NIS2 implique une application des objectifs de sécurité sur l'ensemble des systèmes d'information, pour tout ce qui peut porter atteinte à :

- La disponibilité des activités et services

- la confidentialité des informations de l'entité

- l'intégrité des informations nécessaires à l'activité

On retrouver ici les grands concepts de l'ISO 27001 (DCI), à un détail prêt : Le domaine d'application porte sur toutes les activités et services, y compris ceux qui ne correspondent pas aux critères de désignation en tant qu'Entité Essentielle ou Entité Importante.

En bref, il est fort possible que le périmètre ISO 27001 ne soit pas celui de NIS2.

De plus, de nouveaux exigences viennent s'ajouter avec NIS2, et demanderont un travail de fond à ne pas négliger. On notera par exemple le travail sur les aspects contractuels, mais aussi pour certains les audits techniques externes.

Enfin il est fort possible que l'analyse de risque demande une mise à jour, voir un basculement vers une autre méthode que celle utilisée dans le contexte ISO 27001 (la 27001 n'impose pas de méthode, la transposition par contre ...).

Alors oui, disposer d'une certification ISO 27001 est évidemment un grand avantage en termes de maturité. Cela va permettre de gagner du temps.

Pour autant, attention à ne pas partir du principe que la conformité NIS2 sera présumée dans le cas d'une 27001 en place. Ce serait un raccourci trop hâtif.