NIS2 vs ISO 27001 : différences, complémentarités et stratégie
La directive NIS2 et la norme ISO 27001 poursuivent le même objectif — renforcer la sécurité de l'information — mais empruntent des chemins radicalement différents. Comprendre leurs différences et leurs complémentarités est essentiel pour construire une stratégie de cybersécurité efficace et éviter de dupliquer les efforts. Ce comparatif vous aide à y voir clair.
NIS2 et ISO 27001 : deux approches différentes
NIS2 est une obligation légale. C'est une directive européenne (2022/2555) transposée en droit national — en France via la loi Résilience. Si votre organisation entre dans le périmètre NIS2, vous devez vous conformer, sous peine de sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
ISO 27001 est une norme volontaire internationale. Publiée par l'ISO et la CEI, elle définit les exigences d'un Système de Management de la Sécurité de l'Information (SMSI). La certification est délivrée par un organisme accrédité après audit. Personne ne vous oblige à l'obtenir — mais elle est reconnue mondialement.
En résumé : NIS2 impose des résultats, ISO 27001 impose un système de management. NIS2 dit « vous devez gérer vos risques cyber », ISO 27001 dit « voici comment structurer un programme de sécurité certifiable ».
Tableau comparatif détaillé
| Critère | NIS2 | ISO 27001 |
|---|---|---|
| Nature juridique | Directive européenne (obligation légale) | Norme internationale (volontaire) |
| Périmètre | 18 secteurs, critères de taille | Toute organisation, tout secteur |
| Notification d'incidents | Obligatoire : 24h, 72h, 1 mois | Pas d'obligation légale de notification |
| Sanctions | Jusqu'à 10 M€ / 2 % du CA | Perte de la certification (pas d'amende) |
| Responsabilité dirigeants | Personnelle (Art. 20) | Engagement de la direction (clause 5) |
| Certification | Pas de certification NIS2 | Certification par organisme accrédité |
| Approche | Par les risques + résultats | Par le SMSI (Plan-Do-Check-Act) |
| Supervision | ANSSI (contrôles, audits) | Audit de certification triennal |
Les points de recouvrement
Malgré leurs différences, NIS2 et ISO 27001 partagent de nombreux domaines. Une organisation déjà certifiée ISO 27001 couvre environ 70 % des exigences NIS2. Voici les principaux recouvrements :
- Gestion des risques : l'Article 21 §2(a) de NIS2 exige une analyse de risques — la clause 6.1 d'ISO 27001 également. La méthode EBIOS RM est compatible avec les deux.
- Gestion des incidents : l'Article 23 de NIS2 impose la notification — l'Annexe A.16 d'ISO 27001 (version 2013) ou A.5.24-A.5.28 (version 2022) exige des procédures de gestion des incidents.
- Continuité d'activité : l'Article 21 §2(c) de NIS2 requiert des PCA/PRA — l'Annexe A.17 d'ISO 27001 couvre la continuité de la sécurité de l'information.
- Sécurité de la chaîne d'approvisionnement : l'Article 21 §2(d) de NIS2 vise les fournisseurs — l'Annexe A.15 d'ISO 27001 traite les relations fournisseurs.
- Contrôle d'accès : l'Article 21 §2(i-j) de NIS2 requiert le MFA et la gestion des accès — l'Annexe A.9 d'ISO 27001 est dédiée au contrôle d'accès.
ISO 27001 suffit-il pour être conforme NIS2 ?
Non, mais c'est une base solide. Voici ce que NIS2 exige en plus d'ISO 27001 :
- Notification d'incidents réglementaire : ISO 27001 exige de gérer les incidents internement, NIS2 impose de les signaler à l'ANSSI dans des délais stricts (24h/72h/1 mois).
- Responsabilité personnelle des dirigeants : ISO 27001 demande l'engagement de la direction, NIS2 engage personnellement les dirigeants avec des sanctions possibles (Art. 20).
- Sanctions financières : la non-conformité ISO 27001 entraîne la perte de la certification ; la non-conformité NIS2 entraîne des amendes pouvant atteindre 10 M€.
- Périmètre élargi : NIS2 impose des exigences sur la chaîne d'approvisionnement et la sécurité de la supply chain que ISO 27001 traite de manière moins prescriptive.
Inversement, ISO 27001 apporte des avantages que NIS2 ne couvre pas : une certification reconnue internationalement, un cadre d'amélioration continue formalisé (PDCA), et une crédibilité commerciale auprès des clients et partenaires.
Quelle stratégie adopter ?
Scénario 1 : vous êtes déjà certifié ISO 27001
Bonne nouvelle : vous partez avec un avantage significatif. Concentrez-vous sur les écarts : notification d'incidents ANSSI, formation des dirigeants, formalisation de la responsabilité des organes de direction, et renforcement de la gestion de la supply chain. Votre SMSI existant est le socle — il suffit de le compléter.
Scénario 2 : vous n'êtes pas certifié ISO 27001
Priorisez NIS2 : c'est l'obligation légale. Utilisez l'analyse de risques (comme EBIOS RM) pour structurer votre démarche. Une fois la conformité NIS2 atteinte, envisagez ISO 27001 pour obtenir la certification et bénéficier de la reconnaissance internationale.
Scénario 3 : approche intégrée dès le départ
C'est l'approche la plus efficiente pour les organisations qui partent de zéro. En structurant votre programme de sécurité autour d'un SMSI ISO 27001 augmenté des exigences spécifiques NIS2, vous couvrez les deux périmètres en une seule démarche. C'est l'approche que nous recommandons et que la plateforme Aventris facilite.
Comment Aventris facilite les deux démarches
Aventris intègre un mapping entre les exigences NIS2 (Article 21) et les contrôles ISO 27001 (Annexe A). Chaque mesure de sécurité est liée à la fois aux objectifs ANSSI et aux contrôles ISO, ce qui permet de piloter les deux démarches depuis un tableau de bord unique. Pour approfondir les 10 mesures de l'Article 21, consultez notre guide complet des mesures NIS2.