La conformité NIS2 désigne la mise en œuvre des mesures de cybersécurité imposées par la directive européenne NIS2 aux entités essentielles et importantes des 18 secteurs critiques. Si vous êtes certifié ISO 27001, vous couvrez déjà la majorité de ces exigences : votre SMSI répond au socle « tous risques » de la directive, et les contrôles de l'Annexe A recoupent largement les mesures de son article 21.
Reste à savoir précisément ce qui est déjà couvert, ce qui ne l'est pas, et comment prioriser. C'est exactement ce que vous allez découvrir pour définir votre feuille de route en interne.
ISO 27001 est une norme internationale de certification volontaire, applicable à toute organisation. NIS2 est une directive européenne obligatoire pour les entités essentielles et importantes de 18 secteurs critiques. Les deux poursuivent les mêmes objectifs : gestion des risques, continuité d'activité, gouvernance et protection de l'information. La première vous donne la méthode, la seconde fixe les obligations. Voyons ensemble leur spécificités.
ISO 27001 est une norme de management qui décrit les exigences pour créer, maintenir et améliorer un Système de Management de la Sécurité de l’Information (SMSI), c'est-à-dire l'organisation, les processus et les contrôles qui protègent vos données contre les fuites, les piratages et les pertes.
La norme vous indique quoi faire pour sécuriser les informations critiques : définir une politique de sécurité, évaluer les risques, appliquer des contrôles adaptés, mesurer leur efficacité et les améliorer en continu. Ces mesures de sécurité sont référencées dans l'Annexe A de la norme, dont la mise en œuvre détaillée est décrite dans ISO 27002.
Par ailleurs, les mesures proposées ne sont pas toutes obligatoires pour chaque organisation. Vous devez établir un document appelé Déclaration d’Applicabilité (SoA), qui indique quelles mesures de l’Annexe A vous choisissez de mettre en place selon vos propres risques. Vous déterminez votre propre niveau de sécurité, objectifs et contrôles à appliquer. Pour illustrer, on peut dire que l’Annexe A est la boîte à outils, et la SoA est la liste des outils choisis.
La directive NIS2 exige des entités européennes essentielles ou importantes d’avoir un niveau élevé de cybersécurité dans les18 secteurs jugés critiques (énergie, santé, transport, finance, fournisseurs de services numériques). Selon l'ANSSI, environ 15 000 entités françaises entrent dans son périmètre (contre environ 500 sous NIS1). Pour savoir si votre organisation est concernée, l'ANSSI propose un simulateur en ligne.
Principales obligations :
Gestion des risques cyber avec une approche "tous risques";
Gouvernance : vos dirigeants approuvent les mesures et en répondent ;
Renforcement de la surveillance et des audits de sécurité;
Obligation de notification des incidents importants : alerte sous 24 h, notification sous 72 h ;
Sécurisation des chaînes d’approvisionnement IT et prestataires TIC.
Contrairement à ISO 27001, elle rend les mesures de sécurité obligatoires et sanctionne les manquements : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 M€ ou 1,4 % pour les entités importantes), avec responsabilité personnelle des dirigeants en cas de négligence répétée, d'absence de supervision ou de défaut de preuve de diligence (article 32-5/6)
| Critère | ISO 27001 | NIS2 |
| Nature | Norme internationale | Directive européenne |
| Objectif | Certification volontaire | Conformité obligatoire |
| Portée | Tous types d’organisations | Entités essentielles ou importantes dans les 18 secteurs critiques identifiés |
| Exigences principales | SMSI, gestion des risques, contrôle des accès, continuité | Mesures de sécurité obligatoires, notification des incidents, résilience, gouvernance |
| Application | Méthodologie universelle | Logique de proportionnalité |
| Contrôle | Audit volontaire pour certification | Contrôle par autorités nationales, sanctions possibles |
Malgré ces différences observées, les objectifs ISO 27001 et NIS2 sont complémentaires et représentent une opportunité pour vous de renforcer durablement la sécurité des systèmes d’information. Vous connaissez maintenant les deux cadres. Passons à la question qui vous intéresse vraiment : combien de travail votre certification vous épargne-t-elle ?
Pour les organisations déjà certifiées ISO 27001 (ou en cours de certification), l’arrivée de NIS2 ne signifie pas repartir de zéro. Quand on compare NIS2 avec ISO 27001, on remarque que la majorité des exigences NIS2 de l'article 21 peuvent être couvertes par les contrôles de l’Annexe A.
Trois recouvrements structurels l'expliquent aussi et le tableau de correspondances ci-dessous vous permet de le vérifier ligne par ligne.
L'approche « tous risques » : NIS2 impose l'identification, l'évaluation et le traitement systématique de tous les risques pouvant affecter la continuité des activités. C'est exactement le fonctionnement d'un SMSI conforme à la norme ISO27001, fondé sur la cartographie des risques et la mise en œuvre de contrôles adaptés.
De plus, l'Annexe A coïncide largement avec les exigences NIS2 : elle couvre les contrôles techniques, organisationnels et humains attendus par NIS2 pour gérer les incidents, sécuriser les accès, assurer la continuité et formaliser la gouvernance.
Aussi, l'implication de la direction, déjà formalisée dans ISO 27001, répond en outre à l'une des attentes majeures (et souvent les plus complexes à mettre en place) de la directive.
"Dans NIS2 il y a une vingtaine d’objectifs de sécurité. Chaque objectif de sécurité s’accompagne de mesures de sécurité à mettre en place. En préambule de ces objectifs, il est indiqué qu’une certification ISO 27001 vaut pour conformité aux exigences ou à l'atteinte de l'objectif. Chez Sogetrel, nous sommes certifiés ISO 27001 depuis 2020 ce qui nous permet de répondre déjà à un grand nombre de mesures de cybersécurité imposées par NIS2." - Emmanuel Meyer - RSSI - Société Sogetrel
Le tableau ci-dessous met en regard chaque exigence de l'article 21 de NIS2 et les contrôles ISO 27001 correspondants.
| Exigences NIS2 | Contrôles Annexe A ISO 27001 | Couverture LockSelf |
| Politiques d'analyse des risques et sécurité des systèmes d'information Article 21-1a |
Politiques de sécurité et gouvernance Articles 5.1, 5.2, 5.3, 5.4 |
LockSelf transforme des politiques en règles imposées, appliquées automatiquement et pilotées depuis le dashboard : robustesse des mots de passe, règles de partage de fichiers, MFA obligatoire, etc. |
|
Gestion des incidents et plan de réponse Continuité d'activité et gestion de crise, sauvegardes et reprise |
Incidents, continuité et sauvegarde Articles 5.24, 5.25, 5.26, 5.27, 5.29, 5.30, 8.13 |
|
| Sécurité de la chaîne d'approvisionnement : fournisseurs et prestataires Article 21-1d |
Fournisseurs et chaîne TIC Articles 5.14, 5.19, 5.20, 5.21, 5.22, 5.23 |
|
| Sécurité dans le développement et la maintenance des systèmes, traitement des vulnérabilités Article 21-1e |
Développement sécurisé Articles 5.8, 8.25, 8.26, 8.27, 8.8, 8.9 |
|
|
Procédures d'évaluation de l'efficacité des mesures de sécurité Coopération avec les CSIRT, autorités, et obligation de fournir les informations nécessaires |
Surveillance, preuves et autorités Articles 5.28, 5.35, 5.36, 5.5, 5.6, 6.8, 8.15, 8.16 |
|
|
Cyberhygiène, sécurité des ressources humaines, contrôle d'accès et gestion des actifs Authentification multi-facteurs et communications sécurisées |
Classification et contrôle d'accès Articles 5.12, 5.13, 5.15, 5.16, 5.17, 5.18, 8.2, 8.3, 8.5 |
|
| Politiques d'usage de la cryptographie et du chiffrement Article 21-1h |
Cryptographie et protection des données Articles 8.11, 8.12, 8.24 |
|
La mise en place d’un gestionnaire de mots de passe comme LockPass répondait à plusieurs besoins structurants pour Intériale. Il s’agissait de s’aligner avec les exigences de notre feuille de route cybersécurité et de notre gouvernance, mais aussi avec les principaux référentiels d’hygiène informatique, tels que l’ISO 27001 (et son annexe A/ISO 27002) - Richard Dhieux - RSSI - Mutuelle Intériale
La convergence avec NIS2 est si forte qu'une entreprise certifiée ISO 27001 possède une vraie longueur d'avance. Toutefois, elle ne vous apporte pas une conformité NIS2 automatique. Trois chantiers restent généralement à mener :
la supervision : documentez la gouvernance et constituez les preuves de diligence exigibles par les autorités de contrôle. Assurez-vous que la direction dirige la démarche et que vos équipes comprennent leur rôle. La sensibilisation et l'adhésion des collaborateurs sont aussi nécessaires pour transformer les règles en comportements durables.
la notification des incidents : alerte 24 h, notification 72 h, rapport final, formaliser le processus de déclaration auprès des autorités compétentes, testez-les en exercice de crise.
la chaîne d'approvisionnement : renforcer l'évaluation et le suivi contractuel des fournisseurs et prestataires TIC.
💡 Conseil pratique : parmi les leviers à gains rapides, commencez par la gestion des accès et des identifiants. Un gestionnaire centralisé comme LockPass facilite 20 à 30 % des exigences de la directive NIS2 : politiques de mots de passe robustes et personnalisées, droits d'accès granulaires, traçabilité des actions, contrôle centralisé des autorisations. Ce pourcentage varie selon votre maturité cyber, votre secteur et votre taille, mais c'est un retour sur investissement simple à défendre devant votre équipe de direction.
Source :
FR Journal officiel de l’Union européenne L 333/126 27.12.2022
https://hightable.io/iso-27001-annex-a-controls-reference-guide/
https://messervices.cyber.gouv.fr/nis2#exigences