l'énergie), celle-ci peut exiger que vous démontriez un niveau minimal de cybersécurité.

Le référentiel

CyFun, le référentiel belge

CyFun (CyberFundamentals) est le cadre développé par le Centre pour la Cybersécurité Belgique (CCB), la voie la plus accessible pour démontrer sa conformité. Quatre niveaux d'exigence croissante : Small, Basic, Important, Essential. Basic est le socle attendu des PME et des sous-traitants d'entités NIS2. Le niveau cible dépend de votre situation et se détermine après un audit.

Important : CyFun n'est pas de la paperasse — les mesures prioritaires (MFA, sauvegardes, EDR, segmentation, sensibilisation au phishing) sont précisément celles qui bloquent les attaques qui frappent réellement les PME.
Calendrier

Les échéances

  • 18 octobre 2024
    Entrée en vigueur de la loi.
  • 18 avril 2026
    Auto-évaluation CyFun Basic ou Important à transmettre au CCB (échéance passée ; la supervision du CCB est désormais active).
  • 18 avril 2027
    Les entités essentielles doivent avoir obtenu leur certification (CyFun Essential, ou Important selon leur analyse de risque).
  • Hors champ NIS2
    Pour les organisations hors champ, CyFun reste volontaire — mais de plus en plus demandé par les donneurs d'ordre.
La preuve

La preuve passe par un organisme accrédité

Pour les niveaux Important et Essential, l'auto-déclaration ne suffit plus : la vérification ou la certification doit être délivrée par un organisme d'évaluation de la conformité (CAB) accrédité par BELAC et autorisé par le CCB. Ces organismes sont peu nombreux en Belgique et les créneaux d'audit se réservent à l'avance — viser une vérification dans les prochains mois suppose de préparer votre dossier dès maintenant.

Mon rôle

Vous amener jusqu'à « audit-ready »

Je ne suis pas l'organisme qui délivre la certification — c'est le travail d'un CAB accrédité. Mon rôle : vous amener jusqu'à « audit-ready ». Audit de votre situation, sécurisation et durcissement de vos systèmes, plan de remédiation, documentation, préparation du dossier, puis orientation vers un CAB accrédité pour la vérification ou la certification. Comme un comptable prépare vos comptes avant le réviseur.

Savoir où vous en êtes ?

On commence par un audit, je vous dis ce qui vous concerne réellement.

Demander un audit