Existe-t-il des liens entre les exigences de la norme ISO 27001 et les futures règles de cybersécurité de la directive NIS 2 ?
Pour transposer et mettre en œuvre la directive NIS 2, il est privilégié une approche de la conformité basée notamment sur la mise en œuvre d’un référentiel de mesures de cybersécurité adapté à la menace cybercriminelle. La norme ISO 27001 et le référentiel de mesures cyber de l’ANSSI poursuivent des objectifs différents. L’obtention d’une certification ISO 27001 ne permet pas, en elle-même, une conformité à NIS 2. Mais cette norme constitue un outil et une méthodologie pour accompagner le déploiement du référentiel de sécurité.
En effet, la directive NIS 2 définit dans son article 20 et dans son article 21 des mesures de gestion des risques en matière de cybersécurité dans l’objectif d’atteindre le niveau de sécurité nécessaire pour faire face à la menace cybercriminelle de masse. En droit français, ces mesures de cybersécurité doivent être transposées dans les textes législatifs et réglementaires, puis précisées au travers d’un référentiel d’exigences en matière de cybersécurité. C’est pourquoi le référentiel en cours d’élaboration par l’ANSSI définit les mesures de sécurité à mettre en œuvre, sur l’ensemble du système d’information (SI) de l’entité, pour atteindre cette cible de sécurité.
Plus concrètement, ce référentiel s’articulera autour d’une vingtaine d’objectifs de sécurité et sera la traduction technique, opérationnelle et organisationnelle des mesures listées aux articles 20 et 21 de la directive NIS 2. Le référentiel reprendra par ailleurs la différence entre les entités essentielles (EE) – qui devront respecter un niveau plus élevé d’exigences – et les entités importantes (EI). Ce référentiel porte alors un objectif de sécurité ambitieux tout en intégrant un principe de proportionnalité, en créant deux régimes distincts entre les EE et les EI. Par conséquent, en plaçant ce référentiel au cœur de son action, l’ANSSI retient une approche différente de celle de la norme ISO 27001. Dès lors, la conformité d’une entité à la norme ISO 27001 ne saurait, en tant que telle, lui permettre de bénéficier d’une présomption de conformité aux exigences posées par la directive NIS 2.
A la différence du référentiel NIS 2, la norme ISO 27001 établit des critères pour la mise en place, la tenue à jour et l’amélioration continue d’un Système de Management de la Sécurité de l'Information (SMSI) sur un périmètre défini par l’entité qui décide de l’appliquer. Un SMSI représente un ensemble de politiques et processus de protection des données basé sur le cadre règlementaire et une analyse de risques propre au périmètre défini par l’entité candidate. La norme ISO 27001 ne prescrit pas de mesures cyber et est complétée par des bonnes pratiques listées par la norme ISO 27002. Il revient donc à l’entité de définir elle-même le niveau de sécurité à atteindre et le périmètre sur lequel il s’applique puis d’identifier et de mettre en œuvre les mesures de sécurité qu’elle juge nécessaires pour atteindre ce niveau de sécurité. En outre, suivant cette logique, la norme ISO 27001 n’intègre pas, par nature, le principe de proportionnalité distinguant les EE et les EI prévu par la directive et inscrit par l’ANSSI dans le référentiel NIS 2. C’est pourquoi, la norme ISO 27001 pourrait être davantage utilisée comme méthode de mise en œuvre des mesures prescrites par le référentiel de mesures cyber de l’ANSSI.
Par ailleurs, le référentiel ANSSI s’inscrit dans l’approche de simplification règlementaire portée par NIS 2. Il a été élaboré avec la vocation de constituer un socle commun pour les régulations existantes et futures et ainsi limiter le « mille-feuille réglementaire ». Tout en préservant le cadre national et sa dépendance avec les enjeux de sécurité et de défense nationale, cette logique de « socle commun » permettra de favoriser la mise en place de mécanismes de reconnaissance mutuelle entre les référentiels NIS 2 des différents Etats membres au travers de travaux au sein du groupe de coopération NIS.
Pour aller plus loin :
Quelles sont les exigences en matière de cybersécurité auxquelles les entités régulées à la directive NIS 2 devront se soumettre ?
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
En effet, la directive NIS 2 définit dans son article 20 et dans son article 21 des mesures de gestion des risques en matière de cybersécurité dans l’objectif d’atteindre le niveau de sécurité nécessaire pour faire face à la menace cybercriminelle de masse. En droit français, ces mesures de cybersécurité doivent être transposées dans les textes législatifs et réglementaires, puis précisées au travers d’un référentiel d’exigences en matière de cybersécurité. C’est pourquoi le référentiel en cours d’élaboration par l’ANSSI définit les mesures de sécurité à mettre en œuvre, sur l’ensemble du système d’information (SI) de l’entité, pour atteindre cette cible de sécurité.
Plus concrètement, ce référentiel s’articulera autour d’une vingtaine d’objectifs de sécurité et sera la traduction technique, opérationnelle et organisationnelle des mesures listées aux articles 20 et 21 de la directive NIS 2. Le référentiel reprendra par ailleurs la différence entre les entités essentielles (EE) – qui devront respecter un niveau plus élevé d’exigences – et les entités importantes (EI). Ce référentiel porte alors un objectif de sécurité ambitieux tout en intégrant un principe de proportionnalité, en créant deux régimes distincts entre les EE et les EI. Par conséquent, en plaçant ce référentiel au cœur de son action, l’ANSSI retient une approche différente de celle de la norme ISO 27001. Dès lors, la conformité d’une entité à la norme ISO 27001 ne saurait, en tant que telle, lui permettre de bénéficier d’une présomption de conformité aux exigences posées par la directive NIS 2.
A la différence du référentiel NIS 2, la norme ISO 27001 établit des critères pour la mise en place, la tenue à jour et l’amélioration continue d’un Système de Management de la Sécurité de l'Information (SMSI) sur un périmètre défini par l’entité qui décide de l’appliquer. Un SMSI représente un ensemble de politiques et processus de protection des données basé sur le cadre règlementaire et une analyse de risques propre au périmètre défini par l’entité candidate. La norme ISO 27001 ne prescrit pas de mesures cyber et est complétée par des bonnes pratiques listées par la norme ISO 27002. Il revient donc à l’entité de définir elle-même le niveau de sécurité à atteindre et le périmètre sur lequel il s’applique puis d’identifier et de mettre en œuvre les mesures de sécurité qu’elle juge nécessaires pour atteindre ce niveau de sécurité. En outre, suivant cette logique, la norme ISO 27001 n’intègre pas, par nature, le principe de proportionnalité distinguant les EE et les EI prévu par la directive et inscrit par l’ANSSI dans le référentiel NIS 2. C’est pourquoi, la norme ISO 27001 pourrait être davantage utilisée comme méthode de mise en œuvre des mesures prescrites par le référentiel de mesures cyber de l’ANSSI.
Par ailleurs, le référentiel ANSSI s’inscrit dans l’approche de simplification règlementaire portée par NIS 2. Il a été élaboré avec la vocation de constituer un socle commun pour les régulations existantes et futures et ainsi limiter le « mille-feuille réglementaire ». Tout en préservant le cadre national et sa dépendance avec les enjeux de sécurité et de défense nationale, cette logique de « socle commun » permettra de favoriser la mise en place de mécanismes de reconnaissance mutuelle entre les référentiels NIS 2 des différents Etats membres au travers de travaux au sein du groupe de coopération NIS.
Pour aller plus loin :
Quelles sont les exigences en matière de cybersécurité auxquelles les entités régulées à la directive NIS 2 devront se soumettre ?
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 19/03/2025
Merci !