Qu'est-ce qu'un ISMS et en ai-je besoin pour NIS 2 ?
Un ISMS n'est pas un logiciel. C'est la manière dont votre organisation décide, exploite et améliore ses contrôles de sécurité. NIS 2 n'emploie jamais le mot, mais l'art. 21(2) exige exactement ce que fait un ISMS.
Pourquoi les gens se trompent là-dessus
ISMS est l'un des mots les plus mal employés dans les conversations sur NIS 2. La confusion la plus courante consiste à le traiter comme un outil à acheter. Ce n'en est pas un. Un ISMS est la manière dont une organisation gère la sécurité de l'information : comment les politiques sont décidées, comment les risques sont évalués, comment les contrôles sont choisis, comment les incidents sont traités, comment tout cela est revu.
NIS 2 lui-même n'emploie jamais « ISMS » comme terme. La directive parle de « politiques », de « mesures », de « gestion des risques » et de « gouvernance ». L'art. 21(2) énumère dix exigences qui, ensemble, décrivent exactement ce que fait un ISMS. ISO 27001 appelle cette même chose « un système de management de la sécurité de l'information ». IT-Grundschutz l'appelle un « Informationssicherheitsmanagementsystem ». La substance est identique.
La question pratique n'est pas de savoir si vous avez un ISMS mais quel poids il a. Un Mittelstand de 60 personnes fonctionnant avec une politique d'une page plus un petit registre des risques plus une réunion de revue annuelle peut satisfaire à NIS 2. Une banque de 6000 personnes ne le peut pas. Les deux exploitent un ISMS ; l'un est simplement plus lourd que l'autre.
Art. 21(1) et 21(2) NIS 2
Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks. The measures shall include at least the following: policies on risk analysis and information system security; incident handling; business continuity; supply chain security; security in network and information systems acquisition; policies and procedures to assess the effectiveness of cybersecurity risk-management measures; basic cyber hygiene practices and training; cryptography; human resources security, access control policies and asset management; use of multi-factor authentication.
Lus ensemble, les dix points décrivent un système de management. « Politiques », « procédures », « évaluer l'efficacité » — ce sont des verbes d'ISMS. NIS 2 n'exige pas la certification ISO 27001, mais il exige la substance que couvre ISO 27001.
§ 30 BSIG (transposition allemande de l'art. 21)
Wesentliche und wichtige Einrichtungen ergreifen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der von ihnen für die Erbringung ihrer Dienste genutzten informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.
La transposition allemande utilise « geeignete, verhältnismäßige und wirksame » — appropriées, proportionnées et efficaces. Efficaces est le mot qui rend le système de management nécessaire : vous ne pouvez démontrer l'efficacité que si vous mesurez et revoyez.
BSI IT-Grundschutz BSI 200-1, § 3
Ein Informationssicherheitsmanagementsystem (ISMS) ist die Gesamtheit der Regelungen, die zur Steuerung und Überwachung der Aufgaben des Informationssicherheitsmanagements in einer Organisation dienen.
La plus courte définition juridique d'un ISMS en allemand. C'est l'ensemble des règles qui régissent la manière dont la sécurité de l'information est pilotée et supervisée. Pas un outil, pas un projet, pas un audit ponctuel. Une manière de travailler.
Périmètre défini
Quelles parties de l'organisation l'ISMS couvre-t-il, quelles sont les limites, qu'est-ce qui est explicitement hors champ. Sans périmètre, chaque conversation dérive.
Politique documentée
Une politique écrite de sécurité de l'information signée par l'organe de direction. Une page suffit pour une petite entité. Elle engage l'organisation sur des principes spécifiques et attribue la responsabilité.
Décisions fondées sur le risque
Les contrôles sont choisis parce qu'ils traitent des risques identifiés, et non parce qu'ils figurent sur une liste de contrôle. Le registre des risques est le lien entre l'inventaire et le contrôle.
Revue périodique
Au moins annuelle. L'organe de direction examine ce qui a fonctionné, ce qui n'a pas fonctionné, ce qui a changé dans le paysage de la menace. Un ISMS statique n'est pas un ISMS, c'est un instantané.
Pas un logiciel
Les outils soutiennent un ISMS, ils ne le remplacent pas. Vous pouvez exploiter un ISMS adéquat dans un classeur ; vous ne pouvez pas remplacer des décisions de gouvernance par un abonnement SaaS.
Pas un projet ponctuel
Mettre en place l'ISMS est un projet. L'exploiter est un travail continu. La revue annuelle est le moment qui transforme un livrable de projet en système.
Pas la même chose qu'un audit
Les audits testent si l'ISMS fonctionne. Ils ne constituent pas l'ISMS. Un audit sans système de management sous-jacent n'a rien à tester.
Si votre entité est dans le champ d'application de NIS 2, la substance d'un ISMS est exigée quel que soit le nom que vous lui donnez. Sans politique documentée, sans décisions fondées sur le risque et sans cycle de revue, vous ne pouvez pas démontrer que les mesures de l'art. 21(2) sont « appropriées, proportionnées et efficaces » comme l'exige le § 30 BSIG.
Ce qui n'est pas exigé, c'est la certification ISO 27001. De nombreux auditeurs l'attendent parce que c'est la preuve la plus reconnue, mais un ISMS construit en interne aligné sur IT-Grundschutz ou sur une norme sectorielle est tout aussi valable. Choisissez la norme que vous pouvez soutenir, pas celle qui paraît la plus lourde sur une diapositive.
1. Déclaration de périmètre
Quelles entités juridiques, quels sites, quels services sont couverts. Un paragraphe signé par l'organe de direction.
2. Politique de sécurité de l'information
Cinq à sept principes. Exemples : classer les données par sensibilité, restreindre l'accès administrateur à des individus nommés, former tout le personnel chaque année, déclarer les incidents dans les délais convenus, revoir les risques chaque année.
3. Registre des risques
Une ligne par risque identifié. Description, probabilité, impact, décision de traitement, propriétaire, date de revue. Dix à vingt lignes pour une petite entité.
4. Calendrier de revue
Un document qui indique que l'organe de direction revoit l'ISMS une fois par an, qui y assiste, quelles preuves sont présentées. Sans cela, l'ISMS n'est que décoration.
- Directive (UE) 2022/2555 (NIS 2), art. 21(1) et 21(2), www.eur-lex.europa.eu
- Loi sur l'Office fédéral de la sécurité des technologies de l'information (BSIG), § 30, www.gesetze-im-internet.de
- BSI IT-Grundschutz Standard BSI 200-1, § 3 (définition de l'ISMS), www.bsi.bund.de
- ISO/IEC 27001:2022 (norme internationale d'ISMS, facultative au titre de NIS 2)
Cette page fournit une orientation structurée fondée sur des sources accessibles au public (directive NIS 2, BSIG, BSI IT-Grundschutz, ISO/IEC 27001). Elle ne constitue pas un conseil juridique au sens du § 2 RDG. Pour des cas particuliers, consultez un avocat inscrit. À jour au 2026-06-04.