NIS2 vs. ISO 27001 : ce qui se recoupe, ce qui diffère, et ce qu'il vous reste à faire
Par NIS2Certify
nis2iso-27001conformitecomparaisonanalyse-ecarts
Si votre organisation est certifiée ISO 27001, vous êtes en avance sur la plupart. Votre SMSI couvre une grande partie des exigences NIS2. Mais "une grande partie" n'est pas "tout".
NIS2 introduit des obligations spécifiques qu'ISO 27001 ne couvre pas — et les conséquences sont sévères.
La réponse courte
NIS2 vs ISO 27001 — Comparaison des exigences
◈NIS2 uniquementNotification obligatoire des incidents aux autorités (24h / 72h)Responsabilité personnelle au niveau du conseil pour la cybersécuritéObligations de sécurité de la chaîne d'approvisionnement pour les entités essentiellesObligations réglementaires sectorielles spécifiques⬡Exigences communesGestion des risques liés à la sécurité de l'informationContrôle d'accès et gestion des identitésContinuité d'activité et reprise après sinistreSensibilisation et formation à la sécurité◇ISO 27001 uniquementCycles d'audit interne et de revue de directionDocumentation de la Déclaration d'Applicabilité (DdA)Certification formelle et audit par tierce partie◈NIS2 uniquementNotification obligatoire des incidents aux autorités (24h / 72h)Responsabilité personnelle au niveau du conseil pour la cybersécuritéObligations de sécurité de la chaîne d'approvisionnement pour les entités essentiellesObligations réglementaires sectorielles spécifiques⬡Exigences communesGestion des risques liés à la sécurité de l'informationContrôle d'accès et gestion des identitésContinuité d'activité et reprise après sinistreSensibilisation et formation à la sécurité◇ISO 27001 uniquementCycles d'audit interne et de revue de directionDocumentation de la Déclaration d'Applicabilité (DdA)Certification formelle et audit par tierce partieLa colonne centrale présente les exigences partagées par la NIS2 et l'ISO 27001
Comparaison : les 10 mesures de l'article 21
| # | Mesure NIS2 | ISO 27001 | Lacune ? |
|---|---|---|---|
| 1 | Analyse des risques & politiques | Entièrement couvert | ✅ Non |
| 2 | Gestion des incidents | Partiellement | ⚠️ Notification 24h/72h/1 mois absente |
| 3 | Continuité & gestion de crise | Partiellement | ⚠️ Coordination CSIRT absente |
| 4 | Sécurité chaîne d'approvisionnement | Partiellement | ⚠️ Évaluations fournisseurs spécifiques absentes |
| 5 | Développement sécurisé | Couvert | ✅ Mineure |
| 6 | Évaluation de l'efficacité | Couvert | ✅ Non |
| 7 | Cyberhygiène & formation | Couvert | ⚠️ Formation du conseil absente |
| 8 | Cryptographie | Couvert | ✅ Non |
| 9 | Sécurité RH & contrôle d'accès | Couvert | ✅ Non |
| 10 | MFA & communications sécurisées | Partiellement | ⚠️ MFA obligatoire absent |
Les 6 lacunes critiques
- Notification obligatoire aux autorités — 24h/72h/1 mois, inexistant dans ISO 27001
- Responsabilité personnelle des dirigeants — Article 20, pas de pendant dans ISO 27001
- Formation cyber obligatoire du conseil — spécifiquement au niveau de la direction
- Enregistrement auprès de l'autorité nationale — obligation purement réglementaire
- Évaluations spécifiques de chaque fournisseur — au-delà des exigences ISO 27001
- MFA et communications d'urgence obligatoires — ISO 27001 recommande, NIS2 impose
Feuille de route pratique
- Construire le processus de notification — 24h/72h/1 mois
- Informer la direction — responsabilité personnelle, planifier la formation
- Évaluer les fournisseurs en cybersécurité
- Déployer le MFA sur tous les systèmes critiques
- S'enregistrer auprès de l'autorité nationale
Avec ISO 27001 : 3-6 mois pour combler les lacunes. Sans : 6-12 mois.
Commencez par un quickscan gratuit
Notre quickscan NIS2 gratuit montre exactement où se trouvent vos lacunes NIS2 malgré ISO 27001.
À lire aussi
- Les 10 mesures de l'article 21 expliquées
- NIS2 et responsabilité des dirigeants
- Notification d'incidents NIS2