Certification CyFun Essential : préparer l'échéance du 18 avril 2027

Publié le — par Matthieu Roland

18/04/2027Échéance selon le calendrier CCB
6-12 moisRemédiation selon maturité
3 ansCycle de recertification

Nous sommes le 1er juillet 2026 : il reste un peu plus de neuf mois avant le 18 avril 2027. Selon le calendrier publié par le CCB, c'est à cette date que les entités essentielles doivent disposer d'une certification CyFun au niveau d'assurance requis — le niveau Essential pour la plupart d'entre elles. Neuf mois, c'est exactement la durée d'un parcours de certification bien mené pour une organisation de maturité moyenne. Autrement dit : l'été 2026 est la dernière fenêtre de départ confortable. Cette page détaille les étapes, les durées réalistes et un rétroplanning mois par mois.

Ce que dit le calendrier du CCB

Le calendrier publié par le CCB pour les entités essentielles s'articule en deux jalons :

Rappelons le cadre : la certification CyFun est l'une des trois voies offertes aux entités essentielles pour démontrer leur conformité à la loi du 26 avril 2024, aux côtés de la certification ISO 27001 et de l'inspection directe par le CCB. Le 18 avril 2027 est aussi la date de fin de coexistence entre CyFun 2023 et CyFun 2025 : une démarche lancée aujourd'hui a donc tout intérêt à viser directement la version 2025.

Qui est concerné ?

Sont concernées au premier chef les entités essentielles au sens de la loi belge : les grandes organisations des 11 secteurs hautement critiques de l'annexe I — énergie, transport, banque et infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructure numérique, gestion de services TIC, administration publique et espace — ainsi que les cas particuliers désignés (DNS, prestataires de confiance qualifiés, etc.). Le point de départ de toute démarche reste l'enregistrement auprès du CCB, obligatoire depuis le 18 mars 2025, qui officialise votre classification.

Les entités importantes ne sont pas visées par ce jalon de certification : leur supervision est uniquement ex post. Elles peuvent néanmoins se soumettre volontairement au régime des essentielles — et donc viser une certification — pour bénéficier d'une présomption de conformité, un argument de plus en plus demandé par les donneurs d'ordre.

Les étapes vers la certification, avec des durées réalistes

Étape 1 — Self-assessment CyFun : 2 à 4 semaines

L'auto-évaluation sur la grille CyFun (via Safeonweb@Work) est le point de départ. Bien menée — avec preuves à l'appui, pas au doigt mouillé — elle demande 2 à 4 semaines et produit deux livrables : un score par exigence et une liste d'écarts. Nos outils en ligne permettent de préparer l'exercice.

Étape 2 — Remédiation : 6 à 12 mois selon la maturité

C'est la phase longue. Comptez, en ordre de grandeur constaté sur le terrain : 6 mois pour une organisation déjà structurée (politiques en place, MFA généralisé, sauvegardes testées), 9 à 12 mois pour une maturité moyenne, davantage si tout est à construire. Les chantiers les plus longs sont la gouvernance (fonction GOVERN de CyFun 2025), la chaîne d'approvisionnement (avenants contractuels) et la journalisation/détection. Notre page coût de la conformité NIS2 aide à budgéter ; un RSSI externalisé permet de piloter sans recruter.

Étape 3 — Audit de certification par un CAB

La certification est délivrée par un CAB (Conformity Assessment Body) accrédité, non par le CCB lui-même. L'audit porte sur le dispositif documenté et son fonctionnement réel ; les non-conformités relevées doivent être traitées avant la délivrance du certificat. Prévoyez la réservation du CAB plusieurs mois à l'avance : à l'approche de l'échéance d'avril 2027, les agendas des auditeurs se remplissent. Le certificat s'inscrit ensuite dans un cycle : recertification tous les 3 ans et audit annuel de surveillance pour les niveaux Important et Essential.

Rétroplanning mois par mois depuis juillet 2026

Rétroplanning indicatif pour une entité essentielle de maturité moyenne qui démarre maintenant :

PériodeJalonLivrables clés
Juillet 2026Cadrage et self-assessmentPérimètre, sponsor direction, self-assessment CyFun 2025 documenté
Août 2026Gap analysis et plan de remédiationListe d'écarts priorisée, budget, planning, choix de la version (2025 recommandé)
Septembre - octobre 2026Quick winsPolitiques approuvées, MFA, sauvegardes testées, formation des dirigeants (art. 32)
Novembre 2026 - janvier 2027Chantiers de fondGouvernance (GOVERN), supply chain, journalisation, gestion des incidents et notification
Décembre 2026 au plus tardRéservation du CABContrat signé avec l'organisme de certification, dates d'audit bloquées
Février 2027Audit à blancPré-audit interne ou externe, correction des derniers écarts
Mars 2027Audit de certificationAudit CAB, plan de traitement des non-conformités éventuelles
Avril 2027CertificationLevée des non-conformités, délivrance du certificat avant le 18 avril 2027

Les risques si vous démarrez trop tard

L'alternative ISO 27001

La certification ISO 27001 constitue la deuxième voie de démonstration reconnue pour les entités essentielles. Elle a du sens si votre organisation est internationale, si vos clients l'exigent déjà, ou si un SMSI est en place. CyFun garde l'avantage du contexte belge : référentiel du régulateur, self-assessment outillé via Safeonweb@Work, lecture directe par le CCB. Notre comparatif CyFun vs ISO 27001 détaille les critères de choix ; le mapping entre référentiels permet de réutiliser l'existant quel que soit le chemin retenu.

FAQ — Certification CyFun Essential

La certification CyFun Essential est-elle obligatoire ?

La certification CyFun est l'une des trois voies permettant à une entité essentielle de démontrer sa conformité NIS2, avec la certification ISO 27001 et l'inspection par le CCB. Selon le calendrier publié par le CCB, l'échéance du 18 avril 2027 correspond à une certification CyFun au niveau d'assurance requis — Essential pour la plupart des entités essentielles. Une entité peut préférer la voie ISO 27001 ou s'en remettre à l'inspection, mais la certification CyFun reste la voie la plus balisée en Belgique.

Combien de temps prend une certification CyFun Essential ?

En pratique : 2 à 4 semaines pour un self-assessment sérieux, 6 à 12 mois de remédiation selon la maturité de départ, puis l'audit de certification par un CAB avec le traitement des éventuelles non-conformités. Un parcours complet demande donc généralement 9 à 15 mois pour une organisation de maturité moyenne.

Qui délivre la certification CyFun ?

La certification est délivrée par un CAB (Conformity Assessment Body), un organisme d'évaluation de la conformité accrédité. Le CCB n'audite pas lui-même les entités dans ce cadre : il définit le référentiel et le schéma, les CAB réalisent les audits et délivrent les certificats.

Quelle est la durée de validité de la certification ?

Pour les niveaux Important et Essential, la recertification intervient tous les 3 ans, avec un audit annuel de surveillance entre deux cycles. La certification n'est donc pas un projet ponctuel mais l'entrée dans un cycle de maintien.

Que se passe-t-il si je ne suis pas certifié au 18 avril 2027 ?

Une entité essentielle sans certification ni alternative reconnue devra démontrer sa conformité par la voie la moins confortable : l'inspection par le CCB. En cas de manquement constaté, la loi prévoit des mesures correctrices et des amendes pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires mondial, ainsi que la responsabilité personnelle des dirigeants (article 32).

Faut-il se certifier sur CyFun 2023 ou CyFun 2025 ?

Les deux versions coexistent jusqu'au 18 avril 2027 et le choix est libre jusqu'à cette date. Pour une démarche entamée en 2026, viser directement CyFun 2025 est généralement le plus rationnel : c'est la version alignée sur le NIST CSF 2.0 qui restera la référence après la fin de la coexistence.

Sources officielles

Neuf mois : le compte à rebours a commencé

Cryptaguard vous emmène du self-assessment à la certification : gap analysis, plan de remédiation, pilotage des chantiers, préparation de l'audit CAB. Découvrez nos services d'accompagnement CyFun et bloquez votre créneau de démarrage avant la rentrée.

Lancer mon parcours de certification →