Retour au blog

ISO27001 : accélérateur de la conformité NIS2

Réglementations et normes • 08 juillet 2026

 

La conformité NIS2 désigne la mise en œuvre des mesures de cybersécurité imposées par la directive européenne NIS2 aux entités essentielles et importantes des 18 secteurs critiques. Si vous êtes certifié ISO 27001, vous couvrez déjà la majorité de ces exigences : votre SMSI répond au socle « tous risques » de la directive, et les contrôles de l'Annexe A recoupent largement les mesures de son article 21.

Reste à savoir précisément ce qui est déjà couvert, ce qui ne l'est pas, et comment prioriser. C'est exactement ce que vous allez découvrir pour définir votre feuille de route en interne.

 

iso_27001_accelerateur_conformite_nis2

ISO 27001 et NIS2 : quelles différences ?

 

ISO 27001 est une norme internationale de certification volontaire, applicable à toute organisation. NIS2 est une directive européenne obligatoire pour les entités essentielles et importantes de 18 secteurs critiques. Les deux poursuivent les mêmes objectifs : gestion des risques, continuité d'activité, gouvernance et protection de l'information. La première vous donne la méthode, la seconde fixe les obligations. Voyons ensemble leur spécificités.

 

Qu'est-ce que la certification ISO 27001, et à quoi sert-elle ?

ISO 27001 est une norme de management qui décrit les exigences pour créer, maintenir et améliorer un Système de Management de la Sécurité de l’Information (SMSI), c'est-à-dire l'organisation, les processus et les contrôles qui protègent vos données contre les fuites, les piratages et les pertes.

La norme vous indique quoi faire pour sécuriser les informations critiques : définir une politique de sécurité, évaluer les risques, appliquer des contrôles adaptés, mesurer leur efficacité et les améliorer en continu. Ces mesures de sécurité sont référencées dans l'Annexe A de la norme, dont la mise en œuvre détaillée est décrite dans ISO 27002.

Par ailleurs, les mesures proposées ne sont pas toutes obligatoires pour chaque organisation. Vous devez établir un document appelé Déclaration d’Applicabilité (SoA), qui indique quelles mesures de l’Annexe A vous choisissez de mettre en place selon vos propres risques. Vous déterminez votre propre niveau de sécurité, objectifs et contrôles à appliquer. Pour illustrer, on peut dire que l’Annexe A est la boîte à outils, et la SoA est la liste des outils choisis.

 

Qu'est-ce que la directive NIS2 et qui est concerné ?

La directive NIS2 exige des entités européennes essentielles ou importantes d’avoir un niveau élevé de cybersécurité dans les18 secteurs jugés critiques (énergie, santé, transport, finance, fournisseurs de services numériques). Selon l'ANSSI, environ 15 000 entités françaises entrent dans son périmètre (contre environ 500 sous NIS1). Pour savoir si votre organisation est concernée, l'ANSSI propose un simulateur en ligne.

Principales obligations :

  • Gestion des risques cyber avec une approche "tous risques";

  • Gouvernance : vos dirigeants approuvent les mesures et en répondent ;

  • Renforcement de la surveillance et des audits de sécurité;

  • Obligation de notification des incidents importants : alerte sous 24 h, notification sous 72 h ;

  • Sécurisation des chaînes d’approvisionnement IT et prestataires TIC.

Contrairement à ISO 27001, elle rend les mesures de sécurité obligatoires et sanctionne les manquements : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 M€ ou 1,4 % pour les entités importantes), avec responsabilité personnelle des dirigeants en cas de négligence répétée, d'absence de supervision ou de défaut de preuve de diligence (article 32-5/6)

 

 

Tableau comparatif norme ISO 27001 vs directive NIS2 : quelles différences ?

 

Critère ISO 27001 NIS2
Nature Norme internationale Directive européenne
Objectif Certification volontaire Conformité obligatoire
Portée Tous types d’organisations Entités essentielles ou importantes dans les 18 secteurs critiques identifiés
Exigences principales SMSI, gestion des risques, contrôle des accès, continuité Mesures de sécurité obligatoires, notification des incidents, résilience, gouvernance
Application Méthodologie universelle Logique de proportionnalité
Contrôle Audit volontaire pour certification Contrôle par autorités nationales, sanctions possibles

 

Malgré ces différences observées, les objectifs ISO 27001 et NIS2 sont complémentaires et représentent une opportunité pour vous de renforcer durablement la sécurité des systèmes d’information. Vous connaissez maintenant les deux cadres. Passons à la question qui vous intéresse vraiment : combien de travail votre certification vous épargne-t-elle ?

 

 

 

Pourquoi ISO 27001 facilite-t-elle la mise en conformité NIS2 ?

 

Quelles exigences NIS2 sont déjà couvertes par un SMSI ISO 27001 ?

Pour les organisations déjà certifiées ISO 27001 (ou en cours de certification), l’arrivée de NIS2 ne signifie pas repartir de zéro. Quand on compare NIS2 avec ISO 27001, on remarque que la majorité des exigences NIS2 de l'article 21 peuvent être couvertes par les contrôles de l’Annexe A.

Trois recouvrements structurels l'expliquent aussi et le tableau de correspondances ci-dessous vous permet de le vérifier ligne par ligne.

  • L'approche « tous risques » : NIS2 impose l'identification, l'évaluation et le traitement systématique de tous les risques pouvant affecter la continuité des activités. C'est exactement le fonctionnement d'un SMSI conforme à la norme ISO27001, fondé sur la cartographie des risques et la mise en œuvre de contrôles adaptés.

  • De plus, l'Annexe A coïncide largement avec les exigences NIS2 : elle couvre les contrôles techniques, organisationnels et humains attendus par NIS2 pour gérer les incidents, sécuriser les accès, assurer la continuité et formaliser la gouvernance.

  • Aussi, l'implication de la direction, déjà formalisée dans ISO 27001, répond en outre à l'une des attentes majeures (et souvent les plus complexes à mettre en place) de la directive.

"Dans NIS2 il y a une vingtaine d’objectifs de sécurité. Chaque objectif de sécurité s’accompagne de mesures de sécurité à mettre en place. En préambule de ces objectifs, il est indiqué qu’une certification ISO 27001 vaut pour conformité aux exigences ou à l'atteinte de l'objectif. Chez Sogetrel, nous sommes certifiés ISO 27001 depuis 2020 ce qui nous permet de répondre déjà à un grand nombre de mesures de cybersécurité imposées par NIS2." - Emmanuel Meyer - RSSI - Société Sogetrel

ISO27001 et NIS2 _ convergences

 

Quelles correspondances entre NIS2 et l'Annexe A ISO 27001 ?

Le tableau ci-dessous met en regard chaque exigence de l'article 21 de NIS2 et les contrôles ISO 27001 correspondants.

Exigences NIS2 Contrôles Annexe A ISO 27001 Couverture LockSelf
Politiques d'analyse des risques et sécurité des systèmes d'information
Article 21-1a
Politiques de sécurité et gouvernance
Articles 5.1, 5.2, 5.3, 5.4
LockSelf transforme des politiques en règles imposées, appliquées automatiquement et pilotées depuis le dashboard : robustesse des mots de passe, règles de partage de fichiers, MFA obligatoire, etc.

Gestion des incidents et plan de réponse
Article 21-1b

Continuité d'activité et gestion de crise, sauvegardes et reprise
Article 21-1c

Incidents, continuité et sauvegarde
Articles 5.24, 5.25, 5.26, 5.27, 5.29, 5.30, 8.13
  • Mots de passe critiques et procédures PCA/PRA accessibles 
même pendant une attaque, stockés hors SI sur cloud souverain
  • Compte break glass
  • Annuaire d’urgence : parties prenantes / cellule de crise
  • Canal sécurisé pour les échanges des fichiers (CERT, prestataires, direction).
Sécurité de la chaîne d'approvisionnement : fournisseurs et prestataires
Article 21-1d
Fournisseurs et chaîne TIC
Articles 5.14, 5.19, 5.20, 5.21, 5.22, 5.23
  • Boîtes de dépôt : canal d’échange avec les partenaires externes (clients, fournisseurs, etc) maîtrisé et tracé
  • Chiffrement des fichiers directement dans votre boîte mail 
(plugin Outlook / O365)
  • Accès partenaires aux fichiers avec délai d’expiration, cloisonnement des réponses.
  • Hébergement souverains, partenaires certifiés.
Sécurité dans le développement et la maintenance des systèmes, traitement des vulnérabilités
Article 21-1e
Développement sécurisé
Articles 5.8, 8.25, 8.26, 8.27, 8.8, 8.9
  • Hors périmètre : LockPass sécurise dès le lancement, les secrets du projet (accès aux environnements, clés, comptes de service), plutôt que dans un Slack ou un wiki.
  • Communication de documents sensibles (rapports de pentest, divulgations de vulnérabilités) sur des canaux chiffrés et sécurisés.

Procédures d'évaluation de l'efficacité des mesures de sécurité
Article 21-1f

Coopération avec les CSIRT, autorités, et obligation de fournir les informations nécessaires
Article 21-4

Surveillance, preuves et autorités
Articles 5.28, 5.35, 5.36, 5.5, 5.6, 6.8, 8.15, 8.16
  • Monitoring temps réel (mots de passe gérés, transferts, fichiers stockés)
  • +100 métriques de suivi (taux d'adoption, mots de passe faibles ou réutilisés, activités anormales)
  • Remontée automatique des logs vers votre SIEM et/ou SOC (interconnexion native SEKOIA)
  • Détection des activités anormales (connexion à l’étranger, 
une plage horaire douteuse, transferts massifs)
  • Traçabilité et export des logs fournissant aux autorités et CSIRT les informations nécessaires à la notification en cas d’incident.

Cyberhygiène, sécurité des ressources humaines, contrôle d'accès et gestion des actifs
Article 21-1g / 1i

Authentification multi-facteurs et communications sécurisées
Article 21-1j

Classification et contrôle d'accès
Articles 5.12, 5.13, 5.15, 5.16, 5.17, 
5.18, 8.2, 8.3, 8.5
  • Centralisation des actifs sensibles
  • Contrôle d'accès basé sur les rôles (RBAC),
  • Cycle de vie des utilisateurs synchronisé (interconnexion AD)
  • Politiques et cloisonnement par groupes et coffres 
par niveau de sensibilité, droits granulaires par coffre
  • Authentification forte (MFA, SSO, PIN, token).
Politiques d'usage de la cryptographie et du chiffrement
Article 21-1h
Cryptographie et protection des données
Articles 8.11, 8.12, 8.24
  • Solution certifiée CSPN par l'ANSSI (ANSSI-CSPN-2018/23)
  • Chiffrement AES-256 des données au repos et en transit

 

La mise en place d’un gestionnaire de mots de passe comme LockPass répondait à plusieurs besoins structurants pour Intériale. Il s’agissait de s’aligner avec les exigences de notre feuille de route cybersécurité et de notre gouvernance, mais aussi avec les principaux référentiels d’hygiène informatique, tels que l’ISO 27001 (et son annexe A/ISO 27002) - Richard Dhieux - RSSI - Mutuelle Intériale

 

 

 

Certifié ISO 27001 : que vous reste-t-il à faire pour NIS2 ?

La convergence avec NIS2 est si forte qu'une entreprise certifiée ISO 27001 possède une vraie longueur d'avance. Toutefois, elle ne vous apporte pas une conformité NIS2 automatique. Trois chantiers restent généralement à mener :

  • la supervision : documentez la gouvernance et constituez les preuves de diligence exigibles par les autorités de contrôle. Assurez-vous que la direction dirige la démarche et que vos équipes comprennent leur rôle. La sensibilisation et l'adhésion des collaborateurs sont aussi nécessaires pour transformer les règles en comportements durables.

  • la notification des incidents : alerte 24 h, notification 72 h, rapport final, formaliser le processus de déclaration auprès des autorités compétentes, testez-les en exercice de crise.

  • la chaîne d'approvisionnement : renforcer l'évaluation et le suivi contractuel des fournisseurs et prestataires TIC.

💡 Conseil pratique : parmi les leviers à gains rapides, commencez par la gestion des accès et des identifiants. Un gestionnaire centralisé comme LockPass facilite 20 à 30 % des exigences de la directive NIS2 : politiques de mots de passe robustes et personnalisées, droits d'accès granulaires, traçabilité des actions, contrôle centralisé des autorisations. Ce pourcentage varie selon votre maturité cyber, votre secteur et votre taille, mais c'est un retour sur investissement simple à défendre devant votre équipe de direction.

 

 

FAQ NIS2 vs ISO 27001

Être certifié ISO 27001 suffit-il pour être conforme à NIS2 ?

Non, mais l'effort de conformité NIS2 est fortement réduit : la majorité des exigences sont déjà couvertes par votre SMSI. Restent à formaliser la notification d'incidents (24 h/72 h), la gestion de la chaîne d'approvisionnement et les preuves de diligence exigées par l'ANSSI en cas de contrôle.

Quelle est la différence entre ISO 27001 et NIS2 ?

ISO 27001 est une norme internationale volontaire qui certifie votre système de management de la sécurité ; NIS2 est une directive européenne obligatoire pour les entités des secteurs critiques. La première propose une méthode auditée, la seconde impose un résultat, contrôlé et assorti de sanctions financières.

Comment savoir si mon organisation est concernée par NIS2 ?

Utilisez le simulateur officiel MonEspaceNIS2 de l'ANSSI : quelques questions suffisent pour déterminer si vous êtes entité essentielle ou importante. Au premier abord, vous pouvez être concerné si vous avez plus de 50 salariés ou 10 M€ de CA dans l'un des 18 secteurs critiques, ou si vous êtes fournisseur numérique d'une entité régulée.

Faut-il viser ISO 27001 avant la conformité NIS2 ?

Si vous êtes concerné par NIS2, l'obligation prime : elle ne vous laisse pas le choix du calendrier. Mais structurer votre démarche sur ISO 27001 vous donne la méthodologie qui facilite ensuite la mise en conformité.

Comment couvrir rapidement les exigences techniques de NIS2 sans tout refondre ?

Commencez par la gestion des accès et des identifiants : un gestionnaire centralisé comme LockPass couvre 20 à 30 % des exigences NIS2 sans refonte de votre SI. Complétez avec les transferts de fichiers sécurisés (LockTransfer) et le stockage des documents sensibles (LockFiles), puis documentez tout avec le reporting du dashboard.

 

Source :

FR Journal officiel de l’Union européenne L 333/126 27.12.2022

https://hightable.io/iso-27001-annex-a-controls-reference-guide/

https://aide.monespacenis2.cyber.gouv.fr/fr/article/existe-t-il-des-liens-entre-les-exigences-de-la-norme-iso-27001-et-les-futures-regles-de-cybersecurite-de-la-directive-nis-2-87mx33/ 

https://messervices.cyber.gouv.fr/nis2#exigences 

 


 

Découvrez LockPass

Le gestionnaire de mots de passe 100% français et dédié aux entreprises.

Certifiée par l'ANSSI.

Essayez la solution gratuitement pendant 14 jours  !

LockSelf