NIS2 vs ISO 27001 : Différences et Stratégie
Votre PME est concernée par la directive NIS2 et vous vous demandez si votre certification ISO 27001 suffit ? Ou à l’inverse, vous n’avez ni l’une ni l’autre et cherchez par où commencer ? Ces deux référentiels partagent un objectif commun — renforcer la sécurité de votre système d’information — mais leur nature, leur périmètre et leurs exigences diffèrent sensiblement. Selon les estimations des experts, ISO 27001 couvre environ 70 à 80 % des exigences NIS2. Reste donc 20 à 30 % de lacunes à combler. Ce guide vous aide à comprendre les différences entre NIS2 et ISO 27001, à identifier les zones de recouvrement et à choisir la stratégie la plus adaptée à votre situation.
En résumé
ISO 27001 couvre environ 70 à 80 % des exigences NIS2. Les lacunes principales : notification d’incident (24h/72h), responsabilité personnelle des dirigeants, sécurité élargie de la supply chain et authentification multifacteur obligatoire. Ce guide détaille les différences, les zones de recouvrement et la stratégie optimale selon votre situation.
NIS2 et ISO 27001 : deux cadres, un même objectif
Avant de comparer NIS2 et ISO 27001 en détail, posons les bases. Ces deux référentiels visent à protéger les systèmes d’information, mais empruntent des chemins très différents.
NIS2 : une obligation réglementaire européenne
La directive NIS2 (UE 2022/2555) est un texte législatif de l’Union européenne. Elle impose des obligations de cybersécurité aux entités opérant dans des secteurs critiques : énergie, santé, transports, infrastructures numériques, mais aussi agroalimentaire, gestion des déchets ou industrie chimique. En France, la Loi Résilience en cours d’adoption transpose ces obligations dans le droit national. Adoptée en première lecture au Sénat en mars 2025, elle devrait entrer en vigueur courant 2026. NIS2 s’inscrit dans un ensemble plus large de réglementations européennes, dont le Cyber Resilience Act qui vise les fabricants de produits numériques.
NIS2 est obligatoire. Les entités concernées n’ont pas le choix : elles doivent se conformer sous peine de sanctions NIS2 en cas de non-conformité pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Environ 15 000 entités sont concernées en France.
ISO 27001 : une norme volontaire internationale
La norme ISO/IEC 27001:2022 est un standard international publié par l’ISO. Elle définit les exigences pour mettre en place un Système de Management de la Sécurité de l’Information (SMSI). Ce SMSI structure la gouvernance, l’évaluation des risques et la mise en place de contrôles de sécurité adaptés.
ISO 27001 est volontaire. Aucune loi n’impose cette certification. Les organisations choisissent de la poursuivre pour démontrer leur maturité en sécurité auprès de leurs clients, partenaires ou assureurs. La certification est délivrée par un organisme accrédité après un audit indépendant.
Ce qui les rapproche
Malgré leurs différences de nature, NIS2 et ISO 27001 partagent des fondamentaux communs :
-
Approche par les risques : Les deux exigent une évaluation formelle des risques cyber.
-
Gouvernance : Les deux imposent l'implication de la direction dans la stratégie de sécurité.
-
Gestion des incidents : Les deux requièrent des processus de détection, de réponse et de documentation des incidents.
-
Sécurité de la supply chain : Les deux intègrent la gestion des risques fournisseurs.
-
Amélioration continue : Les deux reposent sur un cycle d'évaluation et d'amélioration permanente.
Les différences fondamentales entre NIS2 et ISO 27001
Si les deux référentiels se complètent, ils divergent sur des points structurants. Voici un tableau comparatif pour clarifier les choses.
NIS2 vs ISO 27001 : tableau comparatif
| Critère | NIS2 | ISO 27001 |
|---|---|---|
| Nature | Directive européenne (loi) | Norme internationale (volontaire) |
| Obligation | Obligatoire pour les entités concernées | Volontaire |
| Périmètre géographique | Union européenne | Mondial |
| Secteurs visés | 18 secteurs critiques définis | Tous secteurs, toutes tailles |
| Focus principal | Résilience des infrastructures critiques | Protection de l'information (CIA) |
| Notification d'incident | 24h (alerte) + 72h (rapport) à l'ANSSI | Pas d'obligation de notification externe |
| Responsabilité dirigeants | Personnelle, avec formation obligatoire | Implication requise, pas de responsabilité personnelle |
| Sanctions | Amendes jusqu'à 10 M€ / 2 % CA | Perte de certification (pas d'amende) |
| Sécurité supply chain | Exigences larges (IT et non-IT) | Contrôles IT fournisseurs (Annexe A.15) |
| Continuité d'activité | Exigence renforcée (PCA/PRA) | Couverte mais moins prescriptive |
| Certification | Pas de certification NIS2 | Certification par organisme accrédité |
| Mise à jour | Transposition nationale variable | Révision périodique (dernière : 2022) |
Nature et force juridique
La différence la plus fondamentale : NIS2 a force de loi. Ne pas s’y conformer expose à des sanctions financières et administratives. ISO 27001, en tant que norme volontaire, n’entraîne pas de sanctions légales en cas de non-respect. La conséquence maximale est la perte ou le refus de certification.
Périmètre d’application
NIS2 cible spécifiquement les entités opérant dans les 18 secteurs critiques définis par la directive, avec des critères de taille (généralement 50+ salariés ou 10 M€+ de CA). Vous pouvez vérifier si votre entreprise est concernée. ISO 27001 est universelle : toute organisation peut l’adopter, quelle que soit sa taille ou son secteur.
Notification d’incident : le fossé majeur
C’est l’une des différences les plus concrètes. NIS2 impose un processus de notification strict auprès de l’ANSSI :
- Sous 24 heures : alerte préliminaire à l’autorité compétente.
- Sous 72 heures : rapport d’incident détaillé.
- Sous 1 mois : rapport final avec analyse des causes et mesures correctives.
ISO 27001 exige de documenter les incidents et d’en tirer des enseignements, mais ne prescrit aucune obligation de notification à une autorité externe. Pour une PME, cette différence implique de mettre en place des procédures d’escalade et de communication réglementaire absentes du cadre ISO.
Responsabilité personnelle des dirigeants
NIS2 introduit une responsabilité personnelle des organes de direction (article 20). Les dirigeants doivent approuver les mesures de cybersécurité, superviser leur mise en place et suivre une formation en cybersécurité. En cas de manquement grave, une interdiction temporaire d’exercer des fonctions de direction est possible pour les entités essentielles.
ISO 27001 exige l’engagement de la direction, mais sans responsabilité personnelle ni obligation de formation spécifique.
Ce que couvre ISO 27001 dans les exigences NIS2
L’article 21 de la directive NIS2 liste 10 mesures minimales de gestion des risques. Voyons comment ISO 27001:2022 et ses contrôles de l’Annexe A (détaillés dans ISO 27002) répondent à chacune.
Couverture ISO 27001 des exigences NIS2 (Article 21)
| Mesure NIS2 (Article 21) | Couverture ISO 27001:2022 | Niveau |
|---|---|---|
| 1. Politiques de gestion des risques et sécurité SI | Clauses 4-10 + A.5 (Politiques) | Complète |
| 2. Gestion des incidents | A.5.24-5.28 (Gestion incidents) | Partielle (pas de notification 24h) |
| 3. Continuité d'activité et gestion de crise | A.5.29-5.30 (Continuité) | Partielle (PCA moins prescriptif) |
| 4. Sécurité de la chaîne d'approvisionnement | A.5.19-5.23 (Relations fournisseurs) | Partielle (périmètre IT surtout) |
| 5. Sécurité acquisition, développement, maintenance SI | A.8.25-8.34 (Développement sécurisé) | Complète |
| 6. Évaluation de l'efficacité des mesures | Clause 9 (Évaluation performance) | Complète |
| 7. Pratiques de cyberhygiène et formation | A.6.3 (Sensibilisation) | Complète |
| 8. Politiques de cryptographie | A.8.24 (Cryptographie) | Complète |
| 9. Sécurité RH et contrôle d'accès | A.6.1-6.8 + A.8.1-8.5 | Complète |
| 10. Authentification multifacteur et communications sécurisées | A.8.5 (Authentification) | Partielle (MFA recommandé, pas imposé) |
Les zones de recouvrement solide
Sur les 10 mesures de l’article 21, 5 à 6 sont couvertes de manière complète par ISO 27001:2022. Les politiques de sécurité, le développement sécurisé, l’évaluation des mesures, la sensibilisation cybersécurité, la cryptographie et le contrôle d’accès trouvent des équivalents directs dans les contrôles de l’Annexe A.
Une PME certifiée ISO 27001 dispose donc d’un socle solide. Les processus documentés, les audits internes et la gouvernance du SMSI constituent une base directement réutilisable pour NIS2.
Les lacunes à combler impérativement
Quatre domaines présentent des écarts significatifs :
1. Notification d’incident réglementaire ISO 27001 ne prévoit pas de notification aux autorités. Pour NIS2, il faut créer des procédures spécifiques : qui notifie, quand, comment, avec quel contenu. L’ANSSI met à disposition la plateforme MonEspaceNIS2 pour centraliser ces déclarations.
2. Continuité d’activité renforcée ISO 27001 aborde la continuité (A.5.29-5.30), mais NIS2 exige un niveau de préparation supérieur : plans de reprise d’activité (PRA) testés, gestion de crise structurée, capacité de maintien des fonctions essentielles. La norme complémentaire ISO 22301 couvre ce volet de manière plus approfondie.
3. Sécurité élargie de la supply chain ISO 27001 traite la sécurité des fournisseurs IT (hébergeurs, éditeurs, prestataires). NIS2 va plus loin : la directive impose d’évaluer les risques de l’ensemble de la chaîne d’approvisionnement, y compris les fournisseurs non-IT dont une défaillance pourrait impacter vos services critiques.
4. Authentification multifacteur ISO 27001 recommande l’authentification forte sans l’imposer formellement. NIS2 est plus directif : l’authentification multifacteur (MFA) fait partie des mesures explicitement citées à l’article 21.
Vous avez ISO 27001 et vous vous demandez ce qu’il reste à faire pour NIS2 ? Nous réalisons un diagnostic d’écart précis entre votre SMSI et les exigences de la directive. Contactez-nous pour un premier échange gratuit.
Faut-il être certifié ISO 27001 pour être conforme NIS2 ?
Non. La certification ISO 27001 n’est pas un prérequis pour la conformité NIS2. Et inversement, être conforme NIS2 ne délivre pas de certification ISO 27001.
Ce sont deux démarches indépendantes. Cependant, elles se renforcent mutuellement. Voici les trois scénarios les plus fréquents pour les PME.
Scénario 1 : votre PME est déjà certifiée ISO 27001
Vous partez avec un avantage considérable. Votre SMSI couvre déjà la majorité des exigences NIS2. Consultez notre checklist de conformité NIS2 pour identifier précisément les écarts. Il vous reste à :
- Mettre en place les procédures de notification d’incident (24h/72h/1 mois).
- Renforcer votre PCA/PRA pour répondre aux exigences de continuité renforcée.
- Élargir l’évaluation des risques fournisseurs au-delà du périmètre IT.
- Former spécifiquement les dirigeants (obligation article 20).
- Documenter la conformité aux exigences sectorielles spécifiques.
Estimation : 2 à 4 mois de travail complémentaire, selon la maturité de votre SMSI.
Scénario 2 : votre PME n’a pas de SMSI mais doit se conformer à NIS2
Commencez par NIS2. C’est l’obligation légale, c’est la priorité. Un audit de sécurité informatique permet d’évaluer votre niveau actuel et d’identifier les écarts — consultez notre guide sur le prix d’un audit cybersécurité pour anticiper le budget.
Si vous structurez votre démarche NIS2 en vous appuyant sur la méthodologie ISO 27001 (sans viser la certification), vous construisez un socle réutilisable. Le jour où vous souhaiterez obtenir la certification, l’effort supplémentaire sera limité.
Estimation : 6 à 12 mois pour atteindre la conformité NIS2, selon votre point de départ.
Scénario 3 : votre PME veut les deux
Combiner NIS2 et ISO 27001 est la stratégie la plus robuste. Commencez par la conformité NIS2 (obligation légale), puis complétez vers ISO 27001 pour obtenir la certification.
Cette approche présente plusieurs avantages :
- Conformité réglementaire assurée dès la première phase.
- Certification valorisable auprès des clients et partenaires.
- Exigences cyber-assurance souvent satisfaites par ISO 27001.
- Avantage concurrentiel sur les appels d’offres.
Estimation : 12 à 18 mois pour l’ensemble du parcours.
Comment Meldis accompagne votre double conformité
Basé à Montpellier, Meldis accompagne les PME d’Occitanie dans leur mise en conformité NIS2 et leur démarche ISO 27001. Notre approche est progressive et adaptée aux contraintes budgétaires des PME.
Diagnostic d'écart
Évaluation de votre niveau actuel par rapport aux exigences NIS2 et ISO 27001.
Plan d'action priorisé
Recommandations classées par criticité et par coût, pour avancer étape par étape.
Accompagnement opérationnel
Mise en place des politiques, des procédures et des contrôles techniques.
Préparation à l'audit
Documentation et revue avant l'audit de certification ISO 27001.
Un interlocuteur unique, une relation directe, sans plateforme de ticketing. Contactez-nous pour évaluer votre situation.
Aides disponibles pour les PME
Plusieurs dispositifs allègent le coût de la mise en conformité : Diagnostic Cybersécurité Bpifrance (audit de 8 800 € HT, subventionné à 32 % — reste à charge : 6 000 € HT), France Num (aide à la transformation numérique incluant un volet cybersécurité), aides régionales (Occitanie incluse) et crédit d’impôt innovation sous certaines conditions. Contactez-nous pour évaluer les aides applicables à votre situation.
FAQ : NIS2 vs ISO 27001
Questions Fréquentes
Est-ce que ISO 27001 suffit pour être conforme NIS2 ?
Non. ISO 27001 couvre environ 70 à 80 % des exigences NIS2, mais des lacunes subsistent. La notification d'incident sous 24 heures, la responsabilité personnelle des dirigeants, les exigences élargies de supply chain et l'authentification multifacteur obligatoire ne sont pas couvertes par ISO 27001 seule.
Faut-il être certifié ISO 27001 pour se conformer à NIS2 ?
Non. La certification ISO 27001 n'est pas un prérequis pour la conformité NIS2. Cependant, disposer d'un SMSI structuré facilite considérablement la démarche. Les processus, la documentation et la gouvernance déjà en place couvrent une grande partie des exigences de la directive.
Par quoi commencer : NIS2 ou ISO 27001 ?
Si votre entreprise est concernée par NIS2, commencez par la conformité NIS2. C'est une obligation légale avec des échéances et des sanctions. Structurez votre démarche en vous appuyant sur la méthodologie ISO 27001 pour construire un socle réutilisable. La certification ISO 27001 peut suivre dans un second temps.
ISO 27001 couvre-t-elle la notification d'incident exigée par NIS2 ?
Non. ISO 27001 exige de documenter et de gérer les incidents de sécurité en interne, mais ne prescrit aucune obligation de notification à une autorité externe. NIS2 impose une alerte préliminaire sous 24 heures et un rapport détaillé sous 72 heures auprès de l'ANSSI via la plateforme MonEspaceNIS2.
La certification ISO 27001 donne-t-elle un avantage pour les contrôles NIS2 ?
Oui, dans une certaine mesure. Lors d'un contrôle de l'ANSSI, une certification ISO 27001 démontre une démarche structurée et auditable. Les preuves documentées du SMSI (politiques, registres de risques, rapports d'audit interne) constituent des éléments tangibles de conformité. Cependant, le contrôleur vérifiera aussi les exigences spécifiques à NIS2 non couvertes par ISO 27001.
Vous ne savez pas si votre PME est concernée par NIS2 ? Consultez notre guide complet sur la directive NIS2 ou découvrez notre accompagnement conformité NIS2. Contactez Meldis pour un diagnostic de votre situation.