Quels sont les 4 niveaux CyFun ?

CyFun 2025 propose 4 niveaux d'assurance : Small (TPE / micro-organisations), Basic (PME hors NIS2), Important (entités importantes NIS2), Essential (entités essentielles NIS2). Chaque niveau cumule les exigences du niveau précédent.

Combien de contrôles pour CyFun Basic ?

Le niveau CyFun Basic compte environ 79 exigences (controls) couvrant les 13 domaines (gouvernance, RH, actifs, accès, cryptographie, physique, opérations, communications, développement, fournisseurs, incidents, continuité, conformité).

Quel niveau CyFun pour une entité essentielle NIS2 ?

Une entité essentielle NIS2 doit viser le niveau CyFun Essential (~138 exigences) pour démontrer une couverture complète des 11 mesures de l'article 30 de la loi belge.

Quelle fréquence de recertification CyFun ?

La recertification CyFun a lieu tous les 3 ans pour les niveaux Important et Essential, avec une maintenance annuelle (audit de surveillance). Le niveau Basic est généralement validé par auto-évaluation.

Comment choisir entre CyFun Important et Essential ?

Le choix dépend de la classification NIS2 de l'organisation : entité essentielle → niveau Essential ; entité importante → niveau Important. Une organisation hors champ NIS2 mais voulant démontrer un haut niveau de cybersécurité peut viser Important volontairement.

Niveaux CyFun CCB : Small, Basic, Important, Essential

Le CyFun (Cybersecurity Fundamentals) du Centre pour la Cybersécurité Belgique (CCB) propose 4 niveaux d'assurance alignés sur la classification NIS2. Chaque niveau cumule les exigences du précédent et augmente la rigueur attendue.

Tableau comparatif des 4 niveaux

Niveau	Public cible	Exigences	Validation	Recertification
Small	TPE / micro-org. (< 10 ETP)	~ 34	Auto-évaluation	Annuelle (light)
Basic	PME hors champ NIS2	~ 79	Auto-évaluation ou CAB	3 ans
Important	Entité importante NIS2	~ 117	Audit CAB obligatoire	3 ans + audit annuel
Essential	Entité essentielle NIS2	~ 138	Audit CAB obligatoire (renforcé)	3 ans + audit annuel

Les 4 niveaux en détail

CyFun Small (TPE / micro-organisations)

Niveau le plus accessible, conçu pour les organisations sans équipe IT dédiée. Exigences essentielles uniquement (mots de passe, sauvegardes, MFA simple, sensibilisation phishing). Outil d'auto-évaluation gratuit en ligne sur le portail CCB.

CyFun Basic (PME hors NIS2)

Pour les PME qui ne sont pas formellement concernées par NIS2 mais souhaitent démontrer une cyber-hygiène solide. Couvre les 13 domaines avec un niveau d'exigence proportionné. Auto-évaluation possible ou validation par un Conformity Assessment Body (CAB).

CyFun Important (Entités importantes NIS2)

Niveau attendu pour les entités importantes au sens de l'article 7 de la loi belge NIS2 (services postaux, gestion des déchets, chimie, alimentation, fabrication, fournisseurs numériques, recherche). Audit obligatoire par un CAB agréé CCB. Recertification tous les 3 ans avec audit annuel de surveillance.

CyFun Essential (Entités essentielles NIS2)

Niveau attendu pour les entités essentielles au sens de l'article 7 de la loi belge NIS2 (énergie, transport, banque, marchés financiers, santé, eau, infrastructure numérique, gestion TIC, administration publique, espace). Audit CAB renforcé, exigences accrues sur la résilience, la chaîne d'approvisionnement et la cryptographie.

Comment choisir votre niveau ?

Vérifiez votre classification NIS2 via la liste sectorielle de la loi belge du 26 avril 2024 (article 7 et annexes).
Si entité essentielle → CyFun Essential.
Si entité importante → CyFun Important.
Si PME hors NIS2 mais voulant démontrer la cybersécurité → Basic (ou Important volontaire).
Si TPE / micro-organisation → Small.

Faire le quiz d'auto-évaluation NIS2 →