Analyse des écarts entre ISO 27001 et NIS2
Une certification ISO 27001 couvre environ 70 % des exigences techniques de NIS2, mais les 30 % restants comprennent les domaines présentant le risque de sanction le plus élevé : l'enregistrement, les délais de notification des incidents et la responsabilité personnelle de la direction.
ISO 27001 est une longueur d'avance, pas une ligne d'arrivée
Si votre entreprise détient une certification ISO 27001:2022, vous êtes en avance sur la plupart des entités concernées par NIS2. Le cadre du SMSI, la méthodologie d'appréciation des risques et les mesures de l'Annexe A correspondent bien aux dix domaines de mesures de cybersécurité définis au §30(2) BSIG. Le BSI a explicitement reconnu qu'une certification ISO 27001 atteste d'une posture de sécurité mature, mais il a tout aussi explicitement indiqué que la certification seule n'équivaut pas à la conformité NIS2.
L'écart existe parce que NIS2 introduit des obligations qu'ISO 27001 n'a jamais été conçue pour traiter. ISO 27001 est une norme volontaire de système de management axée sur la sécurité de l'information au sein d'une organisation. NIS2 est une obligation réglementaire axée sur la résilience des infrastructures critiques, avec notification aux autorités, responsabilité personnelle de la direction et sanctions légales. Ce sont des paradigmes de conformité fondamentalement différents : l'un porte sur les bonnes pratiques, l'autre sur la conformité juridique.
Les orientations de cartographie de l'ENISA et les analyses de DataGuard, secuvera et du BSI lui-même identifient systématiquement les mêmes écarts. Comprendre où ISO 27001 couvre NIS2, et où elle ne le fait pas, permet aux entreprises certifiées de s'appuyer sur leur SMSI existant plutôt que de repartir de zéro, tout en veillant à ne pas négliger les exigences propres à la réglementation qui présentent le risque de sanction le plus élevé.
Gestion des risques (§30(2)(1) BSIG)
Les clauses 6.1 et 8.2 d'ISO 27001 exigent l'identification, l'analyse, l'évaluation et le traitement des risques, précisément ce que le §30(2)(1) impose. Une méthodologie d'appréciation des risques d'un SMSI existant, si elle est correctement maintenue, satisfait à cette exigence. Veillez à ce que votre registre des risques couvre spécifiquement les risques liés aux technologies opérationnelles et à la chaîne d'approvisionnement, et non seulement les risques de sécurité de l'information.
Contrôle d'accès (§30(2)(5) BSIG)
Les mesures A.5.15 à A.5.18 et A.8.2 à A.8.5 de l'Annexe A d'ISO 27001 couvrent la politique de contrôle d'accès, la gestion des accès des utilisateurs, la gestion des accès à privilèges et la restriction d'accès à l'information. Cela correspond directement aux exigences du §30(2)(5) BSIG relatives au contrôle d'accès aux réseaux et aux systèmes d'information.
Traitement des incidents (§30(2)(2) BSIG)
Les mesures A.5.24 à A.5.28 de l'Annexe A d'ISO 27001 couvrent la planification, l'évaluation, la réponse et les enseignements en matière de gestion des incidents. Le processus technique de traitement des incidents requis par NIS2 est bien couvert, même si les délais de notification et la notification au BSI ne font pas partie d'ISO 27001 (voir les écarts ci-dessous).
Continuité d'activité (§30(2)(3) BSIG)
Les mesures A.5.29 et A.5.30 de l'Annexe A d'ISO 27001 traitent de la sécurité de l'information pendant une perturbation et de l'état de préparation TIC pour la continuité d'activité. Combinées à un BIA approprié et à des procédures de reprise testées, elles couvrent substantiellement les exigences de continuité de NIS2.
Cryptographie (§30(2)(8) BSIG)
La mesure A.8.24 de l'Annexe A d'ISO 27001 couvre l'utilisation de la cryptographie. Un SMSI mature comprend des politiques cryptographiques, des procédures de gestion des clés et des normes de sélection d'algorithmes qui s'alignent sur les exigences cryptographiques de NIS2.
Relations avec les fournisseurs (§30(2)(4) BSIG - partiel)
Les mesures A.5.19 à A.5.23 de l'Annexe A d'ISO 27001 traitent de la sécurité de l'information dans les relations avec les fournisseurs, y compris l'évaluation des fournisseurs, le suivi de la prestation de services et la gestion des changements. Cela fournit un socle, mais NIS2 exige une diligence raisonnable plus étendue sur la chaîne d'approvisionnement (voir les écarts).
Formation et sensibilisation (§30(2)(9) BSIG)
La mesure A.6.3 de l'Annexe A d'ISO 27001 couvre la sensibilisation, l'éducation et la formation à la sécurité de l'information. Cela s'aligne sur l'exigence générale de formation de NIS2, même si NIS2 ajoute des obligations spécifiques de formation de la direction au titre du §38 BSIG qui dépassent le périmètre d'ISO 27001.
Obligation d'enregistrement auprès du BSI (§33 BSIG)
ISO 27001 ne comporte aucune notion d'enregistrement auprès des autorités. Le §33 BSIG impose à chaque entité NIS2 de s'enregistrer auprès du BSI, en fournissant les informations sur l'entité, la classification sectorielle, les coordonnées et les plages d'adresses IP. Il s'agit d'une obligation réglementaire autonome assortie de ses propres dispositions de sanction : votre certification ISO ne la déclenche ni ne la remplace.
Délais de notification des incidents (§32 BSIG)
ISO 27001 exige une réponse aux incidents mais ne fixe aucun délai de notification externe. Le §32 BSIG impose : une alerte précoce au BSI dans les 24 heures, une notification d'incident dans les 72 heures, et un rapport final dans un délai d'un mois. Ce sont des délais légaux assortis de sanctions distinctes en cas de non-respect. Votre processus de gestion des incidents du SMSI doit être étendu par des flux de notification propres au BSI.
Responsabilité personnelle de la direction (§38 BSIG)
ISO 27001 exige l'engagement et le leadership de la direction (clause 5) mais ne crée aucune responsabilité juridique personnelle. Le §38 BSIG rend les Geschäftsleiter personnellement responsables des manquements à la gouvernance de la cybersécurité, y compris une obligation à laquelle on ne peut renoncer d'approuver les mesures, de superviser leur mise en œuvre et de suivre une formation personnelle en cybersécurité. Aucune mesure ISO ne traite de cela.
Cadre légal des sanctions (§65 BSIG)
Le non-respect d'ISO 27001 entraîne la perte de la certification, une conséquence pour la réputation. Le non-respect de NIS2 au titre du §65 BSIG entraîne des amendes pouvant atteindre 10 millions d'EUR ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Le mécanisme d'exécution est fondamentalement différent : des sanctions des autorités contre un statut de certification volontaire.
Diligence raisonnable renforcée sur la chaîne d'approvisionnement (§30(2)(4) BSIG)
Si les mesures A.5.19 à A.5.23 de l'Annexe A d'ISO 27001 couvrent la sécurité des fournisseurs, NIS2 exige une appréciation plus granulaire des risques de la chaîne d'approvisionnement, comprenant l'évaluation de la maturité en cybersécurité des fournisseurs eux-mêmes, la prise en compte des vulnérabilités propres à la chaîne d'approvisionnement et l'évaluation des dépendances critiques. L'Annexe du CIR 2024/2690 précise des exigences de sécurité contractuelles et un suivi continu des fournisseurs qui vont au-delà des mesures de gestion des fournisseurs d'ISO 27001.
Exigences de gouvernance propres à NIS2
NIS2 exige des structures de gouvernance spécifiques, comprenant des points de contact désignés pour le BSI (§33 BSIG), la participation à des CSIRT sectoriels et la conformité aux ordres d'exécution du BSI. Ce sont des exigences de gouvernance réglementaire qui se situent en dehors du périmètre du SMSI : elles concernent la relation entre l'entité et les autorités, et non la gestion interne de la sécurité.
| Mesure NIS2 / §30(2) BSIG | Mesures ISO 27001:2022 | Couverture |
|---|---|---|
| Analyse des risques et politiques de sécurité | Clauses 6.1, 8.2 ; A.5.1 | Complète |
| Traitement des incidents | A.5.24-A.5.28 | Partielle - pas de délais de notification au BSI |
| Continuité d'activité et gestion de crise | A.5.29, A.5.30 | Complète |
| Sécurité de la chaîne d'approvisionnement | A.5.19-A.5.23 | Partielle - diligence raisonnable renforcée manquante |
| Sécurité dans l'acquisition, le développement, la maintenance | A.8.25-A.8.31 | Complète |
| Évaluation de l'efficacité | Clauses 9.1, 9.2, 9.3 ; A.8.8 | Complète |
| Formation à la cybersécurité | A.6.3 | Partielle - formation de la direction au titre du §38 non couverte |
| Cryptographie | A.8.24 | Complète |
| Contrôle d'accès et gestion des actifs | A.5.9-A.5.18 ; A.8.2-A.8.5 | Complète |
| Authentification multifacteur et communication sécurisée | A.8.5 | Partielle - exigence d'AMF plus précise dans NIS2 |
- ISO/IEC 27001:2022 - Sécurité de l'information, cybersécurité et protection de la vie privée - Systèmes de management de la sécurité de l'information
- BSIG - §30(2) (Risikomanagementmaßnahmen), §32 (Meldepflichten), §33 (Registrierung), §38 (Geschäftsleitung), §65 (Bußgeldvorschriften)
- BSI - Orientations sur la relation entre la certification ISO 27001 et la conformité NIS2
- ENISA - Orientations de cartographie de NIS2 vers ISO 27001 (2024)
- DataGuard - Analyse des écarts et cartographie d'ISO 27001 vers NIS2 (2024)
- CIR (UE) 2024/2690 - Exigences techniques de l'Annexe et références à ISO 27001