ISO 27001 ne signifie pas conformité NIS2 : Ce qui manque réellement
ISO 27001 fournit le socle de gouvernance pour NIS2 — mais pas l'exécution opérationnelle. Ce qui manque entre la documentation du SMSI et la conformité réelle à NIS2, et pourquoi c'est un problème concret depuis le 6 décembre 2025.
ISO 27001 ne signifie pas conformité NIS2 : Ce qui manque réellement
De nombreuses organisations disposent d'un SMSI aligné sur ISO 27001 — certifié, documenté, intégré dans un outil GRC. L'hypothèse : cela nous rend prêts pour NIS2. La réalité : ISO 27001 couvre environ 70 % des exigences NIS2. Les 30 % restants sont ceux qui comptent réellement lorsque les régulateurs se présentent.
ISO 27001 structure la gouvernance interne. NIS2 exige des capacités opérationnelles en plus : signalement des incidents sous pression temporelle, surveillance continue de la chaîne d'approvisionnement et preuves disponibles à la demande. Un SMSI seul ne peut pas fournir cela.
Aller à :
- Ce que couvre ISO 27001 — et où il s'arrête
- Les trois écarts opérationnels
- Ce que cela signifie pour votre organisation
Pourquoi cette distinction est importante maintenant
NIS2 n'est plus une directive en attente de transposition. À travers l'Europe, les mises en œuvre nationales entrent en vigueur. En Allemagne, la loi de transposition (NIS2UmsuCG) a été publiée au Journal officiel fédéral et est entrée en vigueur le 6 décembre 2025 — sans période de transition. Environ 30 000 organisations sont concernées. L'enregistrement auprès du BSI est en cours, les obligations de signalement sont actives, et les autorités peuvent demander des preuves à tout moment.
Dans cette situation, de nombreuses organisations se rabattent sur ce qu'elles ont déjà : leur SMSI. Et c'est le bon point de départ — mais ce n'est pas la ligne d'arrivée.
L'équation « ISO 27001 = conformité NIS2 » est la simplification la plus dangereuse circulant actuellement sur le marché. Non pas parce qu'ISO 27001 est inadéquat — bien au contraire. Mais parce qu'elle occulte ce qui manque réellement encore.
Ce que couvre ISO 27001 — et où il s'arrête
En bref : ISO 27001 fournit la structure de gouvernance que NIS2 exige sous l'article 20 et une grande partie de l'article 21. Ce qu'il ne fournit pas, ce sont les exigences opérationnelles.
ISO 27001 et NIS2 partagent un fondement commun : la gestion de la sécurité de l'information basée sur les risques. Une organisation exploitant un SMSI aligné sur ISO 27001:2022 dispose généralement d'une base solide :
- Évaluations des risques et plans de traitement (NIS2 Art. 21(2)(a))
- Politiques de continuité d'activité (NIS2 Art. 21(2)(c))
- Contrôles d'accès et gestion des actifs (NIS2 Art. 21(2)(i))
- Programmes de formation et de sensibilisation (NIS2 Art. 21(2)(g))
- Procédures d'évaluation de l'efficacité des mesures (NIS2 Art. 21(2)(f))
- Politiques de cryptographie (NIS2 Art. 21(2)(h))
L'ENISA elle-même reconnaît ce chevauchement : le considérant 79 de la directive NIS2 recommande explicitement de mettre en œuvre les mesures de gestion des risques de cybersécurité conformément aux normes internationales, y compris la série ISO 27000.
Jusqu'ici, tout va bien. La moins bonne nouvelle : NIS2 ne s'arrête pas à la gouvernance. La directive — et les lois nationales qui la transposent — exige des mesures qui vont au-delà de ce qu'un SMSI est typiquement conçu pour fournir. Non pas parce que le SMSI est mal construit, mais parce qu'il a été construit dans un but différent.
Un SMSI est un instrument de contrôle interne. NIS2 exige en plus des capacités opérationnelles à impact externe : communication sous pression temporelle, visibilité continue sur la chaîne d'approvisionnement, et des preuves qui n'ont pas besoin d'être assemblées pour le prochain cycle d'audit.
Les trois écarts opérationnels entre ISO 27001 et NIS2
1. Signalement des incidents : 24 heures n'est pas un problème de documentation
L'article 23 de NIS2 introduit un régime de signalement par paliers : une alerte précoce sous 24 heures, une notification qualifiée d'incident sous 72 heures, et un rapport final sous un mois. Les transpositions nationales peuvent ajouter des exigences supplémentaires — en Allemagne, les opérateurs KRITIS font face à des obligations de détail supplémentaires.
ISO 27001 inclut la gestion des incidents — comme un processus qui documente, évalue et revoit les incidents. Typiquement après coup. Ce qu'ISO 27001 ne fournit pas : la capacité de produire un rapport coordonné et factuel aux autorités dans les 24 heures alors que l'incident est encore en cours.
Ce n'est pas un problème de documentation. C'est un problème de système d'exploitation. Dans ces 24 heures, des questions qui couvrent plusieurs fonctions doivent être traitées simultanément : Que s'est-il passé ? Quelle est la gravité de l'incident ? Qui décide quoi, sur quelle base ? Comment la Sécurité, le Juridique, la Communication et la direction générale se coordonnent-ils ? Et comment tout cela est-il versionné et documenté de manière traçable et auditable — pendant que cela se produit ?
Avoir un plan de réponse aux incidents signifie avoir une politique. Être capable de respecter de manière fiable le délai de 24 heures signifie avoir un système de gestion des incidents. La différence est opérationnelle — et c'est la différence que NIS2 évalue.
→ Article approfondi : Signalement des incidents NIS2 : Comment respecter le délai de 24 heures
2. Sécurité de la chaîne d'approvisionnement : Une fois par an ne suffit pas
L'article 21(2)(d) de la directive NIS2 exige des mesures pour assurer la sécurité de la chaîne d'approvisionnement — spécifiquement les aspects liés à la sécurité des relations avec les fournisseurs directs et prestataires de services, en tenant compte des vulnérabilités spécifiques de chaque fournisseur individuel.
La plupart des solutions SMSI soutiennent les évaluations fournisseurs — à l'intégration ou une fois par an. Un questionnaire est envoyé, les réponses sont classées, le processus est documenté. Formellement correct, opérationnellement insuffisant.
NIS2 signifie autre chose. Il ne s'agit pas de cocher des cases sur des questionnaires. Il s'agit de maintenir les dépendances critiques pour l'activité gérables de manière continue — dans une réalité géopolitique qui évolue constamment. Cela nécessite inévitablement une interface maintenue en permanence avec les prestataires de services et fournisseurs : surveillance continue, réévaluations déclenchées par des événements, preuves intégrées, et communication rapide lorsque la situation évolue.
Un SMSI documente qu'une évaluation fournisseur a eu lieu. NIS2 évalue si la chaîne d'approvisionnement est réellement sous contrôle — pas si le processus existe, mais s'il fonctionne.
→ Article approfondi : Sécurité de la chaîne d'approvisionnement NIS2 : Pourquoi les évaluations annuelles des fournisseurs ne suffisent plus
3. Preuve d'efficacité : Preuves à la demande, pas sur demande
L'article 21(2)(f) exige des procédures pour évaluer l'efficacité des mesures de gestion des risques. Parallèlement, NIS2 étend significativement les pouvoirs de supervision : les autorités peuvent mener des inspections sur site, des audits et des scans — et, de manière critique, demander des informations à tout moment.
ISO 27001 prépare les organisations aux audits — typiquement dans un cycle planifié. Ce que NIS2 exige est un modèle opérationnel différent : les preuves doivent être disponibles à tout moment, pas assemblées quand la demande arrive.
Concrètement, cela signifie : des artefacts vérifiables plutôt que des assertions — des systèmes et des journaux, pas seulement des documents. Des artefacts avec des métadonnées : statut de version, période de validité, propriétaires, historique des modifications. La capacité de présenter des évaluations fournisseurs actuelles, des rapports d'incidents et des preuves de contrôles à un auditeur à tout moment.
Les preuves sous NIS2 ne sont pas de la « décoration d'audit » — c'est la production continue du travail en cours. Les organisations qui assemblent des preuves pour les audits ont un système de gouvernance. Les organisations qui peuvent les récupérer à la demande ont un système opérationnel. NIS2 exige le second.
→ Article approfondi : Préparation aux audits NIS2 : De la documentation aux preuves continues
Ce que couvre ISO 27001 et ce qu'il ne couvre pas — Aperçu
| Exigence NIS2 | ISO 27001 | Ajout opérationnel nécessaire ? |
|---|---|---|
| Analyse des risques et politiques de sécurité (Art. 21(2)(a)) | ✅ Composant essentiel | Non |
| Continuité d'activité et gestion de crise (Art. 21(2)(c)) | ✅ Couvert | Non |
| Formation et sensibilisation (Art. 21(2)(g)) | ✅ Couvert | Non |
| Politiques de cryptographie (Art. 21(2)(h)) | ✅ Couvert | Non |
| Contrôles d'accès et gestion des actifs (Art. 21(2)(i)) | ✅ Couvert | Non |
| Évaluation de l'efficacité (Art. 21(2)(f)) | ⚠️ Processus oui, preuves continues non | Oui |
| Gestion des incidents et obligations de signalement (Art. 21(2)(b), Art. 23) | ⚠️ Processus oui, capacité opérationnelle 24 h non | Oui |
| Sécurité de la chaîne d'approvisionnement (Art. 21(2)(d)) | ⚠️ Évaluation ponctuelle, pas de surveillance continue | Oui |
| Responsabilité de la direction (Art. 20) | ⚠️ Rôles définis, responsabilité personnelle non opérationnalisée | Oui |
Ce que cela signifie pour votre organisation
Les conséquences sont clairement définies : les violations des articles 21 ou 23 peuvent entraîner des amendes allant jusqu'à 10 millions EUR ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et jusqu'à 7 millions EUR ou 1,4 % pour les entités importantes. En Allemagne, le § 38 BSIG rend la direction personnellement responsable — et toute renonciation aux créances contre la direction est juridiquement nulle.
Ce ne sont pas des scénarios théoriques. Les autorités de supervision ont le pouvoir de demander des preuves à tout moment, de mener des audits et d'émettre des instructions contraignantes. La question n'est pas de savoir si, mais quand.
Ce que les organisations devraient faire maintenant
Disposer d'un SMSI signifie avoir une bonne position de départ. Mais trois étapes sont nécessaires pour combler l'écart entre ISO 27001 et la conformité réelle à NIS2 :
Premièrement : Réaliser une analyse des écarts entre votre SMSI et les exigences opérationnelles de NIS2. Pas « avons-nous un processus ? » mais « pouvons-nous l'exécuter sous pression temporelle, vis-à-vis de parties externes, de manière opérationnelle ? » Les trois écarts ci-dessus — obligations de signalement, chaîne d'approvisionnement, preuve d'efficacité — sont le point de départ.
Deuxièmement : Construire des systèmes opérationnels pour ce que le SMSI ne couvre pas. Un système de gestion des incidents capable de produire des rapports coordonnés dans les 24 heures. Un processus d'assurance fournisseur qui va au-delà des questionnaires annuels. Une couche de preuves qui fournit des preuves en continu — pas seulement pour le prochain audit.
Troisièmement : Connecter votre SMSI et vos systèmes opérationnels. La conformité NIS2 n'est pas un choix entre l'un ou l'autre. Un SMSI pour le contrôle interne, un Trust Center pour la communication externe et les preuves — deux faces de la même médaille. Les organisations qui connectent les deux transforment l'effort de conformité en un système fonctionnel — et la documentation en véritable résilience.
→ Article connexe : Vous êtes concerné par NIS2 — Et maintenant ? Les lacunes opérationnelles au-delà de votre SMSI
Sources
- Directive (UE) 2022/2555 (Directive NIS2) – Texte intégral – Journal officiel de l'Union européenne. Le texte complet de la directive NIS2, incluant les articles 20, 21 et 23 référencés tout au long de cet article.
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland – Office fédéral de la sécurité des technologies de l'information. La loi de transposition allemande, les exigences d'enregistrement et les orientations pour les organisations concernées.
- ISO/IEC 27001:2022 – Systèmes de management de la sécurité de l'information – Organisation internationale de normalisation. La norme SMSI référencée comme base de gouvernance tout au long de cet article.
- ENISA – Guide de mise en œuvre des mesures de sécurité NIS2 – Orientations techniques sur la mise en œuvre des mesures de gestion des risques requises par l'article 21.
- ENISA – Correspondance des exigences NIS2 avec ISO 27001 – Correspondance de l'ENISA entre les exigences NIS2 et les contrôles ISO 27001.
- OpenKRITIS - NIS2-Betroffenheitsprüfung – Outil d'auto-évaluation du BSI pour l'applicabilité de NIS2.