Se rendre au contenu

ISO 27001 et NIS2 : arrêtez de les traiter séparément

Voici comment les aligner pour diviser votre charge de conformité par deux
5 avril 2026 par
ISO 27001 et NIS2 : arrêtez de les traiter séparément
Louis Collard

Deux projets, un seul problème

Vous avez reçu une lettre de mise en conformité NIS2 alors que vous êtes déjà engagé dans un projet ISO 27001 ? Ou l'inverse ? 

Dans les deux cas, il y a de bonnes chances que vos équipes, ou vos consultants, traitent ces deux sujets dans des réunions séparées, avec des budgets distincts, et des livrables qui ne se parlent pas. 

C'est compréhensible : NIS2 vient du régulateur, ISO 27001 vient de l'organisme de certification, et les deux semblent obéir à des logiques entièrement différentes. 

Mais cette approche cloisonnée vous coûte du temps, de l'argent, et de la sérénité. Ce n'est pas une fatalité.

Ce que NIS2 exige vraiment

La directive NIS2, transposée dans les législations belge, luxembourgeoise et française depuis fin 2024, impose des obligations concrètes aux entités essentielles et importantes dans des secteurs stratégiques : énergie, santé, finance, infrastructure numérique, transport, et bien d'autres. 

En langage opérationnel, cela se traduit par cinq grands axes : 

  1. une gestion formalisée des risques cyber, 
  2. un signalement des incidents dans des délais contraints (notification initiale en 24h, rapport complet en 72h), 
  3. une sécurisation active de la chaîne d'approvisionnement, 
  4. une responsabilité explicite de la direction sur les mesures prises, 
  5. et un socle de mesures techniques minimum (authentification multi-facteurs, chiffrement, tests de continuité).

Ce qui distingue NIS2 d'une certification volontaire : c'est une obligation légale, assortie de sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Les dirigeants peuvent être personnellement mis en cause en cas de manquement grave. Ignorer NIS2 n'est pas une option.

Consultez notre dernier article sur la responsabilité personnelle des dirigeants.

Ce qu'ISO 27001 apporte déjà

ISO 27001 est la norme internationale de référence pour la gestion de la sécurité de l'information. Elle impose aux organisations de construire un Système de Management de la Sécurité de l'Information (SMSI) : 

  • une analyse de risques formalisée, 
  • un traitement documenté de ces risques, 
  • et un ensemble de contrôles issus de l'Annexe A — plus de 90 mesures couvrant la sécurité physique, la gestion des accès, la cryptographie, la réponse aux incidents et la continuité d'activité. Des revues de direction régulières clôturent le cycle.

Pour une organisation certifiée ISO 27001, ou engagée dans cette démarche, la réalité est la suivante : elle a déjà construit entre 60 et 70 % de ce que NIS2 exige.

Le problème ? Elle ne l'a pas toujours formalisé sous l'angle NIS2, et ne sait pas systématiquement où pointer lorsque les autorités de contrôle se manifestent.

La carte des recoupements

Les deux référentiels se chevauchent substantiellement sur sept domaines clés :

  • Gestion des risques : la clause 6.1 d'ISO 27001, qui impose une analyse et un traitement des risques, répond directement aux exigences de l'article 21 de NIS2 sur la gestion des risques cyber.
  • Gestion des incidents : les contrôles A.5.24 à A.5.26 (détection, réponse, apprentissage) constituent le socle opérationnel du dispositif de notification NIS2 à 24h/72h.
  • Continuité d'activité : les contrôles A.5.29 et A.5.30 couvrent la résilience opérationnelle que NIS2 rend obligatoire pour les entités critiques.
  • Sécurité des fournisseurs : les contrôles A.5.19 à A.5.22 sur les relations fournisseurs traitent directement des exigences NIS2 relatives à la sécurité de la chaîne d'approvisionnement.
  • Contrôle d'accès : les contrôles A.5.15 à A.5.18 posent les bases de l'authentification renforcée et de la gestion des privilèges exigées par NIS2.
  • Sensibilisation et formation : le contrôle A.6.3 et l'article 20 de NIS2 partagent la même logique : former les collaborateurs et la direction à la cybersécurité est une exigence, pas une option.
  • Documentation et traçabilité : la clause 7.5 d'ISO 27001 impose la maîtrise des informations documentées. Ce sont précisément les preuves que les autorités de contrôle NIS2 demanderont lors d'une inspection.

La conclusion est simple : réaliser les deux démarches en parallèle sans capitaliser sur ces recoupements, c'est littéralement payer deux fois pour le même travail.

Les 3 points de divergence réels

Soyons honnêtes : NIS2 n'est pas simplement un habillage réglementaire d'ISO 27001. Trois points de divergence méritent une attention spécifique.

Premièrement, la responsabilité personnelle des dirigeants :

NIS2 est explicitement plus sévère qu'ISO 27001 sur ce point. Les membres de la direction peuvent être sanctionnés individuellement s'ils n'ont pas activement supervisé la mise en œuvre des mesures requises.

Deuxièmement, le périmètre d'application :

ISO 27001 est une démarche volontaire, à périmètre choisi par l'organisation. NIS2 s'impose à toute entité répondant aux critères sectoriels et de taille, indépendamment de sa volonté.

Troisièmement, le signalement obligatoire aux autorités nationales :

 L'ANSSI en France, le CCN au Luxembourg, le CCB en Belgique, avec des délais contraints et des formats précis. Il s'agit d'une obligation opérationnelle sans équivalent direct dans ISO 27001.

Ces divergences sont réelles. Mais elles représentent 30 à 40 % du chemin, pas 100 %. Traiter les deux cadres comme deux projets entièrement distincts, c'est méconnaître où se situe la vraie valeur de votre investissement.

L'approche GRC unifiée : une base commune, deux référentiels

La réponse logique à ce constat est une approche GRC (Gouvernance, Risques, Conformité) centralisée : 

  • une seule bibliothèque de contrôles, 
  • mappée simultanément sur ISO 27001 et NIS2, 
  • avec des workflows communs pour la gestion des risques, 
  • le traitement des incidents, 
  • et la préparation aux audits.

C'est précisément la philosophie de la Solution GRC Prism Technology : native sur Odoo, elle s'intègre directement à votre système d'information sans middleware supplémentaire. 

Les plans de traitement des risques, les registres d'incidents, les politiques de sécurité et les preuves d'audit sont gérés dans un environnement unique. Un seul audit interne couvre les deux référentiels.

La réduction estimée de la charge de conformité se situe entre 40 et 60 % par rapport à une approche cloisonnée… mesurée en temps passé, en coût de conseil externe, et en friction opérationnelle.

La vraie question à se poser

La question n'est plus « ISO 27001 ou NIS2 ? » mais « comment les piloter ensemble de façon durable ? » Les organisations qui répondent à cette question aujourd'hui seront celles qui transformeront la conformité en avantage compétitif : une capacité démontrée à rassurer leurs clients, leurs partenaires et leurs régulateurs avec les mêmes preuves, produites une seule fois.

Prism Technology vous aide à cartographier vos écarts, à identifier ce que vous avez déjà en place, et à bâtir un programme de conformité unifié adapté à votre secteur et à votre taille.

Demander une démo   ou   Contacter notre équipe

La cybersécurité était un problème IT. NIS2 en a fait un problème de patron.
Ce que vous devez savoir avant le 30 juin 2026