CYBER EXPERT
Retour au blog
NIS2ISO 27001Conformité

ISO 27001 vs NIS2 : comparatif et stratégie combinée

ISO 27001 ou NIS2 ? Les deux peuvent se préparer ensemble. Comparatif clair, recouvrements à exploiter et feuille de route 12 mois.

Hakim Djelili7 min de lecture
NIS2ISO 27001Conformité

ISO 27001 vs NIS2 : comparatif et stratégie combinée

Cyber Expert · Le blog

Beaucoup de dirigeants posent la mauvaise question : « ISO 27001 ou NIS2 ? ». La bonne formulation est : « comment construire un dispositif unique qui répond aux deux ? ». ISO 27001 est une certification volontaire ; NIS2 est une directive européenne dont la transposition française est portée par le projet de loi PRMD2412608L. Les deux partagent de nombreuses exigences communes. Bien orchestré, le second projet coûte beaucoup moins cher qu'un chantier séparé.

Vue d'ensemble

Trois différences qui changent tout

Volontaire

ISO 27001

Vous choisissez de vous certifier : preuve commerciale

Obligatoire

NIS2

Directive à transposer, sanctions prévues par le cadre final

≈ 70 %

Recouvrement

Exigences communes entre les deux référentiels

Les deux référentiels

Comparatif côte à côte

Norme volontaire

ISO 27001

  • Norme ISO/IEC internationale, version 2022
  • Certification par un organisme accrédité (LSTI, AFNOR, BSI...)
  • 114 mesures de sécurité (annexe A) déclinées en 4 thèmes
  • Audit annuel + recertification tous les 3 ans
  • Coût d'audit : 8 000 à 25 000 € pour une PME
  • Reconnaissance commerciale internationale
  • Approche par le risque, ISMS documenté et vivant

Directive européenne

NIS2

  • Directive européenne 2022/2555, transposition française en cours via PRMD2412608L
  • Contrôle par l'ANSSI selon les modalités françaises définitives
  • 10 mesures techniques et organisationnelles minimales
  • Notification d'incident sous 24 h / 72 h
  • Plafonds de sanctions prévus par la directive jusqu'à 10 M€ ou 2 % du CA mondial
  • Responsabilité renforcée des dirigeants
  • Pas d'audit de certification comparable à ISO 27001

Le tableau qui compte

Exigence par exigence

DomaineISO 27001:2022NIS2Recouvrement
Politique SSIExigée (clause 5)Exigée100 %
Analyse des risquesMéthode formaliséeExigée100 %
Gestion des incidentsProcédure + journalProcédure + notification 24 h80 %
Continuité d'activitéPCA / PRA testésPCA / PRA testés100 %
Sécurité des fournisseursÉvaluation contractuelleÉvaluation cybersécurité90 %
CryptographiePolitique formaliséeMesures appropriées100 %
Contrôle d'accèsA.5.15 à A.5.18MFA + moindre privilège90 %
SensibilisationA.6.3Formation annuelle100 %
Audits internesProgramme annuel obligatoireNon exigé0 %
Revue de directionTrimestrielle minimumValidation des mesures60 %
Notification incidentPas de délai légal24 h / 72 h / 1 mois0 %
Engagement personnel directionNonResponsabilité renforcée0 %

Comment choisir

Quel chemin pour quelle PME ?

1Êtes-vous potentiellement concerné par NIS2 (50+ salariés ou 10 M€+ CA dans un secteur listé) ?

Oui

NIS2 d'abord : c'est le futur cadre réglementaire à anticiper.

Non

ISO 27001 reste pertinente pour vos appels d'offres.

2Vendez-vous à des grands comptes, à l'international ou au secteur public ?

Oui

ISO 27001 en complément : la certification ouvre des marchés.

Non

Une préparation NIS2 peut suffire à court terme.

3Disposez-vous d'un budget annuel cybersécurité supérieur à 50 000 € ?

Oui

Vous pouvez viser les deux en 18 à 24 mois (stratégie combinée).

Non

Phasez : préparation NIS2 d'abord (12 mois), ISO 27001 ensuite (12 à 18 mois additionnels).

L'approche maligne

La stratégie combinée en 4 étapes

L'idée centrale : construire un seul système de management de la sécurité (ISMS) qui répond aux deux référentiels, plutôt que deux dispositifs parallèles.

  1. Mois 1 à 3

    Diagnostic d'écart double

    Une seule mission qui mesure simultanément les écarts ISO 27001 et NIS2. 60 % du travail est mutualisé.

  2. Mois 4 à 9

    Construction du socle commun

    Politique SSI, analyse de risques, gestion des actifs, contrôle d'accès, sensibilisation : ces briques répondent aux deux référentiels en une seule passe.

  3. Mois 10 à 12

    Spécifiques NIS2

    Procédure de notification 24 h, formation dirigeants, préparation des informations d'enregistrement, plan de gestion de crise impliquant la direction.

  4. Mois 13 à 18

    Spécifiques ISO 27001

    Programme d'audits internes, revues de direction trimestrielles, audit blanc, audit de certification.

Pièges à éviter

Les 4 erreurs qui coûtent cher

  • Croire qu'une certification ISO 27001 ancienne (versions 2013 ou non révisée) couvre encore NIS2 : la révision 2022 est attendue.
  • Lancer le projet NIS2 sans cartographier les recouvrements ISO 27001, et payer deux fois pour les mêmes contrôles.
  • Sous-traiter la gouvernance NIS2 à un MSP tout en gardant un ISMS ISO en interne : deux référents, deux logiques, perte d'efficacité.
  • Attendre les premiers contrôles pour s'aligner : les démarches réactives coûtent toujours plus cher.
Besoin d'un avis sur votre situation ?

Discutons-en 30 minutes, sans engagement

Un échange franc avec un consultant sénior pour cadrer vos priorités cybersécurité et clarifier vos obligations.

Prendre rendez-vous