NIS2 et ISO 27001 : tableau de correspondance 2026
L'ISO 27001 est le référentiel le plus utilise pour structurer la conformité NIS2. Voici le tableau de correspondance entre les 10 mesures de l'article 21 et les contrôles ISO 27001:2022.
Correspondance article 21 / ISO 27001
| Article 21 NIS2 | Contrôles ISO 27001:2022 |
|---|---|
| a) Politique d'analyse des risques | A.5.1, 6.1.2, 8.2 |
| b) Gestion des incidents | A.5.24-A.5.28 |
| c) Continuite d'activité | A.5.29-A.5.30 |
| d) Sécurité supply chain | A.5.19-A.5.23 |
| e) Sécurité acquisition/développement | A.8.25-A.8.33 |
| f) Évaluation efficacite mesures | 9.1-9.3, A.5.35-A.5.36 |
| g) Cyberhygiene et formation | A.6.3, A.6.6-A.6.8 |
| h) Cryptographie | A.8.24 |
| i) RH, contrôle accès, actifs | A.5.9-A.5.18, A.6.1-A.6.2, A.8.1-A.8.5 |
| j) MFA, communications securisees | A.8.5, A.8.20 |
ISO 27001 suffit-elle pour NIS2 ?
Non, mais elle couvre environ 70-80% des exigences. Les écarts principaux :
- Gouvernance dirigeants (article 20) : ISO 27001 exige l'engagement de la direction mais pas la responsabilité personnelle des dirigeants telle que NIS2 l'impose
- Notification d'incidents (article 23) : ISO 27001 n'impose pas de délais de notification au regulateur (24h/72h/1 mois)
- Enregistrement aupres de l'autorite : pas d'equivalent ISO 27001
- Supervision et sanctions : NIS2 introduit des contrôles et amendes par l'autorite
Le ReCyF comme pont
Le ReCyF de l'ANSSI inclut un outil de comparaison des référentiels qui permet de mapper vos contrôles ISO 27001 existants vers les exigences NIS2. C'est le moyen le plus efficace d'identifier les écarts a combler. Voir le guide d'analyse d'écart.
Consultez les obligations de l'article 21 et le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, article 21
- ISO/IEC 27001:2022
- ANSSI, ReCyF, outil de comparaison, mars 2026