CYBER EXPERT
Retour au blog
NIS2ISO 27001Conformité

ISO 27001 vs NIS2 : tableau comparatif et stratégie combinée

ISO 27001 ou NIS2 ? Les deux. Comparatif clair, recouvrements à exploiter et feuille de route 12 mois pour mutualiser les efforts.

Hakim Djelili7 min de lecture
NIS2ISO 27001Conformité

ISO 27001 vs NIS2 : tableau comparatif et stratégie combinée

Cyber Expert · Le blog

Beaucoup de dirigeants posent la mauvaise question : « ISO 27001 ou NIS2 ? ». La bonne formulation est : « comment construire un dispositif unique qui répond aux deux ? ». ISO 27001 est une certification volontaire ; NIS2 est une obligation légale. Les deux partagent environ 70 % d'exigences communes. Bien orchestré, le second projet ne coûte que 30 % du premier.

Vue d'ensemble

Trois différences qui changent tout

Volontaire

ISO 27001

Vous choisissez de vous certifier — preuve commerciale

Obligatoire

NIS2

Vous êtes concerné ou pas — sanction légale

≈ 70 %

Recouvrement

Exigences communes entre les deux référentiels

Les deux référentiels

Comparatif côte à côte

Norme volontaire

ISO 27001

  • Norme ISO/IEC internationale, version 2022
  • Certification par un organisme accrédité (LSTI, AFNOR, BSI...)
  • 114 mesures de sécurité (annexe A) déclinées en 4 thèmes
  • Audit annuel + recertification tous les 3 ans
  • Coût d'audit : 8 000 à 25 000 € pour une PME
  • Reconnaissance commerciale internationale
  • Approche par le risque, ISMS documenté et vivant

Loi européenne

NIS2

  • Directive européenne 2022/2555, transposée en droit français en 2025
  • Contrôle par l'ANSSI, sans préavis
  • 10 mesures techniques et organisationnelles minimales
  • Notification d'incident sous 24 h / 72 h
  • Sanctions jusqu'à 10 M€ ou 2 % du CA mondial
  • Responsabilité personnelle des dirigeants
  • Pas d'audit récurrent obligatoire — mais contrôle possible à tout moment

Le tableau qui compte

Exigence par exigence

DomaineISO 27001:2022NIS2Recouvrement
Politique SSIExigée (clause 5)Exigée100 %
Analyse des risquesMéthode formaliséeExigée100 %
Gestion des incidentsProcédure + journalProcédure + notification 24 h80 %
Continuité d'activitéPCA / PRA testésPCA / PRA testés100 %
Sécurité des fournisseursÉvaluation contractuelleÉvaluation cybersécurité90 %
CryptographiePolitique formaliséeMesures appropriées100 %
Contrôle d'accèsA.5.15 à A.5.18MFA + moindre privilège90 %
SensibilisationA.6.3Formation annuelle100 %
Audits internesProgramme annuel obligatoireNon exigé0 %
Revue de directionTrimestrielle minimumValidation des mesures60 %
Notification incidentPas de délai légal24 h / 72 h / 1 mois0 %
Engagement personnel directionNonOui (responsabilité civile et pénale)0 %

Comment choisir

Quel chemin pour quelle PME ?

1Êtes-vous concerné par NIS2 (50+ salariés ou 10 M€+ CA dans un secteur listé) ?

Oui

NIS2 d'abord — c'est une obligation légale.

Non

ISO 27001 reste pertinente pour vos appels d'offres.

2Vendez-vous à des grands comptes, à l'international ou au secteur public ?

Oui

ISO 27001 en complément — la certification ouvre des marchés.

Non

NIS2 seule peut suffire à court terme.

3Disposez-vous d'un budget annuel cybersécurité supérieur à 50 000 € ?

Oui

Vous pouvez viser les deux en 18 à 24 mois (stratégie combinée).

Non

Phasez : NIS2 d'abord (12 mois), ISO 27001 ensuite (12 à 18 mois additionnels).

L'approche maligne

La stratégie combinée en 4 étapes

L'idée centrale : construire un seul système de management de la sécurité (ISMS) qui répond aux deux référentiels, plutôt que deux dispositifs parallèles.

  1. Mois 1 à 3

    Diagnostic d'écart double

    Une seule mission qui mesure simultanément la conformité ISO 27001 et NIS2. 60 % du travail est mutualisé.

  2. Mois 4 à 9

    Construction du socle commun

    Politique SSI, analyse de risques, gestion des actifs, contrôle d'accès, sensibilisation : ces briques répondent aux deux référentiels en une seule passe.

  3. Mois 10 à 12

    Spécifiques NIS2

    Procédure de notification 24 h, formation dirigeants, enregistrement ANSSI, plan de gestion de crise impliquant la direction.

  4. Mois 13 à 18

    Spécifiques ISO 27001

    Programme d'audits internes, revues de direction trimestrielles, audit blanc, audit de certification.

Pièges à éviter

Les 4 erreurs qui coûtent cher

  • Croire qu'une certification ISO 27001 ancienne (versions 2013 ou non révisée) couvre encore NIS2 — la révision 2022 est attendue.
  • Lancer le projet NIS2 sans cartographier les recouvrements ISO 27001, et payer deux fois pour les mêmes contrôles.
  • Sous-traiter la gouvernance NIS2 à un MSP tout en gardant un ISMS ISO en interne : deux référents, deux logiques, perte d'efficacité.
  • Attendre la première sanction ANSSI pour s'aligner — les contrôleurs n'aiment pas les démarches réactives.
Besoin d'un avis sur votre situation ?

Discutons-en 30 minutes, sans engagement

Un échange franc avec un consultant sénior pour cadrer vos priorités cybersécurité et clarifier vos obligations.

Prendre rendez-vous