NIS 28 min de lectureMis à jour mars 2026

NIS 2 vs ISO 27001 : comment ils se complètent

NIS 2 et ISO 27001 sont deux des cadres de cybersécurité les plus importants pour les organisations opérant en Europe. Bien que NIS 2 soit une exigence réglementaire et ISO 27001 une norme de certification volontaire, ils partagent un terrain commun significatif. Comprendre leur relation aide les organisations à construire une stratégie de conformité efficace qui satisfait les deux.

Robin Coste

•

Co-founder

Robin is a co-founder of Bastion, bringing extensive experience in compliance automation and security strategy. Previously, he led compliance as a tech lead at Palantir. He helps startups navigate the complexities of SOC 2 and ISO 27001 certification.

SOC 2ISO 27001Compliance AutomationSecurity Strategy

Points clés

Point	Résumé
Nature	NIS 2 est une directive européenne (obligatoire) ; ISO 27001 est une norme internationale (volontaire)
Relation	NIS 2 fait explicitement référence aux normes internationales comme ISO 27001 comme base de conformité
Chevauchement	Environ 70-80 % des contrôles ISO 27001 correspondent aux exigences NIS 2
Différences clés	NIS 2 ajoute des délais de signalement d'incidents, la responsabilité de la direction et des obligations sectorielles spécifiques
Recommandation	Poursuivre ISO 27001 est l'une des voies les plus efficaces vers la conformité NIS 2

Réponse rapide : ISO 27001 et NIS 2 se complètent fortement. La certification ISO 27001 couvre environ 70-80 % des exigences NIS 2. Les ajouts principaux de NIS 2 sont les délais obligatoires de signalement des incidents, la responsabilité explicite de la direction, les exigences de sécurité de la chaîne d'approvisionnement et les obligations sectorielles spécifiques. Poursuivre les deux offre une couverture complète.

Différences fondamentales

Aspect	NIS 2	ISO 27001
Type	Directive européenne (loi)	Norme internationale (volontaire)
Périmètre	Secteurs et tailles d'entités spécifiques	Toute organisation
Résultat	Conformité légale	Certificat (cycle de 3 ans)
Application	Amendes jusqu'à 10M€/2 % du CA	Pas de sanctions légales (retrait de certification)
Focus géographique	États membres de l'UE	Mondial
Responsabilité de la direction	Responsabilité personnelle	Exigence de gouvernance (pas de responsabilité personnelle)
Signalement d'incidents	Délais obligatoires 24h/72h/1 mois	Pas de délais obligatoires de signalement externe

Cartographie des exigences

Domaines où ISO 27001 couvre NIS 2

Exigence NIS 2 (Article 21)	Contrôle ISO 27001
Analyse des risques et politiques	Clause 6.1.2 (Évaluation des risques), A.5.1 (Politiques)
Gestion des incidents	A.5.24-A.5.28 (Gestion des incidents)
Continuité d'activité	A.5.29-A.5.30 (Préparation TIC pour la continuité d'activité)
Sécurité réseau et système	A.8.20-A.8.34 (Contrôles technologiques)
Gestion des vulnérabilités	A.8.8 (Gestion des vulnérabilités techniques)
Hygiène cyber et formation	A.6.3 (Sensibilisation à la sécurité de l'information)
Cryptographie	A.8.24 (Utilisation de la cryptographie)
Contrôle d'accès	A.5.15-A.5.18, A.8.2-A.8.5 (Contrôles d'accès)
Authentification multifacteur	A.8.5 (Authentification sécurisée)
Gestion des actifs	A.5.9-A.5.14 (Gestion des actifs)

Domaines où NIS 2 va au-delà d'ISO 27001

Exigence NIS 2	Écart ISO 27001
Alerte précoce 24 heures	ISO 27001 exige la gestion des incidents mais n'a pas de délai obligatoire de signalement externe
Notification d'incident 72 heures	Pas d'exigence de délai équivalente
Rapport final 1 mois	Pas d'exigence équivalente
Responsabilité personnelle de la direction	ISO 27001 exige l'engagement de la direction mais pas de responsabilité légale personnelle
Spécificités sécurité chaîne d'approvisionnement	ISO 27001 couvre les relations fournisseurs (A.5.19-A.5.23) mais NIS 2 est plus prescriptif
Exigences sectorielles	ISO 27001 est agnostique au secteur ; NIS 2 peut avoir des actes d'exécution sectoriels
Divulgation coordonnée des vulnérabilités	Pas d'équivalent dans ISO 27001
Enregistrement auprès des autorités nationales	ISO 27001 n'exige pas d'enregistrement auprès des autorités

Comment ISO 27001 soutient la conformité NIS 2

NIS 2 encourage les normes internationales

L'Article 25 de NIS 2 stipule explicitement que les entités peuvent utiliser les normes européennes et internationales pertinentes et les spécifications techniques lors de la mise en œuvre des mesures de gestion des risques de cybersécurité. La Commission européenne peut adopter des actes d'exécution pour spécifier quelles normes doivent être utilisées, et ISO 27001 devrait largement être référencée.

Avantages pratiques

Avantage	Description
Cadre établi	ISO 27001 fournit une structure éprouvée pour mettre en œuvre des mesures de cybersécurité
Documentation	La documentation du SMSI satisfait largement les exigences de politique NIS 2
Méthodologie de risque	Le processus d'évaluation des risques d'ISO 27001 répond à l'exigence d'analyse des risques de NIS 2
Amélioration continue	Le cycle PDCA s'aligne avec les attentes de conformité continue de NIS 2
Validation par un tiers	La certification fournit une preuve indépendante des mesures de sécurité
Préparation aux audits	Les audits ISO 27001 réguliers maintiennent les organisations prêtes pour la supervision NIS 2

Ce que les organisations certifiées ISO 27001 doivent ajouter

Si vous avez déjà la certification ISO 27001, voici ce que vous devez ajouter pour la conformité NIS 2 :

1. Procédures de signalement des incidents

Établir le processus de signalement 24h/72h/1 mois
Identifier votre CSIRT national et autorité compétente
Créer des modèles de rapport pour chaque étape
Définir les critères d'"incident significatif" alignés sur NIS 2

2. Cadre de responsabilité de la direction

Documenter les responsabilités NIS 2 spécifiques de l'organe de direction
Mettre en œuvre un programme de formation cybersécurité de la direction
Établir un processus formel d'approbation par la direction des mesures de sécurité
Créer des registres démontrant la supervision de la direction

3. Exigences renforcées de chaîne d'approvisionnement

Revoir et renforcer les mesures de sécurité de la chaîne d'approvisionnement
S'assurer que les contrats incluent des clauses spécifiques NIS 2
Mettre en œuvre des processus de surveillance continue des fournisseurs
Évaluer les pratiques de développement et les mesures de cybersécurité des fournisseurs

4. Enregistrement national

S'enregistrer auprès de l'autorité nationale compétente comme entité essentielle ou importante
Établir des canaux de communication avec le CSIRT

Construire une stratégie de conformité combinée

Pour les organisations sans ISO 27001

Si vous partez de zéro, envisagez de poursuivre la certification ISO 27001 comme fondation pour la conformité NIS 2 :

Étape 1 : Mener une évaluation des écarts combinée couvrant ISO 27001 et NIS 2

Étape 2 : Mettre en œuvre le SMSI selon ISO 27001, en incorporant les exigences spécifiques NIS 2 dès le départ

Étape 3 : Ajouter les processus spécifiques NIS 2 (signalement d'incidents, responsabilité de la direction, améliorations de la chaîne d'approvisionnement)

Étape 4 : Obtenir la certification ISO 27001

Étape 5 : Formaliser la documentation de conformité NIS 2 et s'enregistrer auprès des autorités nationales

Cette approche est plus efficace que de traiter chaque cadre séparément.

Pour les organisations avec ISO 27001

Étape 1 : Mener une analyse des écarts cartographiant votre SMSI actuel par rapport aux exigences NIS 2

Étape 2 : Traiter les écarts (principalement signalement d'incidents, responsabilité de la direction, chaîne d'approvisionnement)

Étape 3 : Mettre à jour votre documentation SMSI pour refléter les exigences spécifiques NIS 2

Étape 4 : S'enregistrer auprès de votre autorité nationale et CSIRT

Étape 5 : Incorporer les exigences NIS 2 dans votre cycle de revue régulier du SMSI

Questions fréquentes

La certification ISO 27001 est-elle requise pour la conformité NIS 2 ?

Non. La certification ISO 27001 n'est pas requise pour la conformité NIS 2. Cependant, NIS 2 encourage l'utilisation de normes internationales, et ISO 27001 est l'une des façons les plus efficaces de démontrer la conformité à de nombreuses exigences NIS 2. Elle fournit un cadre structuré et une validation indépendante que les autorités de supervision sont susceptibles de considérer favorablement.

Si nous avons ISO 27001, sommes-nous automatiquement conformes à NIS 2 ?

Non. Bien qu'ISO 27001 couvre une grande partie des exigences NIS 2, il existe des obligations NIS 2 spécifiques qu'ISO 27001 ne traite pas, notamment les délais obligatoires de signalement des incidents, la responsabilité personnelle de la direction et les exigences sectorielles spécifiques. ISO 27001 est une base solide, pas une solution complète.

Devrions-nous poursuivre ISO 27001 ou nous concentrer directement sur NIS 2 ?

Si vous partez de zéro et avez le choix, poursuivre les deux est l'approche la plus efficace. ISO 27001 fournit une certification reconnue qui sert plusieurs objectifs (confiance client, accès au marché, conformité réglementaire) tout en traitant la majorité des exigences NIS 2. L'effort incrémental pour les ajouts spécifiques NIS 2 est relativement faible lorsqu'il est construit sur une base ISO 27001.

Comment le cycle d'audit ISO 27001 interagit-il avec la supervision NIS 2 ?

ISO 27001 fonctionne sur un cycle de certification de 3 ans avec des audits de surveillance annuels. La supervision NIS 2 est continue, avec les entités essentielles soumises à une surveillance proactive à tout moment. Le cycle d'audit régulier ISO 27001 aide à maintenir la préparation à la conformité pour la supervision NIS 2, mais les organisations doivent être préparées à des inspections NIS 2 en dehors du calendrier d'audit ISO.

← PrécédentCoût de la conformité NIS 2 : quel budget prévoir Suivant →NIS 2 vs RGPD : comprendre les chevauchements

Retour aux guides NIS 2

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company