norppa.io
Guides

Guide NIS2 · 7 min

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà — et les écarts qui restent

Si vous détenez déjà l'ISO/IEC 27001, vous ne partez pas de zéro pour NIS2 — loin de là. Un SMSI opérationnel couvre l'essentiel du socle de l'article 21. Mais la certification n'est pas la conformité : NIS2 ajoute des obligations légales qu'un SMSI, à lui seul, ne satisfait pas. Ce guide cartographie ce qui se reporte, où sont les véritables écarts, et comment les combler sans reconstruire l'existant.

Points clés

  • L'ISO 27001 couvre la plupart des mesures de l'art. 21 de NIS2 — gestion des risques, contrôle d'accès, cryptographie, continuité, contrôles fournisseurs — c'est donc une bonne longueur d'avance.
  • Mais la certification n'est pas la conformité : NIS2 ajoute les délais légaux de notification, la responsabilité de la direction, l'enregistrement et l'assurance continue de la chaîne d'approvisionnement.
  • Les plus grands écarts sont généralement le devoir de notification à 24/72 heures et la surveillance continue des tiers, pas les contrôles de base.
  • Comblez les écarts par-dessus le SMSI — ne reconstruisez pas ; cartographiez vos contrôles de l'Annexe A vers la liste de l'art. 21 et ajoutez ce qui manque.

Ce que votre SMSI couvre déjà

Le socle de l'article 21 de NIS2 et l'ISO/IEC 27001 (avec ses contrôles de l'Annexe A) se recoupent largement. Si votre SMSI fonctionne vraiment — pas seulement certifié — une grande partie de la substance technique et organisationnelle de la directive est déjà en place :

  • Gestion des risques — votre processus d'appréciation et de traitement des risques du SMSI correspond directement à l'art. 21(2)(a).
  • Contrôle d'accès et cryptographie — les contrôles d'accès et de cryptographie de l'Annexe A s'alignent sur l'art. 21(2)(i) et (h).
  • Gestion des incidents — votre processus d'incident couvre le volet traitement de l'art. 21(2)(b) (c'est sur le volet notification que NIS2 ajoute davantage).
  • Continuité d'activité — les contrôles de sauvegarde, de reprise et de continuité correspondent à l'art. 21(2)(c).
  • Relations fournisseurs — les contrôles fournisseurs de l'Annexe A sont la base sur laquelle s'appuie l'art. 21(2)(d).

Là où NIS2 va au-delà de votre SMSI

La certification prouve qu'un système géré existe pour un périmètre défini. NIS2 est une obligation légale pour toute l'entité concernée, et elle ajoute des devoirs qu'un certificat ISO, seul, ne remplit pas :

Notification d'incident légale — l'ISO 27001 exige de gérer les incidents ; NIS2 exige de notifier les incidents importants à une autorité nationale selon une horloge de 24 h / 72 h / un mois (art. 23). Aucun délai du SMSI n'égale cela.

Responsabilité et formation de la direction — NIS2 oblige l'organe de direction à approuver et superviser les mesures, à se former et à être personnellement responsable (art. 20). L'ISO demande l'engagement de la direction, pas la responsabilité juridique.

Assurance continue de la chaîne d'approvisionnement — les contrôles fournisseurs de l'Annexe A sont largement ponctuels. L'art. 21(2)(d) de NIS2, lu avec le critère des « mesures appropriées », pousse vers une surveillance continue du risque fournisseur.

Enregistrement et périmètre — de nombreuses entités doivent s'enregistrer auprès de leur autorité nationale, et NIS2 s'applique à toute l'organisation concernée, quel que soit le périmètre SMSI choisi.

Réalité de l'application — une non-conformité ISO se règle entre vous et votre certificateur ; un manquement à NIS2 peut signifier des instructions contraignantes et des amendes jusqu'à 10 M€ ou 2 % du chiffre d'affaires (art. 34).

Combler l'écart sans reconstruire

La voie efficace traite NIS2 comme un complément au-dessus d'un SMSI opérationnel, pas comme un programme parallèle :

  • Cartographiez vos contrôles de l'Annexe A vers la liste art. 21(2)(a)–(j) — la plupart des cases seront déjà remplies.
  • Mettez en place le flux de notification : qui décide de l'« importance », qui contacte le CSIRT, et le playbook 24/72 heures.
  • Portez la gouvernance NIS2 au conseil : approbation des mesures, reporting de supervision et formation de la direction (art. 20).
  • Faites passer l'assurance fournisseurs d'un questionnaire annuel à une surveillance continue pour les fournisseurs critiques.
  • Confirmez l'enregistrement auprès de votre autorité nationale, et que votre périmètre SMSI couvre les services concernés.

Source : Directive (UE) 2022/2555 (NIS2), articles 20, 21 et 23 — la cartographie ISO/IEC 27001 est indicative ; confirmez les exigences contraignantes dans votre loi de transposition nationale.

Comment norppa.io aide

Les deux écarts qu'un SMSI laisse les plus béants sont précisément ceux pour lesquels norppa.io est conçu : l'assurance fournisseurs continue et la preuve prête pour la notification. Chaque fournisseur surveillé est vérifié sur plus de 100 points de contrôle chaque jour, avec des constats cartographiés vers les mêmes sous-clauses de l'art. 21 que votre SMSI parle déjà — le contrôle de la chaîne d'approvisionnement devient continu, pas annuel.

Et comme tout est horodaté et exportable, la preuve qui soutient une notification au titre de l'art. 23 ou un contrôle se trouve aux côtés de votre documentation SMSI plutôt que dans un silo séparé. norppa.io complète l'ISO 27001 ; il ne le duplique pas.

Comblez l'écart fournisseurs que laisse votre SMSI

Voyez la surveillance fournisseurs continue et cartographiée NIS2 dans l'exemple de rapport — deux minutes.

Voir l'exemple de rapport

Guides associés

NIS2 et les exigences sur la chaîne d'approvisionnement — ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

NIS2 Art. 21(2) — liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.