Tous les articles
8
min
NIS 2

NIS2 et ISO 27001 : tout ce que vous devez savoir avant de vous lancer

"On est certifiés ISO 27001, donc on est conformes NIS2." Cette affirmation revient souvent dans les comités de direction — et elle est inexacte. Mais la relation entre NIS2 et ISO 27001 est plus subtile qu'un simple "suffisant" ou "insuffisant". Voici ce que couvre réellement la norme, là où elle ne va pas assez loin, et comment l'utiliser comme un vrai accélérateur de conformité.

À retenir — Les 3 niveaux à distinguer

Niveau Nature Exemples
Obligatoire
(directive européenne)		 Exigences de fond — Article 21 NIS2 Gestion des risques, incidents, continuité, supply chain, MFA, vulnérabilités
Compléments réglementaires Directement applicables, sans transposition Acte d'exécution pour prestataires numériques (MSP, cloud, MSSP)
Bonne pratique Utile, valorisable, non obligatoire ISO 27001, SOC interne, certifications complémentaires

La certification ISO 27001 appartient à la troisième catégorie. C'est un outil puissant, pas une obligation.

NIS2 n'impose aucun référentiel : ce que dit exactement le texte

La première chose à retenir est simple : NIS2 est délibérément non prescriptive sur les moyens.

"Les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information."
— Directive (UE) 2022/2555, article 21

La directive définit des résultats attendus et des capacités à démontrer. Elle laisse aux organisations le choix des moyens. Aucune norme, aucun outil, aucune certification n'est imposé. Ce qui compte : pouvoir expliquer et justifier ce que vous faites, de manière cohérente avec les risques identifiés.

Partant de là, ISO 27001 n'est ni obligatoire, ni la seule voie — mais c'est un levier particulièrement efficace, à condition de savoir l'utiliser.

Ce que NIS2 exige concrètement : les 8 domaines de l'article 21

L'article 21 ne se limite pas à demander "une analyse de risques". Il liste des catégories de mesures minimales, toutes à couvrir de manière appropriée et proportionnée :

  1. Politiques de sécurité et gestion des risques — processus d'identification, d'évaluation et de traitement des risques cyber
  2. Gestion des incidents — détection, qualification, réponse, notification réglementaire
  3. Continuité d'activité — plans de sauvegarde (backup), reprise après sinistre (disaster recovery), gestion de crise (crisis management) : ces trois termes sont explicitement cités dans la directive
  4. Sécurité de la chaîne d'approvisionnement — maîtrise des fournisseurs et prestataires critiques
  5. Sécurité lors de l'acquisition, du développement et de la maintenance des systèmes et réseaux
  6. Gestion et divulgation des vulnérabilités — identification, traitement, coordination
  7. Hygiène cyber et formation — politiques de base, sensibilisation, pratiques minimales
  8. Cryptographie, contrôle des accès et authentification multifacteur (MFA) — exigés explicitement dans le texte

La conséquence directe : une organisation ne peut pas se contenter d'une bonne analyse de risques. L'analyse de risques est le point de départ pour calibrer les mesures. Les 8 domaines ci-dessus constituent le périmètre à couvrir.

Ce qu'ISO 27001 apporte réellement à votre démarche NIS2

ISO 27001 est une norme internationale de système de management de la sécurité de l'information (SMSI). Elle apporte précisément ce que NIS2 ne détaille pas : le "comment".

Sur la gouvernance

NIS2 impose une responsabilité claire de la direction (article 20). ISO 27001 fournit un cadre formalisé pour définir une politique de sécurité approuvée par la direction, formaliser les rôles et responsabilités, organiser le pilotage et le reporting. C'est un point de forte convergence — à condition que l'implication de la direction soit réelle et traçable, pas seulement déclarative.

Sur la gestion des risques

La gestion des risques est au cœur de l'article 21. ISO 27001 apporte une méthodologie complète : analyse, traitement, priorisation, traçabilité des décisions. C'est le point de meilleure convergence entre les deux référentiels.

La vigilance porte sur un point : l'analyse de risques doit couvrir les services critiques, les dépendances externes et les scénarios cyber crédibles — pas uniquement l'ensemble du SI dans une logique théorique.

Sur les mesures de sécurité

L'Annexe A d'ISO 27001 propose un catalogue structuré de contrôles organisationnels, humains et techniques — un point de départ solide pour sélectionner et justifier ses mesures face aux 8 domaines de l'article 21. Les contrôles couvrent notamment la cryptographie, la gestion des accès et les aspects RH, en convergence directe avec les exigences NIS2.

Sur l'amélioration continue

NIS2 n'est pas une conformité figée. ISO 27001 intègre nativement des revues régulières, des audits internes et un cycle PDCA — ce qui permet de démontrer que la cybersécurité est pilotée dans la durée, un élément clé en cas de contrôle.

Ce qu'ISO 27001 ne couvre pas suffisamment : les 4 zones de vigilance

1. La notification d'incidents réglementaire

ISO 27001 intègre la gestion des incidents, mais pas les délais réglementaires NIS2 ni le processus de notification en 3 temps imposé par l'article 23 :

Étape Délai NIS2 Couvert par ISO 27001 ?
Alerte précoce 24 heures ❌ Partiellement
Notification d'incident 72 heures ❌ Partiellement
Rapport final Dans le mois ❌ Partiellement

ISO 27001 structure le processus interne de gestion des incidents. La dimension réglementaire (qui notifier, quand, sous quelle forme) nécessite un complément spécifique NIS2.

2. La sécurité de la chaîne d'approvisionnement (supply chain)

C'est un point critique souvent sous-estimé dans les SMSI ISO 27001. NIS2 en fait une obligation explicite (article 21) avec des attentes précises :

  • Évaluation des risques fournisseurs : classification selon la criticité pour vos services
  • Exigences contractuelles de sécurité : clauses cyber dans les contrats fournisseurs critiques
  • Suivi des risques tiers dans le temps : pas seulement au moment de l'onboarding

ISO 27001 couvre la sécurité des relations fournisseurs (contrôles de l'Annexe A), mais l'application opérationnelle reste souvent insuffisante face aux attentes NIS2. C'est fréquemment le premier écart identifié lors d'une analyse de conformité.

3. Les actes d'exécution pour les prestataires numériques

Pour les MSP, MSSP, fournisseurs cloud et opérateurs de centres de données, NIS2 est complétée par un règlement d'exécution européen directement applicable, sans attendre la transposition nationale. Ce texte décrit des attentes opérationnelles très précises adaptées aux environnements multi-clients et mutualisés : gestion des incidents à impact systémique, continuité de services partagés, maîtrise de la sous-traitance en chaîne.

ISO 27001 seule est insuffisante pour ces acteurs, sans lecture et intégration de cet acte d'exécution.

4. La supervision et les sanctions réglementaires

Les pouvoirs des autorités compétentes, les processus de contrôle et les mécanismes de sanction relèvent du droit public, hors périmètre de toute norme de management. ISO 27001 ne vous prépare pas à un contrôle réglementaire : elle vous aide à avoir quelque chose à montrer lors de ce contrôle.

Le tableau de correspondance NIS2 ↔ ISO 27001

Exigence NIS2 (Article 21) Apport ISO 27001 Ce qu'il faut compléter
Gouvernance et responsabilité (Art. 20) Politique SSI, rôles, engagement direction Traçabilité réelle des décisions, formation direction
Gestion des risques cyber Méthodologie complète, registre des risques Scénarios cyber crédibles, services critiques
Gestion des incidents Processus partiellement couvert Notification réglementaire (24h / 72h / 1 mois)
Continuité (backup, DR, gestion de crise) PCA/PRA intégrés au SMSI Tests effectifs, scénarios cyber, intégration fournisseurs
Sécurité supply chain Contrôles Annexe A (relations fournisseurs) Évaluation, clauses contractuelles, suivi des risques tiers
Vulnérabilités, MFA, cryptographie Contrôles Annexe A Actes d'exécution sectoriels si applicable
Amélioration continue Audits, revues, actions correctives Dynamique de preuves en cas de contrôle

ISO 27001 comme accélérateur : la trajectoire vers la certification européenne

Le cadre réglementaire évolue. La Commission européenne développe un cadre européen de certification en cybersécurité (ECCF), piloté par l'ENISA, qui a vocation à produire des preuves standardisées utilisables par les autorités de supervision NIS2. Ce cadre est en cours de structuration au niveau européen, il n'est pas encore opérationnel à ce stade.

Dans cette perspective, disposer d'une certification ISO 27001 constitue un avantage stratégique concret : un SMSI structuré, des processus documentés, une gouvernance éprouvée et des preuves auditables directement réutilisables lorsque les premiers schémas de certification européens seront disponibles. ISO 27001 n'est pas redondante, c'est un accélérateur vers la maturité NIS2, à condition de ne pas la traiter comme une fin en soi.

Comment utiliser ISO 27001 intelligemment dans votre démarche NIS2

À faire :

  • Utiliser ISO 27001 comme colonne vertébrale de votre programme NIS2
  • Rendre explicite ce qui est déjà couvert, ce qui doit être complété, ce qui doit être justifié
  • Adapter l'analyse de risques aux services critiques NIS2, pas à l'ensemble théorique du SI
  • Intégrer les exigences de notification réglementaire dans votre procédure de gestion des incidents
  • Renforcer spécifiquement la partie supply chain : évaluation, contrats, suivi

À éviter :

  • Considérer la certification ISO 27001 comme un "ticket de conformité NIS2"
  • Appliquer ISO 27001 à la lettre sans lire NIS2 et ses actes d'exécution
  • Produire une documentation volumineuse sans usage opérationnel réel
  • Négliger les actes d'exécution si vous êtes prestataire numérique

La règle d'or : cohérence plutôt que volume

Que vous soyez certifié ISO 27001 ou non, la conformité NIS2 se joue moins dans la quantité de contrôles que dans la cohérence globale du dispositif : politique cohérente avec les risques identifiés, mesures justifiées, preuves utilisables.

Mini-diagnostic : Si vous êtes certifié ISO 27001 avec un SMSI réellement opérationnel, vous avez probablement couvert 60 à 80% des attendus NIS2 — principalement sur la gouvernance, l'analyse de risques et les mesures techniques. Les 20 à 40% restants portent surtout sur la notification réglementaire, la supply chain et les éventuels actes d'exécution sectoriels. C'est là que se joue votre trajectoire de conformité.

Un contrôleur NIS2 n'évalue pas la sophistication de vos outils. Il évalue votre capacité à expliquer vos choix, démontrer vos pratiques et corriger vos écarts, exactement ce qu'un SMSI ISO 27001 bien tenu vous permet de faire.

👉 Faites notre autodiagnostic NIS 2 en moins de 5 minutes et identifiez précisément vos écarts NIS2, que vous soyez certifié ISO 27001 ou non.

Rejoignez la newsletter
Des conseils, analyses et actualités sur la cybersécurité chaque mois dans votre boite mail ! 
En savoir plus sur nos politiques de confidentialités.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Plus de contenu

Nos derniers articles de Blog

Voir tous les articles
ISO 27090 : Comprendre le futur standard de cybersécurité pour les Systèmes d'IA

Prompt injection, data poisoning, vol de modèle… Les systèmes d'IA introduisent de nouvelles surfaces d'attaque que la cybersécurité classique ne couvre plus. Découvrez ce qu'apporte ISO 27090, le futur standard de sécurité IA et comment l'intégrer à votre stratégie/

Lire l'article
NIS2 et ISO 27001 : tout ce que vous devez savoir avant de vous lancer

ISO 27001 est souvent présentée comme la réponse naturelle à NIS2. C'est un raccourci dangereux. La norme couvre entre 60 et 80% des attendus de la directive — mais laisse des angles morts critiques : notification réglementaire en 24h/72h, sécurité supply chain, actes d'exécution pour les prestataires numériques. Voici ce que dit exactement l'article 21, où ISO 27001 accélère votre conformité, et où elle ne suffit pas.

Lire l'article
Obligations NIS2 : ce que la directive impose concrètement aux dirigeants

Les obligations NIS2 de la direction vont bien au-delà d'une simple information cyber en comité. La directive impose : approbation des mesures de gestion des risques, supervision de leur mise en œuvre, formation obligatoire et responsabilité personnelle en cas de manquement. Découvrez ce que disent exactement les articles 20, 21 et 23, et les 5 premières actions à lancer.

Lire l'article
Rejoignez la newsletter
1 email/ mois

Des conseils, analyses et actualités sur la cybersécurité chaque mois dans votre boite mail ! 

Services
Accompagnement certification
Mise en conformité
Maintien conformité
Accompagnement HDS
Accompagnement ISO 27001
Accompagnement ISO 9001
Accompagnement Oversecur
Solution (Oversecur)
L'outil Oversecur
Les offres
Formations
RGPD
Sécurité de l’information
Données de santé
ISO 27001
ISO 9001
HDS
SECNUMCLOUD
Normes & Directives
ISO 9001
ISO 27001
HDS
ISO 42001
TISAX
SecNumCloud
SOC 2
NIS 2
RGPD
ISO 20000
ISO 13485
Ressources
Articles de blog
Guide du dirigeant
Webinaires & Événements
Guides et Ebooks
Autodiagnostic ISO 27001
Autodiagnostic NIS 2
A propos
Qui sommes-nous
Nous contacter
FeelAgile logo blanc
Logo afaq ISO 27001 Sécurité de l'information AFNOR CERTIFICATION.
Logo certifié qualiopi

©2025 FeelAgile

Certificat qualiopi
Politique de confidentialité
Mentions légales