NIS2 vs ISO 27001 : quelles différences ?

Votre entreprise doit-elle se conformer à la NIS2, se faire certifier ISO 27001, ou les deux à la fois ? La question revient de plus en plus souvent chez les responsables IT et sécurité, et la réponse est rarement évidente. La première est obligatoire et s’accompagne de sanctions. La seconde reste volontaire, mais les clients et les partenaires l’exigent de plus en plus.

Bonne nouvelle, les deux ne s’opposent pas. Dans cet article, nous vous expliquons ce qui les distingue, ce qui les rapproche et comment vous appuyer sur l’une pour avancer sur l’autre sans tout faire deux fois.

Qu’est-ce que la NIS2 ?

La NIS2 (directive UE 2022/2555) est le texte européen qui renforce le niveau commun de cybersécurité dans l’ensemble de l’Union européenne. Elle remplace l’ancienne directive NIS de 2016, élargit les secteurs concernés et durcit aussi bien les obligations que les sanctions. En France, elle a été transposée par la loi du 30 avril 2025, dont l’application est pilotée par l’ANSSI. Sa logique est limpide. Il s’agit de faire passer la sécurité du statut de simples bonnes pratiques recommandées à celui d’une obligation légale contrôlée.

Qui est concerné par la NIS2 ?

La NIS2 ne s’applique pas de la même manière à toutes les entreprises. Pour savoir qui est concerné, elle combine trois critères que sont le périmètre géographique (opérer ou fournir des services dans l’UE), le secteur d’activité et la taille de l’organisation (en règle générale, plus de 50 salariés ou plus de 10 millions d’euros de chiffre d’affaires).

Sur la base de ces critères, la directive classe les organisations en deux catégories.

• Entités essentielles : elles opèrent dans des secteurs hautement critiques comme l’énergie, les transports, la banque, la santé ou les infrastructures numériques, et font l’objet d’une surveillance renforcée.
• Entités importantes : elles relèvent d’autres secteurs sensibles (services numériques, fabrication, agroalimentaire, gestion des déchets, etc.), avec un niveau de criticité un peu moindre.

Il faut garder en tête que la taille n’exonère pas toujours. Une PME peut être concernée si son activité est critique ou si elle fait partie de la chaîne d’approvisionnement d’une entreprise qui, elle, l’est. Nous le détaillons dans nos articles sur les entreprises concernées par la NIS2 et sur la différence entre entités essentielles et importantes.

Obligations et sanctions de la NIS2

La NIS2 impose de passer de contrôles ponctuels à une gestion des risques continue, étayée par des preuves claires et une gouvernance solide. Parmi les mesures minimales prévues par l’article 21 figurent les suivantes.

• Des politiques d’analyse et de gestion des risques documentées.
• La gestion des incidents, avec un processus structuré de détection, de réponse et de notification.
• La continuité d’activité : sauvegardes, reprise après sinistre et gestion de crise.
• La sécurité de la chaîne d’approvisionnement et des fournisseurs.
• Le recours à la cryptographie et au chiffrement.
• Le contrôle des accès, l’authentification multifacteur et la cyberhygiène.

À cela s’ajoute la responsabilité directe des dirigeants. Les organes de direction doivent approuver et superviser ces mesures, et ils en répondent en cas de manquement. Le régime de sanctions est sévère. Il peut atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4 % pour les entités importantes.

Préparez-vous à NIS2 avec plus de contrôle et moins de chaos

Centralisez appareils, accès et processus IT en un seul endroit pour réduire les tâches manuelles et gagner en visibilité.

En savoir plus

Qu’est-ce que l’ISO 27001 ?

L’ISO/IEC 27001 est la norme internationale de référence en matière de sécurité de l’information. Contrairement à la NIS2, elle ne vise aucun secteur en particulier et n’est imposée par aucune loi. Toute organisation peut l’adopter, quelle que soit sa taille ou son activité. Les entreprises se font certifier de leur plein gré pour démontrer leur maturité en matière de sécurité auprès de leurs clients, de leurs partenaires ou de leurs assureurs.

Le SMSI au cœur de l’ISO 27001

Le cœur de la norme, c’est le Système de management de la sécurité de l’information (SMSI). Il s’agit d’un cadre qui structure la façon dont une organisation identifie ses risques, choisit les mesures à appliquer et s’améliore en continu. Ce n’est pas un projet que l’on referme une fois terminé, mais un cycle que l’on révise et que l’on met à jour au fil du temps.

Pour concrétiser ces mesures, l’ISO 27001:2022 s’accompagne de son annexe A, qui regroupe 93 mesures de sécurité réparties en quatre grands domaines (organisationnel, humain, physique et technologique). Chaque organisation retient celles qui s’appliquent à son contexte, à partir de son analyse de risques.

Comment fonctionne la certification ?

La certification ISO 27001 est délivrée par un organisme accrédité et indépendant, à l’issue d’un audit. Ce n’est pas une démarche ponctuelle. Le certificat a une durée de validité limitée et se maintient grâce à des audits de suivi réguliers et à une recertification à intervalles définis. Perdre sa certification n’entraîne pas d’amende légale, mais le coût commercial peut être élevé dans les secteurs où elle est exigée par contrat.

Obtenez la certification ISO 27001 en quelques semaines

Factorial IT combine MDM, gestion des accès et un consultant compliance dédié pour vous mener jusqu'à la certification.

En savoir plus

Différences entre NIS2 et ISO 27001

Les deux poursuivent le même objectif, renforcer la sécurité de l’information, mais elles l’abordent selon des logiques très différentes. Le tableau ci-dessous résume les points clés.

En une phrase, la NIS2 vous oblige à rendre des comptes devant la loi, tandis que l’ISO 27001 vous offre un cadre structuré et reconnu pour prouver que vous gérez bien votre sécurité.

Comment la NIS2 et l’ISO 27001 se complètent-elles ?

Voilà le point que beaucoup d’organisations laissent de côté. Loin de s’opposer, les deux se renforcent. La directive elle-même reconnaît les normes internationales comme une référence valable pour mettre en place les mesures de sécurité, et une entreprise déjà certifiée ISO 27001 a parcouru une bonne partie du chemin vers la NIS2.

La raison tient à leur socle commun. Les deux cadres reposent sur la même logique de gestion des risques. La plupart des mesures techniques exigées par l’article 21 de la NIS2 (analyse des risques, gestion des incidents, continuité d’activité, chiffrement, contrôle des accès ou cyberhygiène) trouvent un équivalent direct parmi les mesures de l’annexe A de l’ISO 27001. Le SMSI apporte en plus la structure organisationnelle dont la NIS2 a besoin, comme les politiques, le registre des risques, les plans de traitement et les indicateurs que tout superviseur voudra consulter.

Les différences se concentrent sur trois points que l’ISO 27001 ne couvre pas entièrement et qu’il vous faudra renforcer.

• La notification formelle à l’autorité, avec les délais de 24 h, 72 h et un mois que la norme n’impose pas.
• Les exigences sur la chaîne d’approvisionnement, plus détaillées et plus explicites dans la NIS2.
• La responsabilité juridique des dirigeants, qui entraîne dans la NIS2 des conséquences personnelles.

La stratégie la plus efficace consiste donc à utiliser l’ISO 27001 comme socle méthodologique et documentaire, puis à y ajouter la couche spécifique que réclame la NIS2. Vous évitez ainsi de dupliquer la documentation et vous tirez parti de l’investissement déjà réalisé.

Comment Factorial IT vous aide face à la NIS2 et à l’ISO 27001

Dans la pratique, la NIS2 et l’ISO 27001 partagent le même point faible. Avoir une politique écrite ne sert à rien si vous ne pouvez pas prouver qu’elle s’applique sur l’ensemble de votre parc d’appareils. Les auditeurs ne demandent pas si vous avez mis en place de la sécurité, mais si vous êtes en mesure de le démontrer.

C’est précisément là que Factorial IT transforme les exigences en preuves opérationnelles générées de façon automatique.

• Inventaire et cycle de vie du parc IT : un catalogue vivant de tous les appareils et de leurs logiciels, avec l’état, le propriétaire et le niveau de sécurité de chaque poste. C’est la base de toute analyse de risques.
• Sécurité des appareils multi-OS : politiques de chiffrement, de verrouillage et de mots de passe appliquées automatiquement dès l’enrôlement de chaque poste Mac, Windows ou Linux via le MDM, avec verrouillage et effacement à distance vérifiables.
• Gestion des accès SaaS : provisionnement et déprovisionnement automatisés et reliés aux RH, de sorte que lorsqu’un salarié quitte l’entreprise, ses accès sont révoqués sur-le-champ et l’opération est tracée.
• Détection et réponse (EDR) : protection contre les logiciels malveillants et les rançongiciels déployée sur chaque appareil, avec la possibilité d’isoler les postes compromis.
• Traçabilité et preuves pour l’audit : un journal de qui a fait quoi et quand, ainsi que des rapports de conformité exportables qui documentent l’application uniforme des mesures.

Dans les faits, Factorial IT centralise les appareils, les accès et les workflows IT au sein d’une seule plateforme connectée à votre système RH. Résultat, moins de gestion manuelle, plus de visibilité et, surtout, la capacité de présenter des preuves concrètes le jour de l’audit, que votre objectif soit de vous conformer à la NIS2, d’obtenir la certification ISO 27001, ou les deux à la fois.