Przejdź do treści głównej
NIS2Certify
Powrót do przeglądu

Belgia NIS2: Framework CyFun, termin 18 kwietnia i co MSP powinny teraz zrobić

Autor: NIS2Certify
nis2belgiacyfuncyberfundamentalsccbaudytmspzgodnoscocena-zgodnosci

18 kwietnia 2026 roku Belgia stała się pierwszym państwem członkowskim UE, które narzuciło twardy termin oceny zgodności NIS2. Podmioty kluczowe działające na podstawie prawa belgijskiego musiały złożyć dowód zgodności w Centre for Cybersecurity Belgium (CCB) przed tą datą. Nie samo-deklarację. Nie mapę drogową. Faktyczną ocenę zweryfikowaną przez stronę trzecią.

Jeśli zarządzasz zgodnością NIS2 dla belgijskich klientów — lub jeśli twoi klienci świadczą usługi do Belgii — to zmienia rozmowę.

Czego faktycznie wymagał termin 18 kwietnia

Prawo belgijskie dało podmiotom kluczowym dwie ścieżki zgodności:

Ścieżka CyberFundamentals (CyFun): Podmioty kluczowe musiały uzyskać co najmniej oświadczenie weryfikacyjne CyFun Basic lub CyFun Important od akredytowanego przez BELAC Organu Oceny Zgodności (OOZ) do 18 kwietnia 2026.

Ścieżka ISO/IEC 27001: Organizacje już certyfikowane według ISO 27001 mogły przesłać swój dokument zakresu, Oświadczenie o Stosowności (OoS) i wyniki ostatniego audytu wewnętrznego bezpośrednio e-mailem do CCB przed tym samym terminem.

Żadna ze ścieżek nie pozwala na samo-atestację. Belgia wyraźnie wymaga niezależnej strony trzeciej do weryfikacji zgodności — model bardziej rygorystyczny niż to, co większość państw członkowskich UE wdrożyła do tej pory.

Następny twardy termin to 18 kwietnia 2027, kiedy pełna certyfikacja OOZ jest wymagana dla wszystkich podmiotów kluczowych. Podmioty ważne podlegają oddzielnemu, nieco późniejszemu harmonogramowi.

Rozumienie CyFun: belgijski krajowy framework NIS2

Framework CyberFundamentals — CyFun — to ustrukturyzowane podejście CCB do zgodności z NIS2. Nie jest zastępstwem NIS2; jest jego operacjonalizacją dla rynku belgijskiego.

CyFun jest ustrukturyzowany wokół 6 funkcji, 22 kategorii i 106 podkategorii. Mapuje bezpośrednio na środki bezpieczeństwa wymagane przez NIS2 Artykuł 21, obejmując obszary takie jak zarządzanie ryzykiem, kontrola dostępu, reagowanie na incydenty, ciągłość działania i bezpieczeństwo łańcucha dostaw.

Framework ma cztery poziomy:

  • CyFun Basic — 34 kontrole, punkt wyjścia dla mniejszych organizacji
  • CyFun Important — standard dla "podmiotów ważnych" NIS2
  • CyFun Essential — wymagany dla "podmiotów kluczowych" NIS2
  • CyFun Critical — dla sektorów o najwyższym ryzyku

Dla większości klientów MSP w Belgii CyFun Important lub Essential jest odpowiednim poziomem. CyFun Basic jest ważnym pośrednim kamieniem milowym, ale nie jest wystarczający dla pełnej zgodności NIS2 w dłuższej perspektywie.

Wąskie gardło OOZ: praktyczny problem dla konsultantów

Od kwietnia 2026 roku tylko dwa organy akredytowane przez BELAC są uprawnione do przeprowadzania audytów certyfikacyjnych CyFun w Belgii: Brand Compliance Belgie i What a Work SRL (Trust CHECK).

Dwóch audytorów dla całej populacji podmiotów kluczowych całego kraju to poważne ograniczenie pojemności. To nie jest teoretyczna obawa — organizacje, które zbyt późno zaplanowały audyt, znalazły się w sytuacji, gdy nie mogły dotrzymać terminu 18 kwietnia, choć nie z powodu własnej niepreparacji.

Dla konsultantów IT i MSP stwarza to zarówno problem, jak i szansę. Problem: twoi klienci potrzebują slotów audytowych, które mogą nie być dostępne, gdy ich potrzebują. Szansa: klienci w pełni przygotowani, gdy slot się otworzy, przechodzą audyt szybciej, skracają czas zaangażowania OOZ i obniżają całkowity koszt zgodności.

Przygotowywanie klientów do audytów CyFun — analiza luk, udokumentowane kontrole, archiwum dowodów, dokumentacja polityk — to konkretna oferta usług MSP. Model CCB zakłada, że MSP przygotowują, OOZ weryfikują. Ten podział pracy jest modelem biznesowym.

Co belgijskie NIS2 oznacza dla dostawców transgranicznych

Belgijskie prawo NIS2 nie dotyczy tylko belgijskich firm. Jeśli twoja organizacja świadczy usługi lub dostarcza produkty ICT belgijskim podmiotom kluczowym lub ważnym, te belgijskie podmioty są teraz zobowiązane na mocy Artykułu 21 do zarządzania bezpieczeństwem łańcucha dostaw — co oznacza, że będą prosić cię o dowody zgodności.

Odzwierciedla to wzorzec, który omówiliśmy w bezpieczeństwo łańcucha dostaw NIS2: klienci downstream stają się czynnikiem wymuszającym zgodność dla swoich dostawców, niezależnie od tego, gdzie ci dostawcy mają siedzibę.

Jeśli jesteś MSP z siedzibą w Holandii, Niemczech lub gdzie indziej, świadczącym zarządzane usługi dla belgijskich klientów, spodziewaj się kwestionariuszy zamówień i klauzul kontraktowych NIS2 w swojej skrzynce odbiorczej. Belgijski model egzekwowania sprawia, że jest to konkretne, a nie teoretyczne.

Reszta UE obserwuje

Podejście Belgii jest uważnie obserwowane przez inne państwa członkowskie. Model CCB — obowiązkowa weryfikacja przez stronę trzecią, akredytowany ekosystem OOZ, wielopoziomowy framework z jasnymi kamieniami milowymi — jest bardziej ustrukturyzowany niż to, co zbudowała większość krajów UE.

Od maja 2026 roku 21 z 27 państw członkowskich UE transponowało NIS2 do prawa krajowego. Komisja Europejska wysłała uzasadnione opinie do 19 państw członkowskich żądając pełnej transpozycji. Egzekwowanie jest aktywne, nie oczekujące.

Niemiecki BSI prowadzi równoległe przyspieszenie egzekwowania pod NIS2UmsuCG — omówiliśmy to w egzekwowanie NIS2 Niemcy. Włoskie ACN ustaliło październik 2026 jako termin wejścia w życie minimalnych wymagań bezpieczeństwa. Francuskie ANSSI zmierza ku egzekwowaniu zgodnie z własnym harmonogramem legislacyjnym.

Wzorzec jest jasny: 2026 to rok, w którym NIS2 przechodzi od transpozycji do aktywnego nadzoru w całym bloku. Belgia po prostu poszła pierwsza.

Co MSP powinny zrobić teraz

Jeśli masz belgijskich klientów, którzy są podmiotami kluczowymi lub ważnymi:

Zbadaj sytuację audytową. Dowiedz się, czy twoi klienci zaplanowali lub ukończyli ocenę zgodności CyFun. Jeśli nie, zapisz ich natychmiast na listę oczekujących OOZ — pojemność jest ograniczona.

Przeprowadź analizę luk CyFun. Zmapuj aktualne kontrole bezpieczeństwa swoich klientów względem odpowiedniego poziomu CyFun. Luki znalezione teraz są naprawialne; luki znalezione podczas audytu są kosztowne.

Zbuduj archiwum dowodów. Audytorzy CyFun chcą udokumentowanych kontroli i dowodów wdrożenia — nie tylko polityk. Polityki bez dowodów nie przechodzą weryfikacji.

Sprawdź ekspozycję łańcucha dostaw. Jeśli twoi klienci są podmiotami kluczowymi, potrzebują kontraktów z dostawcami zgodnych z NIS2 na podstawie Artykułu 21. Jeśli jesteś dostawcą belgijskich podmiotów kluczowych, musisz być gotowy do przedstawienia własnych dowodów zgodności.

Dla klientów wciąż na linii startu, ustrukturyzowana analiza luk NIS2 to najszybszy sposób na ustalenie, gdzie faktycznie się znajdują. Możesz przeprowadzić wstępną ocenę na NIS2Certify, aby wygenerować punkt odniesienia przed zaplanowaniem formalnego audytu OOZ.

Szersza lekcja z Belgii

Wdrożenie NIS2 przez Belgię pokazuje, jak faktycznie wygląda egzekwowanie, gdy regulator buduje konkretne ramy operacyjne zamiast pozostawiać interpretację zgodności otwartą. Framework CyFun, model akredytacji OOZ i twardy termin 18 kwietnia nie pozostawiły miejsca na niejednoznaczność.

Dla MSP i konsultantów IT jest to przydatne — nawet jeśli twoi klienci nie są belgijscy. Pokazuje kierunek, w którym zmierza egzekwowanie w UE. Regulatorzy budują akredytowane ekosystemy audytorów, wyznaczają twarde terminy i odchodzą od samo-atestacji.

Organizacje wyprzedzające tę krzywą — w pełni udokumentowane, poddane analizie luk i gotowe na audyt — będą wydawać mniej czasu i pieniędzy na zgodność niż te, które czekają, aż termin wymusi działanie.

Belgia już ustanowiła ten precedens. Reszta UE buduje w kierunku tego samego modelu.

    Belgia NIS2: Framework CyFun, termin 18 kwietnia i co MSP powinny teraz zrobić — NIS2Certify