Ir al contenido principal
NIS2Certify
Volver al resumen

Bélgica NIS2: El marco CyFun, el plazo del 18 de abril y lo que los MSP deben hacer ahora

Por NIS2Certify
nis2belgicacyfuncyberfundamentalsccbauditoriamspcumplimientoevaluacion-de-conformidad

El 18 de abril de 2026, Bélgica se convirtió en el primer Estado miembro de la UE en imponer un plazo estricto de evaluación de conformidad NIS2. Las entidades esenciales que operan bajo la ley belga debían presentar prueba de conformidad al Centre for Cybersecurity Belgium (CCB) antes de esa fecha. No una autodeclaración. No una hoja de ruta. Una evaluación realmente verificada por terceros.

Si gestiona el cumplimiento de NIS2 para clientes belgas — o si sus clientes prestan servicios hacia Bélgica — esto cambia la conversación.

Lo que el plazo del 18 de abril realmente exigía

La ley belga dio a las entidades esenciales dos vías de cumplimiento:

Vía CyberFundamentals (CyFun): Las entidades esenciales debían obtener como mínimo una declaración de verificación CyFun Basic o CyFun Important de un Organismo de Evaluación de la Conformidad (OEC) acreditado por BELAC antes del 18 de abril de 2026.

Vía ISO/IEC 27001: Las organizaciones ya certificadas según ISO 27001 podían presentar su documento de alcance, Declaración de Aplicabilidad (DdA) y los resultados de su auditoría interna más reciente directamente por correo electrónico al CCB antes del mismo plazo.

Ninguna de las vías permite la autoatestación. Bélgica exige explícitamente que un tercero independiente verifique el cumplimiento — un modelo más riguroso que el que la mayoría de los Estados miembros de la UE han implementado hasta ahora.

El próximo plazo estricto es el 18 de abril de 2027, cuando se requiere la certificación OEC completa para todas las entidades esenciales. Las entidades importantes siguen un calendario separado, ligeramente más tardío.

Comprender CyFun: el marco nacional NIS2 de Bélgica

El marco CyberFundamentals — CyFun — es el enfoque estructurado del CCB para el cumplimiento de NIS2. No es un reemplazo de NIS2; es una operacionalización de él para el mercado belga.

CyFun está estructurado en torno a 6 funciones, 22 categorías y 106 subcategorías. Se mapea directamente con las medidas de seguridad requeridas por NIS2 Artículo 21, cubriendo áreas como gestión de riesgos, control de acceso, respuesta a incidentes, continuidad del negocio y seguridad de la cadena de suministro.

El marco tiene cuatro niveles:

  • CyFun Basic — 34 controles, el punto de partida para organizaciones más pequeñas
  • CyFun Important — el estándar para "entidades importantes" de NIS2
  • CyFun Essential — requerido para "entidades esenciales" de NIS2
  • CyFun Critical — para los sectores de mayor riesgo

Para la mayoría de los clientes MSP en Bélgica, CyFun Important o Essential es el nivel relevante. CyFun Basic es un hito intermedio válido pero no es suficiente para el cumplimiento completo de NIS2 a largo plazo.

El cuello de botella del OEC: un problema práctico para los consultores

En abril de 2026, solo dos organismos acreditados por BELAC están autorizados para realizar auditorías de certificación CyFun en Bélgica: Brand Compliance Belgie y What a Work SRL (Trust CHECK).

Dos auditores para toda la población de entidades esenciales de un país entero es una seria restricción de capacidad. No es una preocupación teórica — las organizaciones que dejaron la programación de auditorías para tarde se encontraron incapaces de cumplir el plazo del 18 de abril sin que su propia preparación fuera la causa.

Para los consultores de TI y los MSP, esto crea tanto un problema como una oportunidad. El problema: sus clientes necesitan espacios de auditoría que pueden no estar disponibles cuando los necesitan. La oportunidad: los clientes totalmente preparados cuando se abre un espacio pasan la auditoría más rápido, reducen el tiempo de compromiso con el OEC y reducen su costo total de cumplimiento.

Preparar a los clientes para las auditorías CyFun — análisis de brechas, controles documentados, archivos de evidencia, documentación de políticas — es una oferta de servicios MSP concreta. El modelo del CCB es que los MSP preparan, los OEC verifican. Esa división del trabajo es un modelo de negocio.

Lo que NIS2 belga significa para los proveedores transfronterizos

La ley belga NIS2 no se aplica solo a las empresas belgas. Si su organización proporciona servicios o productos TIC a entidades esenciales o importantes belgas, esos clientes belgas ahora están obligados bajo el Artículo 21 a gestionar la seguridad de su cadena de suministro — lo que significa que le pedirán evidencia de cumplimiento.

Esto refleja el patrón que cubrimos en seguridad de la cadena de suministro NIS2: los clientes intermediarios se convierten en un factor de fuerza de cumplimiento para sus proveedores, independientemente de dónde estén ubicados esos proveedores.

Si es un MSP con sede en los Países Bajos, Alemania o en otro lugar que presta servicios gestionados a clientes belgas, espere cuestionarios de adquisición y cláusulas contractuales NIS2 en su bandeja de entrada. El modelo de aplicación belga hace que esto sea concreto en lugar de teórico.

El resto de la UE observa

El enfoque de Bélgica está siendo observado de cerca por otros Estados miembros. El modelo del CCB — verificación obligatoria por terceros, un ecosistema OEC acreditado, un marco escalonado con hitos claros — está más estructurado que lo que la mayoría de los países de la UE han construido.

En mayo de 2026, 21 de los 27 Estados miembros de la UE han transpuesto NIS2 a la legislación nacional. La Comisión Europea ha enviado dictámenes motivados a 19 Estados miembros exigiendo la transposición completa. La aplicación está activa, no pendiente.

El BSI alemán está ejecutando una aceleración paralela de la aplicación bajo NIS2UmsuCG — lo cubrimos en aplicación NIS2 Alemania. La ACN italiana ha fijado octubre de 2026 como plazo para que entren en vigor los requisitos mínimos de seguridad. La ANSSI francesa avanza hacia la aplicación según su propio calendario legislativo.

El patrón es claro: 2026 es el año en que NIS2 pasa de la transposición a la supervisión activa en todo el bloque. Bélgica simplemente se movió primero.

Lo que los MSP deben hacer ahora mismo

Si tiene clientes belgas que son entidades esenciales o importantes:

Audite la situación de auditoría. Averigüe si sus clientes han programado o completado su evaluación de conformidad CyFun. Si no, póngalos en una lista de espera OEC de inmediato — la capacidad es limitada.

Realice un análisis de brechas CyFun. Mapee los controles de seguridad actuales de sus clientes frente al nivel CyFun relevante. Las brechas encontradas ahora son corregibles; las brechas encontradas durante una auditoría son costosas.

Construya el archivo de evidencias. Los auditores CyFun quieren controles documentados y evidencia de implementación — no solo políticas. Las políticas sin evidencia fallan en la verificación.

Verifique la exposición de la cadena de suministro. Si sus clientes son entidades esenciales, necesitan contratos de proveedores conformes con NIS2 bajo el Artículo 21. Si es proveedor de entidades esenciales belgas, debe estar preparado para producir su propia evidencia de cumplimiento.

Para los clientes que aún están en la línea de salida, un análisis de brechas NIS2 estructurado es la forma más rápida de establecer dónde se encuentran realmente. Puede ejecutar una evaluación inicial en NIS2Certify para generar una línea base antes de programar la auditoría formal del OEC.

La lección más amplia de Bélgica

La implementación NIS2 de Bélgica demuestra cómo se ve realmente la aplicación cuando un regulador construye un marco operativo concreto en lugar de dejar la interpretación del cumplimiento abierta. El marco CyFun, el modelo de acreditación OEC y el plazo estricto del 18 de abril no dejaron lugar a la ambigüedad.

Para los MSP y consultores de TI, eso es útil — incluso si sus clientes no son belgas. Muestra la dirección en que se dirige la aplicación en la UE. Los reguladores están construyendo ecosistemas de auditores acreditados, fijando plazos estrictos y alejándose de la autoatestación.

Las organizaciones que están por delante de esa curva — completamente documentadas, analizadas en cuanto a brechas y listas para la auditoría — gastarán menos tiempo y dinero en cumplimiento que aquellas que esperan que un plazo fuerce el asunto.

Bélgica ya ha establecido ese precedente. El resto de la UE se está construyendo hacia el mismo modelo.

    Bélgica NIS2: El marco CyFun, el plazo del 18 de abril y lo que los MSP deben hacer ahora — NIS2Certify