La bonne nouvelle : Vous avez une longueur d’avance
Si votre organisation est déjà certifiée ISO 27001, vous avez fait un bon bout de chemin vers la conformité NIS2. On estime que 70-80% des exigences techniques et organisationnelles se chevauchent.
Mais voici la réalité : Cela ne suffit pas.
NIS2 impose des exigences qui vont au-delà de ce que couvre ISO 27001. Et même si le chevauchement est important, il existe des lacunes spécifiques qui doivent être comblées pour atteindre une conformité complète.
Conseil pratique : Considérez NIS2 comme un complément à votre SMSI, pas un remplacement. Votre structure existante est la fondation — il s’agit maintenant de compléter avec les exigences spécifiques NIS2.
Où ISO 27001 et NIS2 se rejoignent
Voici les domaines où votre implémentation ISO 27001 vous donne déjà une couverture :
Fort chevauchement dans :
- Gestion des risques — Les deux exigent une identification et un traitement systématiques des risques
- Politiques de sécurité — Politiques et procédures documentées
- Contrôle d’accès — Gestion des autorisations et identités
- Cryptographie — Protection des données en transit et au repos
- Sécurité opérationnelle — Sauvegarde, journalisation, surveillance
- Gestion des incidents — Processus pour détecter et gérer les incidents
- Continuité d’activité — Plans pour maintenir les opérations
- Sécurité physique — Protection des locaux et équipements
Les trois principales lacunes
1. Signalement des incidents — les exigences de délai manquent
Les incidents doivent être gérés systématiquement et documentés. Des enseignements doivent être tirés. Mais il n'y a pas d'exigences de délai spécifiques pour le signalement aux autorités.
Les incidents significatifs doivent être signalés à l'ANSSI dans les 24 heures (alerte précoce), 72 heures (notification d'incident) et 1 mois (rapport final). Les délais sont absolus.
Ce que vous devez faire :
- Définir ce qui constitue un “incident significatif” selon NIS2
- Établir des voies de contact avec l’ANSSI et les autorités de supervision
- Créer des modèles pour les trois types de rapports
- S’exercer à produire des rapports sous pression temporelle
2. Responsabilité de la direction — cela devient personnel
La direction doit montrer son engagement et assurer les ressources. Mais la responsabilité reste au niveau organisationnel.
La direction (conseil d'administration, PDG) doit personnellement approuver les mesures de cybersécurité, suivre une formation et peut être tenue individuellement responsable en cas de violations.
Ce que vous devez faire :
- Documenter que la direction approuve activement les politiques de sécurité
- Organiser une formation en cybersécurité pour le conseil d’administration et l’équipe dirigeante
- Créer un reporting clair du RSSI/responsable sécurité vers la direction
- Formaliser la supervision du travail de sécurité par la direction
3. Sécurité de la chaîne d’approvisionnement — plus concrète
Les relations fournisseurs doivent être gérées de manière sécurisée (A.5.19-A.5.22). Les exigences doivent être spécifiées dans les contrats et les fournisseurs surveillés.
Exigences explicites d'évaluation des risques de la chaîne d'approvisionnement, incluant la qualité de sécurité des fournisseurs, leurs processus de développement et la gestion des vulnérabilités.
Ce que vous devez faire :
- Cartographier les fournisseurs critiques et leur importance pour votre activité
- Réaliser des évaluations de sécurité des fournisseurs clés
- Mettre à jour les contrats avec des exigences de sécurité spécifiques NIS2
- Établir un suivi continu et une gestion des incidents dans la chaîne
Mapping : Mesures ISO 27001 vers NIS2
Voici un aperçu de comment les mesures ISO 27001:2022 se mappent avec les exigences NIS2 :
| Exigences NIS2 | Mesures ISO 27001:2022 | Lacune à combler |
|---|---|---|
| Gestion des risques | A.5.1-A.5.4 | Minimale |
| Gestion des incidents | A.5.24-A.5.28 | Exigences de délai 24/72h |
| Continuité d’activité | A.5.29-A.5.30 | Minimale |
| Sécurité fournisseurs | A.5.19-A.5.23 | Évaluation approfondie |
| Contrôle d’accès | A.5.15-A.5.18, A.8.* | Minimale |
| Cryptographie | A.8.24 | Minimale |
| Formation personnel | A.6.3 | Formation direction |
| Gestion vulnérabilités | A.8.8 | Minimale |
Étape par étape : D’ISO 27001 à NIS2
- Analyse des écarts Cartographiez exactement où vos mesures actuelles ne suffisent pas pour NIS2. Concentrez-vous sur le signalement d'incidents, la responsabilité de la direction et les exigences fournisseurs.
- Mise à jour de la documentation Complétez vos politiques et procédures existantes avec les exigences spécifiques NIS2. Créez de nouveaux documents si nécessaire (ex: modèles de signalement d'incidents).
- Former la direction Organisez une formation spécifique pour le conseil d'administration et la direction sur les exigences NIS2 et leur responsabilité personnelle. Documentez la réalisation.
- Établir les canaux de signalement Mettez en place les voies de contact avec l'ANSSI et votre autorité sectorielle. Testez que le signalement fonctionne.
- Approfondir le travail fournisseurs Réalisez des évaluations de sécurité des fournisseurs critiques. Mettez à jour les contrats et établissez un suivi continu.
- Exercices de gestion d'incidents Réalisez des exercices axés sur les exigences de délai NIS2. Pouvez-vous produire une alerte précoce en 24 heures, y compris week-ends et nuits ?
Le gain de temps est réel
Les organisations avec une certification ISO 27001 existante ont généralement ces avantages :
Déjà en place :
- Structure et processus SMSI établis
- Politiques et procédures documentées
- Cadre de gestion des risques
- Processus de gestion des incidents (nécessitent des exigences de délai)
- Culture et sensibilisation à la sécurité
- Processus d’audit interne
Gain de temps typique : 6-12 mois comparé à partir de zéro
Comment Securapilot peut vous aider
Avec Securapilot, vous obtenez des outils qui supportent à la fois ISO 27001 et NIS2 dans la même plateforme :
- Analyse des écarts — Identifiez exactement ce qui manque pour NIS2
- Gestion des risques — Basée sur ISO 27005, couvre les deux cadres
- Gestion des incidents — Exigences de délai intégrées et modèles de rapport pour NIS2
- Gestion des fournisseurs — Évaluation et suivi
- Mapping des mesures — Voyez comment vos mesures ISO 27001 se mappent avec NIS2
Réservez une démo et voyez comment nous pouvons vous aider à passer d’ISO 27001 à une conformité NIS2 complète.
Questions fréquentes
ISO 27001 suffit-elle pour la conformité NIS2?
Non, ISO 27001 couvre environ 70-80% des exigences NIS2. Vous obtenez un très bon avantage de départ, mais devez compléter avec les exigences spécifiques NIS2 comme le signalement d'incidents sous 24 heures, les responsabilités explicites de la direction et les exigences sectorielles spécifiques.
Vaut-il la peine d'avoir à la fois ISO 27001 et NIS2?
Absolument. ISO 27001 fournit un SMSI structuré qui facilite la conformité NIS2. La certification montre également aux clients et partenaires que vous prenez la sécurité au sérieux. Beaucoup d'organisations voient ISO 27001 comme la fondation et NIS2 comme un complément.
Quelles sont les principales lacunes entre ISO 27001 et NIS2?
Les trois principales lacunes sont : 1) Signalement d'incidents sous 24 heures (ISO 27001 n'a pas d'exigence de délai spécifique), 2) Responsabilité personnelle de la direction et exigences de formation, 3) Exigences de sécurité de la chaîne d'approvisionnement plus explicites dans NIS2.
Combien de temps faut-il pour passer d'ISO 27001 à la conformité NIS2?
Avec une certification ISO 27001 existante, vous pouvez généralement atteindre la conformité NIS2 en 3-6 mois, comparé à 12-18 mois sans SMSI existant. Le gain de temps vient du fait que les processus, la documentation et la culture sont déjà en place.
