• Les contrôles CyFun® doivent-ils être inclus dans la déclaration d'applicabilité ISO/IEC 27001 pour servir d'aide à l'établissement de la présomption de conformité dans le cadre de la législation NIS2 belge (il s’agit du scénario dans lequel l'entité NIS

    L'autorité de certification du CCB (NCCA) vérifiera si la déclaration d'applicabilité justifiée (SoA) a le même niveau que le niveau d'assurance CyFun® pertinent. L'inclusion des contrôles CyFun® dans la déclaration d'applicabilité ISO/IEC 27001 reste une décision de l'entité concernée.

    En ce qui concerne ce qui précède, l'autorité de certification du CCB (NCCA) appliquera les délais prévus à l'article 22 de l'AR du 09 juin 2024 :

    • dans les 18 mois suivant l'entrée en vigueur de la loi NIS2 ou la date de l'identification visée à l'article 11 de la loi NIS2, le champ d'application du SMSI et une déclaration d'applicabilité (SoA) justifiée du même niveau que celui stipulé dans CyFun® Basic ou CyFun® Important et
    • dans les 30 mois, une certification ISO/IEC 27001:2022 où la SoA justifiée a le même niveau que celui défini dans CyFun® Important ou Essential, selon que l'entité est importante ou essentielle.
  • Qu'entend-on par une déclaration d'applicabilité (SoA) « justifiée » ?

    La définition de « justifiée » est celle de la clause 9.3.2.2 (f) de la norme ISO/IEC 27006-1:2024 ; la justification de la déclaration d'applicabilité (SoA) doit permettre l'évaluation de la mise en œuvre et de l’efficacité des contrôles. En d'autres termes : il doit y avoir des preuves qu'un contrôle est mis en œuvre et qu'il est efficace.

  • Que signifie en pratique « une SoA justifiée a le même niveau que celui défini dans CyFun © Basic, Important ou Essential » ?

    L'objectif est de créer des conditions de concurrence équitables pour toutes les entités enregistrées en Belgique, qu'elles choisissent CyFun® ou ISO/IEC 27001:2022. Compte tenu de la spécificité des CyFun® adoptés par diverses parties prenantes, NCCA utilise les mesures identifiées dans le niveau d'assurance respectif de CyFun® pour examiner la déclaration d'applicabilité d'une entité certifiée ISO/IEC 27001:2022 afin de s'assurer que des contrôles équivalents sont définis et mis en œuvre de manière efficace. NCCA accordera ici une attention particulière aux mesures clés définies dans CyFun® puisque ces mesures découlent directement des cyber-attaques qui se sont produites en Belgique.

    En tant qu'autorité de contrôle, nous ne sommes pas autorisés à donner des conseils sur la manière dont est établie la relation entre le niveau d'assurance pertinent des CyberFundamentals et le SoA de la norme ISO/IEC 2700:2022.

  • Des « exclusions » sont-elles possibles dans CyFun® ?

    Les exclusions dans CyFun® pourraient être des exigences spécifiques de CyFun® auxquelles l'organisation ne peut répondre. Le principe de CyFun® étant que les contrôles peuvent être remplis de manière proportionnelle sur la base de la gestion des risques, il a été sciemment décidé de ne pas offrir cette possibilité dans l'outil d'auto-évaluation CyFun®, compte tenu de l'improbabilité de ces exclusions motivées.

    La non-application d'un contrôle est une « exception » (« exception ») comme prévu dans la CyFun® Maturity Level Description (CyFun® Toolbox).

    La documentation doit permettre de vérifier que l'exclusion est correctement motivée, documentée et autorisée par les cadres supérieurs de l'organisation.

    La mise en œuvre doit vérifier qu'il existe suffisamment de preuves de diligence raisonnable pour démontrer que l'exclusion d'un contrôle CyFun ne compromet pas le respect d'obligations légales, réglementaires et/ou contractuelles spécifiques".

  • CyFun® est-il accepté dans toute l'UE ?

    À l’origine, le CyberFundamentals Framework est un cadre belge développé par le Centre pour la Cybersécurité Belgique (CCB) qui a néanmoins été conçu de manière à pouvoir être reconnu au niveau européen. Ce processus a été initié par BELAC. Pour l'instant, CyFun® a été enregistré dans la législation belge uniquement pour pouvoir supposer, jusqu'à preuve du contraire, que l'entité satisfait à ses obligations de cybersécurité NIS2 (présomption de conformité). Entre-temps, le cadre a été officiellement adopté par la Roumanie, qui examine désormais comment l’utiliser dans le cadre du déploiement opérationnel de NIS2. D'autres pays européens (dont la France) reconnaissent également la valeur de CyFun® et examinent comment ils pourraient reconnaître, voire adopter complètement ce cadre.

    Le CCB gère le cadre et tous les documents associés au système en tant que Primary Scheme Owner (propriétaire principal du système). Ceci fait l'objet d'une procédure formelle qui permet le déploiement de CyFun® dans d'autres pays européens.

  • Quelles sont les différences entre ISO/IEC 27001:2022 et CyFun® ?

    CyFun® est conçu pour aider les organisations à protéger leurs données, à réduire le risque de cyberattaques courantes et à accroître leur cyber-résilience. Il est basé sur quatre cadres de cybersécurité couramment utilisés (NIST CSF, ISO/IEC 27001, CIS Controls et IEC 62443) et utilise également des données historiques anonymes provenant de cyberattaques réussies pour identifier les différentes mesures du cadre. Le cadre CyFun® dispose d'un système formel d'évaluation de la conformité et se concentre sur des mesures pratiques d'identification, d'évaluation et d'atténuation des risques de cybersécurité, en mettant l'accent sur la résilience et la récupération après les cyber-incidents.

    ISO/IEC 27001:2022 est une norme internationale pour les systèmes de gestion de la sécurité de l'information (SGSI), qui fournit un cadre pour la gestion et la protection des actifs informationnels et comprend des exigences pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue d'un SGSI, conformément à d'autres normes ISO relatives aux systèmes de gestion.

    Le lien entre ISO/IEC 27001:2022 et CyFun® est visible dans la cartographie CyFun® disponible en ligne dans la CyFun®Toolbox.

  • Comment une entité peut-elle obtenir un label CyFun® ?

    Ce qui suit résume les explications détaillées dans le schéma d'évaluation de la conformité CyFun® disponible en ligne.

    Une entité juridique belge peut opter pour une vérification afin d'obtenir afin d'obtenir un label CyberFundamentals « Basic » ou « Important » associé à un code QR. Pour obtenir et utiliser le label CyberFundamentals « Basic » ou « Important », l'entité doit soumettre au CCB l'auto-évaluation qui a été vérifiée et attestée dans une déclaration de vérification par le même organisme d'évaluation de la conformité (CAB) accrédité.

    Pour le label CyberFundamentals « Essential », la même procédure s'applique, mais elle est basée sur une certification et non sur une vérification. La preuve de la mise en œuvre réussie des mesures clés doit être soumise en même temps que l'auto-évaluation. Les preuves requises pour chaque mesure clé consistent en une explication (1 page) accompagnée de preuves démontrables de la manière dont la mesure a été mise en œuvre.

    Dans tous les cas, pour chaque demande de label, le CCB vérifiera si les exigences de chaque mesure clé ont été respectées et si le niveau de maturité global a été atteint. L'autorité de certification du CCB peut demander des informations supplémentaires.

    Les entités belges peuvent obtenir un label CyberFundamentals sur la base d'un certificat ISO/IEC 27001:2022. Ce certificat doit être fourni au CCB, qui vérifiera ensuite l'éligibilité de la même manière que celle décrite dans les règles respectives pour l'obtention et l'utilisation d'un label CyberFundamentals « Basic », « Important » ou « Essential », en fonction de l'entité. L'autorité de certification du CCB (NCCA) vérifiera que la déclaration d'applicabilité justifiée (SoA) a le même niveau que le niveau d'assurance CyFun® correspondant.

  • Quelle est la portée de l'évaluation de la conformité à laquelle une entité doit se conformer dans le cadre de BE NIS2 ?

    Le champ d'application de l'évaluation de la conformité, ISO/IEC 27001:2022 et CyFun®, couvre une organisation dans son ensemble, à moins que les environnements IT/OT ne soient physiquement et/ou techniquement séparés. La séparation doit être effectuée de manière à ce que les environnements hors du champ d'application n'affectent pas les risques de l'environnement dans le champ d'application. Dans tous les cas, il convient de le préciser dans le champ d'application de l'évaluation de la conformité. Étant donné que le champ d'application couvre l'ensemble de l'organisation, cela s'applique également à la déclaration d'applicabilité prévue dans la norme ISO/IEC 27001:2022.

  • Puis-je réutiliser le CyFun Framework à des fins commerciales ?

    Le CyberFundamentals Framework est un référentiel appartenant au Centre for Cybersecurity Belgium (CCB), qui opère sous l'autorité du Premier ministre belge.

    L'acronyme "CyFun" signifie "CyberFundamentals Framework" et est une marque déposée appartenant au CCB.

    Le cadre CyFun et le CyberFundamentals schéma d'évaluation de la conformité (CAS) sont disponibles sur le site www.cyfun.be.

    L'utilisation de l'acronyme "CyFun" et/ou de parties de ce document est autorisée, à condition que la source soit clairement mentionnée.

    Toute utilisation commerciale de CyFun est soumise à un accord préalable avec le CCB.