Pourquoi le certificat ISO ne suffit pas au BSI à lui seul
Depuis le 6 décembre 2025, le BSIG modifié est entré en vigueur. Selon le BSI, le cercle des établissements supervisés passe d’environ 4 500 à environ 29 500. Beaucoup d’entre eux ont un certificat ISO 27001 dans le placard et se considèrent ainsi comme sécurisés. Le BSI précise dans son kit d’information sur la norme : une certification ISO n’est ni une conformité NIS2 ni une preuve admissible dans la procédure de surveillance.
L’essentiel en bref
- Pas de substitut : Le BSI ne reconnaît pas explicitement une certification ISO 27001 comme preuve de conformité au BSIG. La surveillance examine directement les articles 30, 32 et 38.
- Large chevauchement : Le tableau de correspondance du BSI associe les dix domaines de mesures de l’article 30 à des contrôles ISO concrets. Un ISMS bien géré réduit sensiblement l’effort de mise en œuvre.
- Trois lacunes : La norme ne connaît pas le champ d’application, l’acceptation des risques et l’obligation de déclaration aux autorités de cette manière. C’est précisément ici que le réflexe consistant à simplement présenter le certificat échoue.
- Affaire de direction : L’article 38 oblige la direction générale personnellement à la mise en œuvre, à la surveillance et à la formation régulière. Cette obligation ne peut pas être déléguée à un certificat.
Liés :NIS2 après le délai : la surveillance du BSI commence maintenant / MFA adaptative dans l’audit NIS2
Trois obligations BSIG que votre audit ISO ignore
Qu’est-ce que NIS2 ? NIS2 est la directive européenne relative à la sécurité des réseaux et de l’information, transposée en Allemagne par le BSIG modifié. Elle oblige les établissements concernés à la gestion des risques, à la notification des incidents significatifs et à l’enregistrement auprès du BSI, avec une responsabilité personnelle de la direction générale.
Le certificat reste un fondement solide. Un ISMS opérationnel couvre, selon le tableau de correspondance du BSI, une grande partie des mesures légales. Mais pas tout. Ceux qui connaissent les lacunes évitent des doubles efforts coûteux et des corrections lors du premier audit.
Le fait qu’un établissement relève de la loi dépend du secteur et de la taille. Son propre niveau de sécurité n’a aucune influence sur son assujettissement. L’article 28 du BSIG distingue les établissements particulièrement importants et importants ; les opérateurs KRITIS sont automatiquement considérés comme particulièrement importants. Les entités concernées portent trois obligations centrales qu’un auditeur ISO ne vérifie pas lors de sa certification.
La première est l’enregistrement conformément à l’article 33. La deuxième est la notification des incidents significatifs conformément à l’article 32. La troisième est la gestion des risques accompagnée de la documentation conformément à l’article 30. ISO 27001 est une norme volontaire, le BSIG est un droit en vigueur avec une autorité de surveillance derrière. C’est le cœur du malentendu : un auditeur certifie un système de management, une autorité exige le respect d’obligations légales concrètes.
Le BSI formule cette séparation sans ambiguïté dans son kit d’information sur la norme. Une certification est une bonne preuve de maturité, mais dans la procédure de surveillance, elle ne compte pas comme preuve de conformité.
Où ISO 27001 porte déjà selon le tableau de correspondance du BSI
La bonne nouvelle figure dans le tableau de correspondance officiel du BSI. L’article 30, paragraphe 2, énumère dix domaines de mesures obligatoires, de l’analyse des risques à la réponse aux incidents et à la continuité d’activité, jusqu’à la chaîne d’approvisionnement, la cryptographie et l’authentification multifacteur. Pour chacun de ces domaines, le BSI désigne les clauses et contrôles correspondants d’ISO 27001 dans sa version de 2022.
Concrètement, cela signifie : celui qui exploite un ISMS opérationnel a déjà la plupart des éléments en interne. Registres des risques, playbooks de réponse aux incidents, évaluation des fournisseurs, une politique de cryptographie et une feuille de route MFA contribuent directement aux domaines légaux. Le BSI indique qu’une certification peut réduire l’effort de mise en œuvre. L’autorité ne mentionne volontairement pas de pourcentage fixe. Celui qui l’invente vend une fausse précision.
Une réserve subsiste. Le mapping a un caractère informatif sans valeur juridique contraignante. Un contrôle mis en œuvre selon ISO ne satisfait à l’obligation légale que si le champ d’application et la profondeur de mise en œuvre sont corrects. Et c’est précisément à ces deux endroits que les lacunes apparaissent.
Trois lacunes qu’un certificat ne comble pas
La première lacune concerne le champ d’application. Dans ISO 27001, l’organisation définit elle-même son périmètre, souvent limité à un département, un site ou un processus unique. Le BSIG ne connaît pas cette liberté. Les mesures s’appliquent aux services réglementés et aux systèmes informatiques qui les fournissent. Un certificat qui ne couvre que le service informatique ne répond généralement pas à l’exigence légale.
La deuxième lacune réside dans le traitement des risques. ISO permet d’accepter consciemment les risques ou de les transférer par le biais d’une assurance. L’article 30 exige en revanche la mise en œuvre effective de mesures appropriées selon l’état de l’art. Une acceptation globale des risques pertinents ne tient pas devant la surveillance. Celui qui tient honnêtement son registre des risques devrait vérifier chaque entrée avec le statut accepté au regard de l’obligation légale de mise en œuvre.
La troisième lacune est l’obligation de notification. Un processus de réponse aux incidents selon ISO régit l’escalade interne. Il ne connaît cependant aucun canal de notification à l’autorité. L’article 32 exige une notification en trois étapes à la plateforme commune de notification du BSI et du BBK : un avertissement précoce dans les 24 heures, un rapport de suivi dans les 72 heures et un rapport final dans un mois suivant le rapport de suivi. La ligne directrice du BSI est : la rapidité avant l’exhaustivité. Une notification interne à sa propre équipe de sécurité ne remplace pas cette obligation.
Le tableau suivant résume où le certificat s’applique et où la loi va au-delà.
| Thème | ISO 27001 couvre typiquement | BSIG exige en plus |
|---|---|---|
| Champ d’application | Périmètre librement définissable, souvent une seule unité | Mesures pour tous les systèmes des services réglementés |
| Traitement des risques | Acceptation et transfert des risques autorisés | Mise en œuvre obligatoire selon l’article 30, pas de transfert global |
| Réponse aux incidents | Processus d’escalade interne et de réponse aux incidents | Notification aux autorités selon l’article 32 : 24 h, 72 h, un mois |
| Direction générale | Revue par la direction, approbation de la politique | Obligation personnelle selon l’article 38 : mise en œuvre, surveillance, formation |
| Enregistrement | Ne fait pas partie de la norme | Enregistrement selon l’article 33, surveillance sans certificat comme preuve |
Article 38 : Pourquoi la direction reste personnellement responsable
La différence peut-être la plus importante se trouve à l’article 38. La direction générale doit mettre en œuvre les mesures de gestion des risques conformément à l’article 30 et surveiller leur mise en œuvre. Cette obligation est personnelle et ne peut être déléguée au CISO ou à un certificat. En cas de violation fautive, une responsabilité en dommages et intérêts s’applique selon les critères du droit des sociétés.
S’y ajoute une obligation de formation. La direction générale doit suivre régulièrement des formations pour pouvoir identifier et évaluer les risques. La revue de management ISO selon la clause 9.3 couvre le pilotage organisationnel. Elle ne remplace pas l’obligation légale de responsabilité personnelle de la direction.
Une précision est importante ici, car elle est souvent citée de manière incorrecte. La directive européenne parle à l’article 20 d’une approbation des mesures par les organes de direction. Le BSIG allemand formule de manière plus restrictive et exige la mise en œuvre et la surveillance. Celui qui parle en interne d’approbation devrait connaître le lien européen et ne pas faire comme si le terme figurait dans la loi allemande. Concrètement, l’obligation signifie : approbations documentées, une cadence de reporting fixe et des formations vérifiables de la direction.
Ce qui doit être fait avant le premier incident
Outre les obligations permanentes, il y a l’enregistrement. Selon l’article 33, un établissement concerné doit s’enregistrer au plus tard trois mois après la première application, via le compte entreprise et le portail BSI, disponible depuis le 6 janvier 2026. Les opérateurs KRITIS passent par la voie de la loi-cadre KRITIS. La surveillance peut ordonner des audits conformément aux articles 61 et 62. Là aussi, le certificat ISO ne compte pas comme preuve de conformité reconnue.
Il est donc judicieux de tenir un dossier de preuves propre, géré indépendamment du cycle d’audit ISO. Il regroupe la documentation conformément à l’article 30, les processus de notification conformément à l’article 32, les attestations de formation de la direction conformément à l’article 38 et l’enregistrement conformément à l’article 33. Celui qui sépare clairement ces quatre éléments peut, en cas de contrôle, fournir rapidement ce qui se trouve autrement dispersé dans une structure de dossiers ISO.
La voie pragmatique pour les entreprises déjà certifiées mène en cinq étapes à l’objectif. Vérifier l’application selon l’article 28. Comparer le périmètre ISO avec l’exploitation requise par la loi. Réaliser une analyse d’écarts structurée contre les dix domaines de l’article 30 et utiliser à cet effet le tableau de correspondance du BSI comme liste de contrôle. Mettre en place le processus de notification avec des délais clairs et un accès au portail. Et impliquer activement la direction générale, avec formation et surveillance documentée. Le certificat procure ainsi un véritable avantage. Il ne dispense personne des obligations légales.
Questions fréquentes
Chaque question est verrouillée. Un clic la déverrouille.
Notre certification ISO 27001 suffit-elle pour être conforme à NIS2 ?
Non. Le BSI précise explicitement dans son kit d’information sur la norme qu’une certification ne signifie pas conformité NIS2. Le certificat constitue un bon fondement, mais ne remplace pas l’analyse d’écarts par rapport à l’article 30 ni les obligations supplémentaires des articles 32, 33 et 38.
Devons-nous notifier les incidents si nous avons déjà une gestion des incidents ISO ?
Oui, séparément conformément à l’article 32. Un processus de réponse aux incidents selon ISO régit l’escalade interne, mais il ne prévoit aucun canal de notification à l’autorité. Il faut mettre en place un pont de processus qui classe un incident significatif et déclenche les délais de 24 heures, 72 heures et un mois.
Pouvons-nous présenter le certificat ISO au BSI comme preuve ?
Pas comme preuve de conformité. La surveillance examine directement les articles 30, 32 et 38. Le certificat peut documenter de manière complémentaire l’existence d’un système de management, mais il ne remplace aucune production de preuves légales.
Que doit faire personnellement la direction générale ?
L’article 38 exige la mise en œuvre et la surveillance des mesures ainsi qu’une formation régulière ; en outre, la direction engage sa responsabilité en cas de violation fautive de ses obligations. La simple signature de la politique de sécurité ne suffit pas. Les preuves de formation et un processus de surveillance documenté doivent être tenus séparément.
ISO 27001 couvre-t-il l’obligation de notification NIS2 ?
Non. Le BSI cite explicitement l’obligation de notification selon l’article 32 comme un point que la norme ne couvre pas. Un processus IR interne et une notification légale à la plateforme commune de notification sont deux choses différentes.
Les choix de la rédaction
À lireNIS2 après l’échéance : c’est maintenant que commence la supervision de la BSIÀ lireNIS2 et divulgation coordonnée : sortir de la zone griseÀ lireLe plan d’urgence que personne n’a répété
Plus du réseau MBF Media
Digital ChiefsG?opolitique et datacenters : ce que les DSI s?curisentMyBusinessFutureAI Act de l’UE à partir d’août 2026 : ce que les PME doivent étiqueter maintenantcloudmagazinXFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme





