ISO27001 ou NIS2 : laquelle s'applique à votre entreprise ?

Des milliers d'entreprises françaises vont devoir se conformer à de nouvelles règles de cybersécurité. Beaucoup ne le savent pas encore.

Entre ISO 27001 et NIS2, la confusion est fréquente. Pourtant, ce sont deux choses très différentes. L'une est un choix stratégique. L'autre est une obligation légale. Et les confondre peut avoir des conséquences sérieuses.

ISO 27001 est une norme internationale. Elle est volontaire.

Elle certifie que votre entreprise a mis en place un système de management de la sécurité de l'information (SMSI). En clair : vous avez des règles, des processus, et vous les respectez.

Vous ne certifiez pas forcément toute votre entreprise. Vous choisissez ce que vous mettez dans le périmètre : un service, un produit, un site. C'est un avantage. Cela permet de commencer petit, et d'étendre ensuite.

Pourquoi s'y intéresser ?

• Elle rassure vos clients sur votre niveau de sécurité
• Elle devient souvent un prérequis dans les appels d'offres
• Elle structure votre sécurité de façon durable
• Elle prend en moyenne 12 à 18 mois à mettre en place (cela dépend de votre maturité cyber)

Il n'y a pas de sanction légale si vous ne l'avez pas. Mais sans elle, vous pouvez perdre des marchés.

ISO27001, c'est aussi 93 mesures de sécurité issues de l'annexe A.

NIS2 est une directive européenne. Elle est obligatoire.

Elle s'impose aux entreprises qui opèrent dans des secteurs critiques : santé, énergie, numérique, transport, eau, finance… Si vous êtes dans l'un de ces secteurs, vous êtes peut-être déjà concerné.

Ici, le périmètre ne se choisit pas. C'est la réglementation qui le définit. Elle s'applique à l'ensemble de votre organisation dès lors que vous êtes classé entité essentielle ou importante.

Ce que NIS2 impose concrètement :

• Déclarer vos incidents de sécurité à l'ANSSI
• Mettre en place des mesures techniques et organisationnelles
• Responsabiliser la direction sur les questions cyber
• Respecter des délais stricts fixés par la réglementation
• Sécuriser aussi vos prestataires et sous-traitants — ils font partie du périmètre

Les sanctions en cas de non-conformité ? Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial !

NIS2 c'est le respect des 20 objectifs de sécurité (le ReCyF)

ISO27001 et NIS2 sont elles compatibles ?

Oui ! Et c'est même une bonne nouvelle !

Se préparer à ISO 27001, c'est souvent avancer sur NIS2 en même temps. Les deux référentiels partagent des exigences communes : gestion des risques, politique de sécurité, gestion des incidents.

En résumé :

• Vous êtes dans un secteur critique ? Vérifiez votre statut NIS2 sans attendre.
• Vous visez de nouveaux clients ou marchés ? ISO 27001 est un vrai atout.
• Vous pouvez faire les deux ? Commencez par NIS2 si elle s'applique. ISO 27001 suivra naturellement.

👉 Le réferentiel ReCyf de NIS2 ?

👉 Combien coûte ISO27001 ?

👉 Comment renforcer la cybersécurité des TPE et PME ?