En Belgique, reconnaissez officiellement votre niveau de maturité en cybersécurité avec le CyberFundamentals CyFun®

À qui s'adressent nos services de cybersécurité?

Entités NIS2

Il s'agit d'organisations qui relèvent du champ d'application de la loi NIS2.

Conformité réglementaire: Les entités NIS2 Essential sont légalement tenues de mettre en œuvre et de démontrer des mesures de cybersécurité solides. Une vérification CyFun® fournit une évaluation indépendante et accréditée conforme à la loi belge NIS2.
Gestion des risques: La vérification permet d'identifier les vulnérabilités et de s'assurer que des pratiques appropriées de gestion des risques sont en place.
Confiance et responsabilité: Démontrer la conformité au moyen d'une vérification accréditée renforce la confiance avec les organismes de réglementation, les partenaires et les clients.

Petites et moyennes entreprises fournissant des produits/services aux entités NIS2

Il s'agit de PME qui fournissent des produits ou des services à des entités NIS2 et font partie de leur chaîne d'approvisionnement.

Assurance de la chaîne d'approvisionnement: Les entités NIS2 sont tenues d’évaluer la posture de cybersécurité de leurs fournisseurs. Une vérification CyFun® peut servir de mécanisme d'assurance fiable.
Continuité des activités: En s’attaquant de manière proactive aux risques en matière de cybersécurité, les PME peuvent réduire la probabilité de perturbations susceptibles d’affecter leurs clients.
Accès au marché: Des pratiques de cybersécurité vérifiées peuvent être un facteur décisif dans l'obtention de contrats avec des organisations réglementées par la NIS2.

Toutes les autres entreprises qui veulent un avantage concurrentiel

Il s'agit d'organisations qui ne sont pas directement soumises à la NIS2, mais qui visent à se démarquer sur leur marché grâce à de solides pratiques de cybersécurité.

Différenciation du marché: Démontrer des pratiques de cybersécurité vérifiées peut être un argument de vente unique sur des marchés concurrentiels.
Confiance des clients: Les clients accordent de plus en plus la priorité à la sécurité lorsqu'ils choisissent des fournisseurs. Une vérification CyFun® témoigne d'un engagement à protéger les données et les systèmes.
Préparation des règlements futurs: Au fur et à mesure que les réglementations en matière de cybersécurité évoluent, l'adoption précoce des meilleures pratiques place les entreprises en avance sur la courbe.

Pourquoi choisir une vérification CyFun®?

La vérification CyFun® vous permet de recevoir un label officiel pour votre niveau de maturité en cybersécurité (Basique ou Important), selon un cadre reconnu puis:

Renforcez la confiance dans votre organisation et progressez votre maturité de manière structurée et cohérente vers la certification (niveau essentiel).
Évitez les audits multiples auprès de clients, d’assureurs ou d’autorités en ce qui concerne les exigences SRI 2.
Gagnez en crédibilité et en indépendance reconnaissance externe.
Obtenir un label reconnu géré par le Centre Belge de Cybersécurité (CCB) qui vous distingue des concurrents.
Pour les entités NIS2, assurer le respect de la loi belge NIS2 (2024-202344).

Un organisme accrédité est requis pour vérifier votre niveau de maturité en matière de cybersécurité.

Améliorez votre auto-évaluation en complétant la vérification officielle CyFun® avec What a Work, un organisme accrédité par BELAC (n° 770-VV) selon la norme ISO/IEC 17029.

La vérification est effectuée par notre division spécialisée, Faites confiance à CHECK.

Pour comprendre les avantages de travailler avec un organisme accrédité, visitez cette page. Seuls les organismes accrédités peuvent vous fournir un rapport officiel et reconnu, et le Centre pour la cybersécurité en Belgique (CCB) délivrera alors l'officiel Étiquette CyFun®.

En outre, Qu'est-ce qu'une œuvre est également autorisée par le BCC, ce qui garantit une pleine confiance dans notre indépendance et notre capacité à effectuer la vérification.

Comment démontrer votre niveau de maturité en cybersécurité?
Étapes clés en un coup d'œil: :

Lire le cadre mis à disposition par le Centre de cybersécurité en Belgique (CCB) via ce lien.
Définir le statut de votre entité (Basique, Essentielle, Importante) sur la base de votre analyse de risque via ce lien.
Complétez votre auto-évaluation via ce lien avec votre équipe interne ou vos prestataires externes.
Soumettez votre déclaration de maturité à notre organisation (modèle disponible sur demande).
Nous effectuons un examen préalable à l'engagement confirmer la faisabilité (compétence, ressources, conflit d'intérêts, etc.).
Signez le devis
Soumettez votre auto-évaluation et des éléments de preuve à l’appui.
Nous examinons votre auto-évaluation, preuves et procéder à une vérification sur place.
Recevoir un rapport de vérification officiel accompagné d'une déclaration de vérification si nos experts confirment votre déclaration.
Soumettre le rapport au Centre Belge de Cybersécurité (CCB) et obtenir l'accès au label CyFun® reconnu.

Nos services d’audit sont disponibles dans le cadre de deux programmes distincts:
* Programme de base (Cyber PR1)
* Programme important (Cyber PR2)

Documentation disponible sur demande.

Déjà un Trust CHECK
client?
Bénéficier d'une vérification limitée

Si vous avez déjà effectué une première vérification avec nous, profitez d'un processus plus léger en vous concentrant uniquement sur les mises à jour:

Réduction de l'engagement de temps
Ajustement des prix
Une preuve à jour pour vos parties prenantes

FAQ

Cybersécurité

Qu'est-ce que CyFun® Verification?

CyFun® Verification est une vérification indépendante de votre maturité en matière de cybersécurité basée sur Cadre CyberFundamentals (CyFun®) du Centre belge de cybersécurité (CCB). Une fois que vous avez obtenu la déclaration de vérification de Trust CHECK, vous pouvez demander votre étiquette à CCB.

Comment fonctionne le processus de vérification?

Auto-évaluation: Utilisez les outils CCB pour évaluer votre maturité actuelle en matière de cybersécurité.
Soumission : Soumettez votre auto-déclaration et les preuves à l'appui à Trust Check.
Audit : Une évaluation sur site ou à distance valide la conformité.
Rapport: Recevoir un rapport de vérification officiel et un certificat.

Toutes les étapes sont traçables et documentées pour assurer la transparence.

Quels documents sont requis pour la vérification?

Votre autoévaluation déposée et toutes les preuves documentaires et mises en œuvre telles que:
- Politiques et procédures actuelles en matière de cybersécurité
- Preuve de mesures techniques (pare-feu, sauvegardes, journaux de surveillance)
- Plans de réponse aux incidents et de continuité des activités
- Contrôle d'accès et documentation de gestion des utilisateurs
- Tous les rapports utiles

Quelle est la durée de validité d'une vérification?

Un rapport de vérification CyFun® est généralement valide pour 12 mois, après quoi un réévaluation est recommandé pour assurer une conformité continue.
Une surveillance et des mises à jour continues sont recommandées pour les entités soumises à la SRI2.

Une déclaration de vérification peut-elle être révoquée?

Oui. Une déclaration de vérification peut être révoquée si:

De nouvelles preuves de non-conformité sont découvertes.
L'organisation ne parvient pas à maintenir les mesures de cybersécurité requises.
Les fausses déclarations ou les informations frauduleuses se trouvent dans la documentation soumise.

Comment CyFun® Verification aide-t-il à la conformité NIS2?

Évaluer maturité actuelle en matière de cybersécurité.
Identifier lacunes et domaines nécessitant des améliorations.
Démontrer conformité avec les organismes de réglementation, les partenaires et les clients.

Il s’aligne sur les obligations au titre NIS2 pour les entités essentielles et importantes.

Quelles sont les sanctions prévues par la NIS2 en cas de non-conformité?

Le non-respect de la NIS2 peut entraîner amendes administratives et, dans les cas graves, restrictions d'exploitation.
La pénalité exacte dépend de:
- La gravité de la non-conformité
- La taille et la criticité de l'entité
- Le risque posé aux services essentiels

CyFun® Verification aide atténuer le risque d'amendes en fournissant des preuves documentées de mesures proactives de conformité.

Pourquoi choisir Trust Check pour CyFun® Verification?

Indépendance: La validation par un tiers garantit l'objectivité.
Reconnaissance officielle: Les rapports sont reconnus par le Centre belge de cybersécurité.
Efficacité: Processus simplifié adapté aux exigences légales belges.

La déclaration de vérification peut-elle être partagée avec des partenaires ou des organismes de réglementation?

Oui, le rapport de vérification peut être partagé avec démontrer la conformité et fournir des éléments probants lors d’audits ou d’évaluations contractuelles

Combien de temps dure une vérification?

La durée dépend de la portée et complexité de votre environnement informatique. Typiquement:

Niveau de base (Cyber PR1): 2 à 4 jours
Niveau important (Cyber PR2): 3 à 5 jours

Combien de contrôles sont évalués à chaque niveau?

Niveau de base: Environ 34 contrôles, couvrant les mesures fondamentales de cybersécurité requises pour les entités importantes.
Niveau important: Autour 143 contrôles (y compris les contrôles de base), y compris des mesures techniques et organisationnelles avancées pour les entités essentielles.

Ces contrôles s'alignent sur les Cadre CCB CyberFundamentals.

Que puis-je faire si je n’accepte pas le résultat de la vérification?

Vous pouvez demander un réexamen ou une clarification de Trust Check. Consultez la page des appels et des plaintes.
Le processus assure équité et transparence.

Que puis-je faire si je ne souhaite pas qu’un vérificateur spécifique soit affecté à ma mission?

Vous pouvez demander un vérificateur différent au cours de l’étape du plan de vérification.
Trust Check maintient un groupe de vérificateurs qualifiés, et les missions sont flexibles pour prévenir les conflits d’intérêts.
Votre demande est traitées de manière confidentielle.

Comment les informations envoyées à Trust Check sont-elles protégées?

Tous les documents et communications sont protégés en utilisant Protocole de feux de circulation (TLP)
L'accès est limité au personnel autorisé Uniquement.
Le contrôle de confiance suit bonnes pratiques en matière de protection des données conformément au RGPD et aux normes de cybersécurité.
Les preuves critiques sont sauvegardées hors ligne après la mission de vérification

Où l'étiquette et la vérification CyFun® sont-elles reconnues?

Le label CyFun® est reconnu à l'échelle nationale en Belgique comme une preuve fiable de maturité en matière de cybersécurité. Il est accepté par les autorités, les partenaires et les clients comme preuve de conformité.

Aujourd'hui, de plus en plus de pays de l'UE reconnaissent CyFun®, y compris la France, la Roumanie et l'Irlande, et d'autres devraient bientôt suivre.

Pour les organisations, CyFun® facilite l'accès à de nouveaux marchés, rationalise les processus de conformité et renforce la confiance des clients et des partenaires.

Comme CyFun® s'aligne sur les cadres européens tels que NIS2 et GDPR, il devient une référence continentale pour l'assurance de la cybersécurité.

Quelle est la différence entre CyFun® et ISO/IEC 27001?

Aspect	CyFun®	ISO/CEI 27001
Champ d'application	Conformité à la NIS2, contrôles pratiques	ISMS complet, norme mondiale
Niveaux	Fondamental, important, essentiel	Pas de niveaux; une norme
Certification	Reconnaissance nationale/européenne, pilotée par le CCB	Organismes internationaux accrédités ISO
Objectif	Toutes les organisations	organisation mature
Approche	Inclure également l'OT, l'IT et d'autres normes (NIST, CIS...)	ISO

CyFun® et ISO/IEC 27001 sont interconnectés par des matrices de référence, permettant aux organisations de cartographier les exigences et les contrôles entre les deux cadres. Cela facilite la double conformité et aide les organisations à tirer parti des certifications existantes pour répondre aux nouvelles attentes réglementaires.

Où puis-je trouver le framework CyFun®?

Le cadre officiel CyFun® est publié par le Centre pour la cybersécurité en Belgique (CCB) et disponibles sur leur site web atwork.safeonweb.

Dois-je démontrer ma maturité en matière de cybersécurité par la loi?

Sous le Directive SRI 2 de l'UE, certaines organisations classées comme essentiel et important sont légalement tenus de prendre des mesures de gestion des risques en matière de cybersécurité. Les entités essentielles démontrent leur maturité en matière de cybersécurité. Cela inclut des secteurs tels que l’énergie, les transports, la santé, la finance, les infrastructures numériques et l’administration publique.
Le non-respect peut entraîner audits, mesures correctives et amendes administratives.

Le centre pour la cybersécurité en Belgique a développé un outil pour déterminer si votre entité relève ou non de la loi NIS2. Référez-vous à ceci lien pour trouver l'outil.

Obligations des entités essentielles et importantes en vertu de la loi NIS2 (Belgique)

La loi belge NIS2, qui transpose la directive de l’UE 2022/2555, impose plusieurs obligations en matière de cybersécurité aux entités réputées essentiel ou important pour le fonctionnement de la société et de l'économie.

1. Inscription

Les entités relevant du champ d'application de la loi SRI 2 doivent: s’inscrire auprès du Centre pour la cybersécurité en Belgique (CCB) via la plateforme Safeonweb@work. Cet enregistrement est obligatoire et garantit que le RCC peut superviser et soutenir efficacement ces entités.

2. Mesures de gestion des risques de cybersécurité

Les entités essentielles et importantes sont tenues de mettre en œuvre mesures techniques, opérationnelles et organisationnelles appropriées gérer les risques en matière de cybersécurité. Ces mesures visent à:

Réseau et systèmes d'information sécurisés.
Prévenir les incidents.
Minimiser l'impact des incidents sur les clients et les services.

4. Sécurité de la chaîne d'approvisionnement

Les entités essentielles et importantes doivent prendre des mesures appropriées et proportionnées de gestion des risques de cybersécurité sur leur chaîne d’approvisionnement. C'est pourquoi de nombreuses entreprises en dehors du périmètre NIS2 adoptent CyFun® pour renforcer la gouvernance de la cybersécurité ou parce qu'un le client, le fournisseur ou le partenaire exige une preuve de conformité.

5. Notification des incidents importants

Les entités doivent déclarer tout incidents importants à la CSIRT national, qui en Belgique est la CCB. Il s'agit notamment:

Incidents causant de graves perturbations opérationnelles.
Incidents susceptibles d'avoir des effets transfrontaliers.
Dommages financiers ou à la réputation.

Le processus d'établissement de rapports comprend:

Notification initiale dans les 24 heures.
Rapport d'incident détaillé dans les 72 heures.
Rapport final dans un délai d'un mois.

4. Obligations de la direction

Le organes de gestion des entités NIS2 sont responsables:

Approuver les mesures de gestion des risques en matière de cybersécurité et superviser leur exécution.
Suivre une formation pour s'assurer que leurs connaissances et compétences sont suffisantes pour identifier les risques et le traitement

En cas de non-conformité, la gestion peut être tenue pour responsable.

5. Supervision

Entités essentielles doivent subir des évaluations régulières de la conformité;, en choisissant l’une des options suivantes:
- CyberFundamentals Certification ou vérification.
- Certification ISO/IEC 27001.
- Audit par le service d’audit de la BCC.
Entités importantes ne doivent pas faire l'objet d'une évaluation régulière de la conformité.

6. Sanction

Les entités essentielles et importantes qui ne respectent pas leurs obligations peuvent faire l'objet d'une série de mesures administratives et d'amendes.

avertissement

Pour garantir l'impartialité, Trust CHECK ne procédera jamais à une vérification d'une réclamation préparée dans le cadre d'activités de conseil par What a Work SRL. De même, What a Work SRL ne fournira pas de services de conseil à la suite d’une vérification effectuée par Trust CHECK.
Les clients restent entièrement responsables de leur propre système de sécurité de l'information à tout moment. Une vérification par Trust Check est une évaluation indépendante – il ne s’agit pas d’une garantie ou d’une assurance.
La responsabilité de l'exactitude et de l'exhaustivité des informations fournies incombe uniquement au client, et non à Trust CHECK.