Vai al contenuto principale
NIS2Certify
Torna alla panoramica

Belgio NIS2: Il framework CyFun, la scadenza del 18 aprile e cosa devono fare ora gli MSP

Di NIS2Certify
nis2belgiocyfuncyberfundamentalsccbauditmspconformitavalutazione-conformita

Il 18 aprile 2026, il Belgio è diventato il primo Stato membro dell'UE a imporre una scadenza rigida per la valutazione della conformità NIS2. Le entità essenziali che operano sotto la legge belga dovevano presentare la prova di conformità al Centre for Cybersecurity Belgium (CCB) entro quella data. Non un'auto-dichiarazione. Non una roadmap. Una valutazione effettivamente verificata da terze parti.

Se gestite la conformità NIS2 per clienti belgi — o se i vostri clienti forniscono servizi verso il Belgio — questo cambia la conversazione.

Cosa richiedeva effettivamente la scadenza del 18 aprile

La legge belga dava alle entità essenziali due percorsi di conformità:

Percorso CyberFundamentals (CyFun): Le entità essenziali dovevano ottenere almeno una dichiarazione di verifica CyFun Basic o CyFun Important da un Organismo di Valutazione della Conformità (OVC) accreditato BELAC entro il 18 aprile 2026.

Percorso ISO/IEC 27001: Le organizzazioni già certificate ISO 27001 potevano inviare il loro documento di scopo, la Dichiarazione di Applicabilità (DdA) e i risultati dell'ultimo audit interno direttamente per e-mail al CCB entro la stessa scadenza.

Nessuno dei due percorsi consente l'auto-attestazione. Il Belgio richiede esplicitamente una terza parte indipendente per verificare la conformità — un modello più rigoroso di quello che la maggior parte degli Stati membri dell'UE ha implementato finora.

La prossima scadenza rigida è il 18 aprile 2027, quando è richiesta la certificazione OVC completa per tutte le entità essenziali. Le entità importanti seguono un calendario separato, leggermente più tardivo.

Capire CyFun: il framework nazionale NIS2 del Belgio

Il framework CyberFundamentals — CyFun — è l'approccio strutturato del CCB alla conformità NIS2. Non è un sostituto di NIS2; è un'operazionalizzazione di esso per il mercato belga.

CyFun è strutturato intorno a 6 funzioni, 22 categorie e 106 sottocategorie. Si mappa direttamente sulle misure di sicurezza richieste dall'NIS2 Articolo 21, coprendo aree come gestione del rischio, controllo degli accessi, risposta agli incidenti, continuità aziendale e sicurezza della catena di fornitura.

Il framework ha quattro livelli:

  • CyFun Basic — 34 controlli, il punto di partenza per le organizzazioni più piccole
  • CyFun Important — lo standard per le "entità importanti" NIS2
  • CyFun Essential — richiesto per le "entità essenziali" NIS2
  • CyFun Critical — per i settori a rischio più elevato

Per la maggior parte dei clienti MSP in Belgio, CyFun Important o Essential è il livello pertinente. CyFun Basic è un traguardo intermedio valido ma non è sufficiente per la piena conformità NIS2 a lungo termine.

Il collo di bottiglia dell'OVC: un problema pratico per i consulenti

Ad aprile 2026, solo due organismi accreditati BELAC sono autorizzati a eseguire audit di certificazione CyFun in Belgio: Brand Compliance Belgie e What a Work SRL (Trust CHECK).

Due auditor per l'intera popolazione di entità essenziali di un intero paese è un serio vincolo di capacità. Non è una preoccupazione teorica — le organizzazioni che hanno programmato l'audit in ritardo si sono trovate impossibilitate a rispettare la scadenza del 18 aprile senza che la loro preparazione ne fosse la causa.

Per i consulenti IT e gli MSP, questo crea sia un problema che un'opportunità. Il problema: i vostri clienti hanno bisogno di slot di audit che potrebbero non essere disponibili quando ne hanno bisogno. L'opportunità: i clienti completamente preparati quando si apre uno slot completano l'audit più velocemente, riducono il tempo di impegno con l'OVC e abbassano il loro costo totale di conformità.

Preparare i clienti agli audit CyFun — analisi dei gap, controlli documentati, archivi di prove, documentazione delle politiche — è un'offerta di servizi MSP concreta. Il modello CCB è che gli MSP preparano, gli OVC verificano. Quella divisione del lavoro è un modello di business.

Cosa significa il NIS2 belga per i fornitori transfrontalieri

La legge belga NIS2 non si applica solo alle aziende belghe. Se la vostra organizzazione fornisce servizi o prodotti ICT a entità essenziali o importanti belghe, quei clienti belgi sono ora tenuti in base all'Articolo 21 a gestire la sicurezza della loro catena di fornitura — il che significa che vi chiederanno prove di conformità.

Questo rispecchia il modello che abbiamo trattato in sicurezza della catena di fornitura NIS2: i clienti a valle diventano un fattore di forza di conformità per i loro fornitori, indipendentemente da dove si trovino quei fornitori.

Se siete un MSP con sede nei Paesi Bassi, in Germania o altrove che fornisce servizi gestiti a clienti belgi, aspettatevi questionari di approvvigionamento e clausole contrattuali NIS2 nella vostra casella di posta. Il modello di applicazione belga rende questo concreto piuttosto che teorico.

Il resto dell'UE osserva

L'approccio del Belgio è osservato da vicino da altri Stati membri. Il modello CCB — verifica obbligatoria da parte di terzi, un ecosistema OVC accreditato, un framework a livelli con tappe chiare — è più strutturato di quello che la maggior parte dei paesi dell'UE ha costruito.

A maggio 2026, 21 dei 27 Stati membri dell'UE hanno recepito NIS2 nella legislazione nazionale. La Commissione Europea ha inviato pareri motivati a 19 Stati membri esigendo il recepimento completo. L'applicazione è attiva, non in attesa.

L'BSI tedesco sta eseguendo un'accelerazione parallela dell'applicazione sotto NIS2UmsuCG — l'abbiamo trattato in applicazione NIS2 Germania. L'ACN italiana ha fissato ottobre 2026 come scadenza per l'entrata in vigore dei requisiti minimi di sicurezza. L'ANSSI francese si muove verso l'applicazione secondo il proprio calendario legislativo.

Il modello è chiaro: il 2026 è l'anno in cui NIS2 passa dalla trasposizione alla supervisione attiva in tutto il blocco. Il Belgio si è semplicemente mosso per primo.

Cosa devono fare ora gli MSP

Se avete clienti belgi che sono entità essenziali o importanti:

Verificate la situazione dell'audit. Scoprite se i vostri clienti hanno programmato o completato la loro valutazione di conformità CyFun. In caso contrario, iscriveteli immediatamente a una lista d'attesa OVC — la capacità è limitata.

Eseguite un'analisi dei gap CyFun. Mappate i controlli di sicurezza attuali dei vostri clienti rispetto al livello CyFun pertinente. I gap trovati ora sono correggibili; i gap trovati durante un audit sono costosi.

Costruite l'archivio delle prove. Gli auditor CyFun vogliono controlli documentati e prove di implementazione — non solo politiche. Le politiche senza prove falliscono la verifica.

Verificate l'esposizione della catena di fornitura. Se i vostri clienti sono entità essenziali, hanno bisogno di contratti con i fornitori conformi NIS2 in base all'Articolo 21. Se siete fornitori di entità essenziali belghe, dovete essere pronti a produrre le vostre prove di conformità.

Per i clienti ancora alla linea di partenza, un'analisi strutturata dei gap NIS2 è il modo più veloce per stabilire dove si trovano effettivamente. Potete eseguire una valutazione iniziale su NIS2Certify per generare una base di riferimento prima di programmare l'audit formale dell'OVC.

La lezione più ampia dal Belgio

L'implementazione NIS2 del Belgio dimostra come appare effettivamente l'applicazione quando un regolatore costruisce un framework operativo concreto piuttosto che lasciare aperta l'interpretazione della conformità. Il framework CyFun, il modello di accreditamento OVC e la rigida scadenza del 18 aprile non hanno lasciato spazio all'ambiguità.

Per gli MSP e i consulenti IT, questo è utile — anche se i vostri clienti non sono belgi. Mostra la direzione in cui si sta muovendo l'applicazione nell'UE. I regolatori stanno costruendo ecosistemi di auditor accreditati, fissando scadenze rigide e allontanandosi dall'auto-attestazione.

Le organizzazioni che sono avanti rispetto a quella curva — completamente documentate, analizzate in termini di gap e pronte per l'audit — spenderanno meno tempo e denaro in conformità rispetto a quelle che aspettano che una scadenza forzi la questione.

Il Belgio ha già stabilito questo precedente. Il resto dell'UE si sta costruendo verso lo stesso modello.

    Belgio NIS2: Il framework CyFun, la scadenza del 18 aprile e cosa devono fare ora gli MSP — NIS2Certify