Conformité

NIS2 vs ISO 27001 : articulation et conformité conjointe

NIS2 (octobre 2026) et ISO 27001 partagent 70% de leurs exigences. Voici comment articuler les deux pour optimiser l'investissement, et ce que NIS2 ajoute spécifiquement.

8 min

NIS2 (directive UE 2022/2555) impose des obligations cybersécurité à 18 secteurs stratégiques avec une échéance de mise en conformité au 17 octobre 2026. ISO 27001:2022 est la norme internationale volontaire de management de la sécurité de l'information.

Beaucoup d'organisations qui découvrent NIS2 se demandent : ma certification ISO 27001 me dispense-t-elle de NIS2 ? Réponse courte : non, mais elle facilite environ 70% du chemin.

Mapping NIS2 article 21 → ISO 27001 Annexe A

L'article 21 NIS2 liste 10 mesures minimales obligatoires. Mapping vers ISO 27001:2022 Annexe A :

| Mesure NIS2 (Article 21) | Contrôles ISO 27001 Annexe A équivalents | |---|---| | (a) Analyse de risque + politique sécurité | A.5.1 (politique), A.6.1 (rôles), tous les domaines de l'analyse de risque | | (b) Gestion des incidents | A.5.24, A.5.25, A.5.26, A.5.27 (gestion incident complète) | | (c) Continuité d'activité | A.5.29, A.5.30 (continuité), A.8.13 (sauvegardes) | | (d) Sécurité de la chaîne d'approvisionnement | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 (supplier management) | | (e) Sécurité dans le développement / SSDLC | A.8.25 (secure development), A.8.26, A.8.28, A.8.29, A.8.30 | | (f) Évaluation de l'efficacité | A.5.36 (compliance), audit interne ISO 27001 (clause 9.2) | | (g) Hygiène cyber + formation | A.6.3 (awareness), A.7.x (people controls) | | (h) Cryptographie et chiffrement | A.8.24 (cryptography) | | (i) Sécurité du personnel + accès + actifs | A.5.9-A.5.18, A.8.2, A.8.3, A.8.5 | | (j) MFA et communications sécurisées | A.5.17 (authentication), A.8.5, A.8.20 (network controls) |

ISO 27001 couvre l'essentiel du contenu technique de NIS2.

Ce que NIS2 ajoute spécifiquement

NIS2 introduit des obligations qui ne sont PAS dans ISO 27001 :

1. Notification d'incident réglementée — délais stricts.

  • Alerte précoce 24h.
  • Notification d'incident 72h.
  • Rapport final 1 mois.

    • Adressée au CSIRT national (CERT-FR en France) et à l'ANSSI pour les EE/EI. ISO 27001 demande une gestion d'incident, pas des délais réglementaires aussi serrés.

2. Responsabilité personnelle des dirigeants (Article 20 NIS2). Les organes de direction sont personnellement responsables et peuvent être suspendus. Ils doivent être formés à la cybersécurité. ISO 27001 demande un engagement direction (clause 5.1) sans responsabilité personnelle.

3. Gestion explicite de la chaîne d'approvisionnement TIC (Article 21.2.d). NIS2 demande une approche par les risques sur les fournisseurs critiques avec audits, exigences contractuelles, surveillance continue. ISO 27001 a A.5.19-A.5.23 mais NIS2 va plus loin sur l'exigibilité contractuelle.

4. Enregistrement obligatoire auprès de l'autorité nationale (en France, ANSSI via MesServicesCyber). Pas équivalent ISO 27001.

5. Contrôles et inspections par l'autorité. NIS2 donne pouvoir d'inspection à l'ANSSI. Pour ISO 27001, l'auditeur certificateur intervient sur invitation, pas par injonction.

Sanctions comparées

| Référentiel | Sanction maximale | |---|---| | ISO 27001 | Perte du certificat (commercial impact, pas pénal) | | NIS2 EE | Jusqu'à 10 M€ ou 2% CA mondial + suspension dirigeants | | NIS2 EI | Jusqu'à 7 M€ ou 1,4% CA mondial |

NIS2 a un poids juridique direct qu'ISO 27001 n'a pas.

Stratégie de conformité conjointe

Pour une PME/scale-up dans un secteur NIS2 :

Option A — ISO 27001 d'abord, NIS2 ensuite. Recommandée si vous avez 12+ mois avant l'échéance NIS2 et que vos clients enterprise demandent ISO 27001.

  • Mois 0-12 : ISO 27001
  • Mois 12-15 : ajouts spécifiques NIS2 (notification, supply chain, formation dirigeants)
  • Coût total : 100-180 K€

Option B — NIS2 d'abord, ISO 27001 ensuite. Si vous avez < 12 mois avant octobre 2026 et que NIS2 est légalement contraignant.

  • Mois 0-9 : NIS2 conformité opérationnelle
  • Mois 9-18 : ISO 27001 sur la base existante
  • Coût total : 100-180 K€ aussi

Option C — Démarche conjointe sur 12 mois. Possible si organisation suffisamment mature.

  • Mois 0-12 : ISO 27001 + NIS2 simultané
  • Coût combiné : 120-200 K€ — économise 30-40% vs deux démarches séparées

Le piège : Vanta + Drata ne suffisent pas

Les outils GRC type Vanta ou Drata automatisent la collecte de preuves ISO 27001 / SOC 2. Pour NIS2, le compteur est plus court : ils ne couvrent pas la notification réglementaire CERT-FR, pas la formation explicite des dirigeants, pas les inspections ANSSI. NIS2 réclame une articulation juridique + technique que les GRC SaaS ne fournissent pas seuls.

Du coup, pour NIS2 sérieux, il faut un pilote humain (RSSI ou RSSI externalisé) qui orchestre. L'outil GRC est utile mais pas suffisant.

Questions fréquentes

ISO 27001 dispense-t-elle de NIS2 ?

Non, mais elle facilite considérablement. ISO 27001:2022 couvre environ 70% des exigences de l'article 21 NIS2. Une organisation déjà certifiée ISO 27001 a déjà une bonne partie du chemin parcouru. Les ajouts spécifiques NIS2 : notification d'incident réglementée (24h/72h/1 mois), responsabilité personnelle des dirigeants, gestion explicite de la chaîne d'approvisionnement TIC.

Quels ajouts spécifiques NIS2 par rapport à ISO 27001 ?

Cinq ajouts : (1) Notification 24h alerte / 72h notification / 1 mois rapport final au CERT-FR ; (2) Responsabilité personnelle des dirigeants Article 20 ; (3) Gestion explicite supply chain TIC Article 21.2.d ; (4) Enregistrement obligatoire auprès de l'ANSSI ; (5) Pouvoir d'inspection et d'injonction de l'ANSSI.

Quelle stratégie de conformité conjointe ?

Trois options : (A) ISO 27001 d'abord 12 mois, NIS2 ensuite 3 mois ; (B) NIS2 d'abord 9 mois si urgence légale, ISO 27001 ensuite ; (C) démarche conjointe sur 12 mois, économise 30-40% vs deux séparées. Coût total 100-200 K€ selon option.

Vanta ou Drata suffisent-ils pour NIS2 ?

Non. Les outils GRC type Vanta ou Drata automatisent la collecte de preuves ISO 27001 / SOC 2. Pour NIS2 : ils ne couvrent pas la notification réglementaire CERT-FR, ni la formation explicite des dirigeants, ni les inspections ANSSI. NIS2 nécessite un pilote humain (RSSI ou RSSI externalisé) qui orchestre.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéNIS2 transposition France ConformitéISO 27001 SaaS B2B ConformitéDORA SaaS financiers

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt