← Tous les articles
14 juin 2026·5 min de lecture

NIS2 vs ISO 27001 : quelle différence pour votre ETI ?

ISO 27001 et NIS2 couvrent toutes les deux la sécurité des systèmes d'information, mais avec des logiques très différentes. Une certification ISO 27001 aide — mais ne garantit pas la conformité NIS2.

Nature fondamentale : volontaire vs obligatoire

ISO 27001
Certification volontaire. L'entreprise choisit de s'y soumettre, souvent pour rassurer ses clients ou remporter des appels d'offres. Pas de sanction légale si vous ne l'avez pas.
NIS2
Obligation légale. Si vous êtes dans le périmètre, vous devez être conforme. Sanction possible jusqu'à 7 M€ en cas de manquement.

Périmètre : global vs sectoriel

ISO 27001 s'applique à tout ou partie du système d'information de l'entreprise — l'entreprise définit elle-même son périmètre de certification. Une ETI peut se faire certifier uniquement sur son département IT ou son datacenter.

NIS2 n'a pas cette flexibilité : elle s'applique à l'ensemble des systèmes d'information utilisés pour les activités du secteur concerné. Impossible de "choisir" ce qu'on inclut.

Ce que NIS2 exige en plus d'ISO 27001

Si vous êtes déjà certifié ISO 27001, vous avez une base solide. Mais NIS2 impose des obligations spécifiques qui ne sont pas toujours couvertes :

Notification d'incident obligatoire
NIS2 impose de notifier l'ANSSI dans les 24h. ISO 27001 demande de gérer les incidents, mais ne précise pas de délai de notification réglementaire.
Responsabilité des dirigeants
NIS2 engage personnellement les organes de direction. ISO 27001 engage l'organisation, pas les personnes.
Chaîne d'approvisionnement
NIS2 impose des obligations spécifiques vis-à-vis des fournisseurs. ISO 27001 aborde le sujet mais de manière moins prescriptive.
Enregistrement ANSSI
Les entités NIS2 doivent se déclarer auprès de l'ANSSI. ISO 27001 n'implique aucune déclaration administrative.

ISO 27001 compte-t-elle comme preuve de conformité NIS2 ?

Oui, partiellement. Une certification ISO 27001 récente (moins de 3 ans) est reconnue comme élément de preuve par l'ANSSI, et peut réduire l'étendue des contrôles. Mais elle ne dispense pas des obligations spécifiques à NIS2 listées ci-dessus.

En pratique : si vous avez ISO 27001, vous avez probablement 60 à 70% du chemin de fait. Il reste à combler les écarts spécifiques à NIS2 et à les documenter.

Et si je n'ai ni l'un ni l'autre ?

C'est le cas de la grande majorité des ETI françaises. La priorité est alors de commencer par un diagnostic de l'existant sur les 5 domaines NIS2 — ce qui est à la fois la première étape réglementaire et le moyen le plus rapide de savoir où concentrer les efforts.

Viser une certification ISO 27001 en parallèle peut avoir du sens si vos clients ou marchés l'exigent — mais ce n'est pas un prérequis pour être conforme NIS2.

Faites le point sur votre conformité NIS2

Diagnostic en 20 minutes. Score par domaine ANSSI + rapport PDF à présenter à votre direction.

Accès anticipé →