ISO 27001 dans le cadre de NIS2 en Belgique
Connaissez-vous la possibilité d’utiliser une certification ISO 27001 dans le cadre de la législation belge NIS2 ?
Cet article présente les dernières informations communiquées par le Centre pour la Cybersécurité Belgique (CCB) concernant les conditions applicables à la certification ISO 27001 dans ce contexte.
Domaine d’application du SMSI #
Le domaine d’application du système de management de la sécurité de l’information (SMSI) couvre, en principe, l’ensemble de l’organisation. Une limitation du domaine d’application n’est possible que si les environnements IT et OT sont clairement séparés physiquement ou techniquement et à condition que toute exclusion :
- soit clairement documentée ;
- n’affecte pas les risques liés à l’environnement inclus dans le domaine d’application ;
- soit explicitement définie.
Déclaration d’applicabilité (DdA) #
La Déclaration d’applicabilité doit démontrer que votre organisation met en œuvre des mesures de cybersécurité équivalentes à celles prévues pour les niveaux d’assurance CyFun® Basic, Important ou Essential.
Si votre organisation envisage une vérification directe selon CyFun, consultez également notre page consacrée à la vérification CyFun.
Le niveau d’assurance applicable est déterminé sur la base de l’appréciation des risques de votre organisation. À cette fin, le CyFun Selection Tool est utilisé. Le niveau ainsi déterminé sert de référence pour l’évaluation réalisée dans le cadre du processus de certification ISO 27001.
Les conditions opérationnelles applicables sont précisées dans la FAQ NIS2 et CyberFundamentals de Safeonweb@work.
Prochaines étapes #
Si vous êtes intéressé, nous vous invitons à suivre les étapes ci-dessous.
- Confirmation du périmètre de certification
Vérifiez si le périmètre de certification satisfait aux conditions applicables, y compris en ce qui concerne la justification de toute exclusion. - Déclaration d’applicabilité
Évaluez la DdA au regard des mesures CyFun applicables et déterminez le niveau d’assurance CyFun défini sur la base de l’appréciation des risques.
Vérifiez également que la Déclaration d’applicabilité démontre que les mesures mises en œuvre par votre organisation sont équivalentes aux mesures correspondant à ce niveau. - Audit et évaluation
Afin de confirmer que votre certification ISO 27001 satisfait aux conditions applicables dans le contexte de la législation belge NIS2, nous réalisons un audit spécifique. Lors de cet audit, nous vérifions que les ajustements nécessaires ont effectivement été mis en œuvre au sein de votre système de management de la sécurité de l’information. Si l’ensemble des collaborateurs, des activités et des sites ne sont pas encore inclus dans le périmètre de certification actuel, cet audit spécifique peut être directement combiné avec une extension du périmètre de votre certification. - Résultat et confirmation
À l’issue du processus et après une décision positive, votre certificat ISO 27001 sera mis à jour et pourra être utilisé pour démontrer que votre organisation satisfait aux conditions applicables dans le cadre de la législation belge NIS2.
Qu’est-ce que cela signifie pour votre organisation ? #
Souhaitez-vous comprendre concrètement ce que cela implique pour votre organisation et comment utiliser votre certification ISO 27001 dans le cadre de la législation belge NIS2 ?