CloudSoul
Ressources · Blog · NIS2

Certification et normes de cybersécurité au titre de NIS2

Certification et normes NIS2 au titre des articles 24-25 : schémas UE, ISO 27001 et exigences de certification de sécurité pour les entités désignées.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 18 May 2026 · 9 min de lecture
NIS2
Certification et normes de cybersécurité au titre de NIS2

Qui devrait lire ceci : responsables produit, responsables de la conformité, responsables de la sécurité des systèmes d’information.

La directive NIS2 ne prescrit pas de technologies ou de normes spécifiques pour la cybersécurité ; au lieu de cela, elle exige des mesures « proportionnées » adaptées au profil de risque de chaque entité. Cependant, les articles 24 et 25 reconnaissent que les normes et les schémas de certification de cybersécurité fournissent un langage commun pour les pratiques de sécurité et permettent aux entités de démontrer leur conformité par des références reconnues.

Pour de nombreuses organisations, poursuivre une certification reconnue, telle qu’ISO 27001 (gestion de la sécurité de l’information) ou la participation à un schéma de sécurité approuvé par l’UE, fournit un chemin structuré vers la conformité et offre une preuve d’engagement envers la sécurité. Pour les fabricants de produits, la certification et la conformité aux normes signalent aux clients que les produits répondent aux attentes de sécurité. Pour les prestataires de services, la certification démontre l’engagement envers les données clients et la sécurité opérationnelle.

Cet article décortique les articles 24 et 25, clarifie le rôle des normes et de la certification dans la conformité NIS2 et explore comment la certification peut être exploitée dans le cadre d’une stratégie de conformité globale. La discussion couvre les normes reconnues (ISO 27001, ISO 27002), les schémas de certification de sécurité de l’UE et la relation entre la certification et la proportionnalité de NIS2.

Articles 24 et 25 : normes et certification

L’article 24 reconnaît que les États membres peuvent adopter ou reconnaître des normes et des schémas de certification de cybersécurité qui s’alignent sur les normes UE ou internationales. Ces schémas fournissent un cadre par rapport auquel les entités peuvent évaluer leurs pratiques de sécurité et obtenir une certification tierce.

L’article 25 traite de la certification de cybersécurité pour les produits et services, reconnaissant que la certification des produits utilisés par les entités désignées (par ex. services cloud, outils de cybersécurité, équipements réseau) fournit une assurance concernant les propriétés de sécurité.

Ensemble, les articles 24 et 25 établissent que :

La certification est facultative mais utile : les entités ne sont pas tenues d’obtenir une certification pour se conformer à NIS2. La conformité peut être démontrée par une mise en œuvre documentée de mesures proportionnées sans certification formelle. Cependant, la certification fournit un cadre reconnu et une assurance tierce, que de nombreuses entités choisissent de poursuivre.

Les normes fournissent une structure : les normes telles qu’ISO 27001 fournissent un cadre structuré pour mettre en œuvre des mesures de sécurité. Une entité mettant en œuvre les contrôles ISO 27001 met en œuvre une approche reconnue de la gestion de la sécurité, et peut plus facilement démontrer la conformité à l’exigence de proportionnalité de NIS2.

La certification des produits et services compte : pour les produits et services utilisés par les entités désignées, la certification fournit une assurance concernant la sécurité. Une entité achetant un service cloud certifié ISO 27001, ou un fabricant d’équipement réseau certifié à un schéma de sécurité, a la preuve des pratiques de sécurité du fournisseur.

Marge d’appréciation des États membres : les États membres ont une marge d’appréciation sur les normes et schémas qu’ils reconnaissent aux fins de NIS2. Un État membre pourrait reconnaître ISO 27001, des schémas de certification UE particuliers ou d’autres normes nationales.

ISO 27001 et la série ISO 27000

La norme la plus largement reconnue pour la gestion de la sécurité de l’information est ISO/IEC 27001, qui fait partie de la série ISO 27000. ISO 27001 définit un cadre pour établir, mettre en œuvre, maintenir et améliorer continuellement les systèmes de gestion de la sécurité de l’information (ISMS/SMSI).

ISO 27001 inclut :

  • Un ensemble de contrôles de sécurité traitant du contrôle d’accès, du chiffrement, de la sécurité physique, de la sécurité du personnel, des relations fournisseurs et de nombreux autres domaines. Les organisations choisissent des contrôles proportionnés à leur profil de risque.
  • Des exigences pour l’évaluation des risques, identifiant les menaces et vulnérabilités spécifiques à l’organisation.
  • Des exigences pour une politique de sécurité de l’information définissant l’approche de l’organisation en matière de sécurité.
  • Des exigences pour la gouvernance, incluant rôles et responsabilités, formation et sensibilisation.
  • Des exigences pour la surveillance et la gestion des incidents.
  • Des exigences pour la révision et mise à jour périodique.

Une organisation mettant en œuvre ISO 27001 subit un audit tiers pour vérifier que le SMSI est correctement mis en œuvre. Suite à un audit réussi, l’organisation reçoit un certificat ISO 27001, valable trois ans (avec des audits de surveillance périodiques requis).

Aux fins de NIS2, ISO 27001 est précieux car :

  • Il fournit une approche structurée pour mettre en œuvre des mesures de sécurité proportionnées, ce qui s’aligne avec l’exigence de contrôles « appropriés » et « proportionnés » de NIS2.
  • Il inclut l’évaluation des risques, la gouvernance, la surveillance et la réponse aux incidents, tous éléments de la conformité NIS2.
  • Il est largement reconnu internationalement, fournissant un langage commun pour les pratiques de sécurité.
  • La certification fournit une assurance tierce aux clients, aux régulateurs et aux partenaires concernant les pratiques de sécurité de l’entité.

De nombreuses organisations soumises à NIS2 poursuivent la certification ISO 27001 comme fondation de leur programme de conformité. Les responsables de la conformité peuvent cartographier les contrôles ISO 27001 vers des exigences NIS2 spécifiques, démontrant comment la certification remplit les obligations NIS2.

Schémas de certification de cybersécurité UE

Au-delà d’ISO 27001, l’UE a établi des schémas de certification de cybersécurité pour des catégories de produits et services spécifiques. Ces schémas sont développés au titre du règlement (UE) 2019/881 (le Cybersecurity Act) et fournissent un cadre pour certifier les produits, services et processus à des normes de sécurité UE définies.

La certification Critères communs (CC) est un schéma bien établi pour évaluer la sécurité des produits informatiques. Les produits certifiés Critères communs ont subi une évaluation rigoureuse de leurs propriétés de sécurité, et les résultats d’évaluation sont publiés. Un service cloud ou un équipement de sécurité réseau certifié Critères communs fournit une assurance concernant sa sécurité.

L’UE développe des schémas de certification supplémentaires au titre du Cybersecurity Act, notamment :

EUCC (EU Cybersecurity Certification) : un schéma pour évaluer les produits, services et processus TIC, avec des niveaux d’assurance (basique, substantiel, élevé) reflétant la rigueur de l’évaluation. Les produits ou services répondant aux normes EUCC fournissent une assurance des propriétés de sécurité.

SECOC (Scheme for Certification of Cloud Services) : un schéma proposé pour certifier les services cloud offerts aux administrations publiques européennes et aux fournisseurs de services essentiels. La certification SECOC fournirait une assurance que les services cloud répondent à des normes de sécurité définies.

Ces schémas UE sont conçus pour fournir des certifications de sécurité reconnues qui facilitent l’approvisionnement par les fournisseurs de services essentiels et permettent aux fabricants de démontrer la sécurité aux clients.

Pour les entités et les fabricants de produits, poursuivre une certification UE fournit la reconnaissance que les produits et services répondent à des normes de sécurité UE définies, facilitant l’approvisionnement par les organisations d’infrastructure critique et démontrant l’engagement envers la sécurité.

La certification comme preuve de conformité NIS2

Comment la certification se rapporte-t-elle à la conformité NIS2 ? Une entité peut utiliser la certification (ISO 27001, Critères communs ou schémas UE) comme preuve qu’elle a mis en œuvre des mesures de sécurité proportionnées satisfaisant les exigences NIS2.

Par exemple :

Une organisation peut démontrer la certification ISO 27001, et cartographier les contrôles certifiés vers les exigences opérationnelles NIS2 (contrôle d’accès, chiffrement, surveillance, réponse aux incidents), arguant que le SMSI satisfait l’exigence de NIS2 de mesures proportionnées.

Un fournisseur de service cloud peut obtenir la certification ISO 27001 et la promouvoir auprès des clients fournisseurs de services essentiels comme preuve de pratiques de sécurité conformes à l’article 22 de NIS2 (exigences de sécurité tiers).

Un fabricant de dispositifs médicaux peut poursuivre la certification Critères communs ou EUCC, démontrant que les produits répondent aux normes de sécurité, facilitant l’approvisionnement par les fournisseurs de services essentiels en santé.

Cette approche présente des avantages tant pour les entités que pour les régulateurs :

Pour les entités, poursuivre la certification fournit un chemin structuré vers la conformité, une assurance tierce et la reconnaissance que les pratiques de sécurité répondent aux normes établies.

Pour les régulateurs, la certification fournit la preuve de la conformité sans nécessiter que le régulateur mène des audits techniques détaillés de chaque entité. Un SMSI certifié est la preuve que l’entité a mis en œuvre des mesures proportionnées.

Cependant, la certification ne remplace pas la conformité NIS2. Une entité pourrait poursuivre la certification ISO 27001 et toujours ne pas être pleinement conforme à NIS2 si l’entité ne met pas en œuvre les évaluations de risques, les procédures de réponse aux incidents ou la gestion des tiers comme requis. La certification est une preuve appuyant la conformité, mais la conformité exige la mise en œuvre de toutes les obligations applicables.

Normes et orientations sectorielles spécifiques

Différents secteurs ont développé des normes et meilleures pratiques sectorielles spécifiques reflétant des risques sectoriels et des exigences réglementaires spécifiques. Par exemple :

La santé a développé des normes traitant de la sécurité des dispositifs médicaux, de la sécurité des dossiers médicaux électroniques et de la réponse aux incidents en santé.

La finance a développé des normes pour la résilience opérationnelle, la continuité d’activité et la sécurité du système financier (dont beaucoup sont maintenant intégrées dans DORA).

L’énergie a développé des normes pour la sécurité des systèmes de contrôle industriel, traitant des risques uniques des systèmes OT.

Ces normes sectorielles spécifiques s’alignent et complètent souvent ISO 27001, ajoutant des exigences sectorielles spécifiques. Une entité pourrait poursuivre la certification ISO 27001 et simultanément mettre en œuvre des normes sectorielles spécifiques reflétant le secteur de l’entité.

Aux fins de la conformité, les entités doivent vérifier si leur État membre a publié des orientations sectorielles spécifiques clarifiant quelles normes ou certifications il reconnaît comme preuve de conformité NIS2 dans des secteurs particuliers.

Proportionnalité et certification

Une question courante est de savoir si la certification est requise pour la conformité NIS2. La réponse est non : l’article 21 exige des mesures proportionnées, pas de certification. Une petite entité peut se conformer à NIS2 sans certification, à condition qu’elle mette en œuvre des contrôles proportionnés documentés dans ses politiques et procédures de sécurité.

Cependant, la proportionnalité doit être authentique. Une entité prétendant être en conformité avec NIS2 tout en n’ayant pas mis en œuvre les contrôles de base (contrôles d’accès, surveillance, réponse aux incidents) serait en violation, quelle que soit sa taille. La certification n’est pas un substitut à la mise en œuvre réelle.

Pour les entités plus grandes et celles manipulant des informations hautement sensibles ou des infrastructures critiques, la certification fournit souvent une preuve pratique de mise en œuvre proportionnée. L’investissement dans la certification et l’audit est justifié par la crédibilité et l’assurance qu’il fournit aux clients, aux régulateurs et aux partenaires.

Points clés à retenir

  • Les articles 24-25 reconnaissent les normes et schémas de certification de cybersécurité comme mécanismes pour démontrer la conformité NIS2, mais n’exigent pas la certification.
  • ISO 27001 est un cadre largement reconnu pour mettre en œuvre des mesures de sécurité proportionnées, incluant évaluation des risques, gouvernance, contrôles, surveillance et réponse aux incidents. La certification ISO 27001 fournit la preuve d’une mise en œuvre systématique.
  • Les schémas de certification de cybersécurité UE (EUCC, Critères communs, SECOC) fournissent des normes reconnues pour les produits, services et processus, facilitant l’approvisionnement par les fournisseurs de services essentiels et démontrant la sécurité aux clients.
  • La certification appuie la conformité en fournissant une approche structurée pour mettre en œuvre des mesures proportionnées et une assurance tierce des pratiques de sécurité, mais ne remplace pas la mise en œuvre réelle des obligations NIS2.
  • Les normes sectorielles spécifiques (santé, finance, énergie, transport) complètent souvent ISO 27001, traitant des risques et exigences sectoriels spécifiques. Les entités doivent vérifier les orientations sectorielles spécifiques de leur État membre.
  • Pour les entités plus grandes et celles manipulant des infrastructures critiques ou des données sensibles, la certification fournit souvent une preuve pratique de mise en œuvre proportionnée et de crédibilité auprès des clients et régulateurs.
  • La proportionnalité n’est pas éliminée par la taille : les petites entités peuvent se conformer à NIS2 sans certification, à condition qu’elles mettent en œuvre des contrôles proportionnés, mais une mise en œuvre réellement proportionnée est toujours requise.
Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.

À lire aussi

Encore plus depuis le blog.

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne
NIS2 · 31 May 2026

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne

Le Luxembourg a transposé NIS2 par la loi du 5 mai 2026, désignant l'ILR, le HCPN et CIRCL comme piliers institutionnels. Ce que toute entité essentielle ou importante doit savoir.
Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs
NIS2 · 29 May 2026

Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs

Comprendre le cadre de divulgation coordonnée des vulnérabilités de l'article 12 de NIS2. Comment chercheurs, fournisseurs et CSIRT interagissent dans le nouveau processus CVD européen.
NIS2 pour l'industrie manufacturière : automobile, électronique et machines
NIS2 · 27 May 2026

NIS2 pour l'industrie manufacturière : automobile, électronique et machines

Comprendre les exigences NIS2 pour les fabricants de véhicules, d'électronique et de machines. Ce que les « entités importantes » doivent mettre en œuvre au titre de l'annexe II.