ISO 27001 vs NIS2 : différences et complémentarité
Publié le 1er juin 2026 · Lecture : 7 min
ISO 27001 et NIS2 sont souvent confondus par les PME. Pourtant ils n'ont ni la même nature juridique, ni les mêmes exigences, ni le même périmètre. Voici comment les distinguer et les articuler.
Tableau comparatif
| Critère | ISO 27001 | NIS2 |
|---|---|---|
| Nature | Norme internationale volontaire | Directive européenne — obligation légale |
| Qui est concerné | Toute organisation souhaitant se certifier | 15 000+ entités définies par secteur et taille |
| Certification | Oui — audit par organisme accrédité | Non — contrôle par l'ANSSI |
| Sanctions | Perte de certification | Amendes jusqu'à 10M€ ou 2% CA mondial |
| Notification incidents | Non obligatoire | Obligatoire — 24h/72h/1 mois |
| Coût mise en conformité | 15 000 – 50 000 € (audit + certification) | 15 000 – 40 000 € (mesures techniques + orga) |
Ce qu'ils ont en commun
ISO 27001 et NIS2 partagent un socle commun d'exigences :
- Risk assessment documenté et régulièrement mis à jour
- Politique de sécurité formalisée
- Gestion des accès et des identités
- Plan de continuité et de reprise d'activité
- Sensibilisation et formation des collaborateurs
Concrètement : une PME certifiée ISO 27001 a déjà couvert environ 60-70% des exigences NIS2.
Quelle priorité pour une PME ?
- Dans le périmètre NIS2 → NIS2 en priorité (obligation légale, sanctions immédiates)
- Hors périmètre NIS2 mais clients grands comptes → ISO 27001 pour répondre aux appels d'offres
- Les deux → construire un SMSI ISO 27001 qui couvre simultanément NIS2