NIS2 est une directive réglementaire de l'UE. NIST Cybersecurity Framework 2.0 est un référentiel volontaire d'origine américaine, désormais largement adopté en Europe. Ils partagent une grande partie du fond — mais répondent à des questions d'audit différentes. Voici la correspondance complète et la matrice de décision.
Nature: Directive réglementaire UE (obligatoire)
Qui: Entités essentielles / importantes dans des secteurs spécifiques
Périmètre géographique: UE uniquement
Certification: Pas de certification — supervisée par les autorités nationales
Sanctions: Jusqu'à 10 M€ ou 2 % du chiffre d'affaires
Gouvernance: L'article 20 exige la responsabilité de l'organe de direction
Nature: Référentiel volontaire d'origine américaine (NIST SP)
Qui: Toute organisation souhaitant un programme cyber structuré
Périmètre géographique: Mondial (forte adoption secteur public US ; adoption PME UE croissante)
Certification: Pas d'organisme de certification NIST CSF officiel
Sanctions: Aucune — mais l'alignement au référentiel sous-tend de nombreux contrats US (FedRAMP, DoD CMMC)
Gouvernance: Fonction GV (Govern) ajoutée dans CSF 2.0 (2024) — formalise la surveillance par l'organe de direction
Cette correspondance fait actuellement l'objet d'une revue indépendante par un praticien externe NIST CSF. La cartographie reflète l'analyse technique de Reglyze ; le badge « revue signée » apparaîtra ici à la clôture de l'engagement.
Les 10 mesures minimales de l'article 21(2) de NIS2 et les obligations de l'organe de direction (article 20) se répartissent sur les six fonctions du NIST CSF 2.0. La version 2.0 (2024) a ajouté la fonction GV (Govern), qui absorbe l'essentiel du fond de l'article 20 de NIS2 — un fond que les versions antérieures du CSF peinaient à exprimer.
La cote de recouvrement reflète à quel point la substance de l'article NIS2 est exprimée par les sous-catégories CSF 2.0 listées.
Risk analysis and information system security policies
NIST CSF 2.0: GV.PO-01/02, GV.RM-01..06, ID.RA-01..10 — Organizational risk management strategy + policies + risk assessment process
Incident handling
NIST CSF 2.0: DE.AE-02..04, DE.CM-01/09, RS.MA-01/03, RS.AN-03, RS.CO-02, RS.MI-01/02 — Detection categories + Respond categories (Management, Analysis, Comms, Mitigation)
Business continuity and crisis management
NIST CSF 2.0: PR.IR-04, PR.DS-11, RC.RP-01..04, RC.CO-03 — Infrastructure resilience + backup + recovery planning + recovery communications
Supply chain security
NIST CSF 2.0: GV.SC-01..10, ID.SC-04..05 — Cybersecurity supply chain risk management — strategy, roles, suppliers, contracts
Security in acquisition, development and maintenance
NIST CSF 2.0: PR.PS-01..06, PR.IR-01, ID.IM-01/04 — Platform security configuration + improvement processes
Policies and procedures to assess effectiveness
NIST CSF 2.0: ID.IM-01..04, GV.OV-01..03 — Improvement (lessons learned + tests + plans) + Oversight
Basic cyber hygiene and training
NIST CSF 2.0: PR.AT-01/02, PR.PS-04/05 — Awareness and training categories
Cryptography and encryption
NIST CSF 2.0: PR.DS-01/02/10/11 — Data security: in-transit, at-rest, integrity, key management
HR security, access control, asset management
NIST CSF 2.0: PR.AA-01..05, ID.AM-01/02/05, GV.RR-04 — Authentication and access control + Asset management + Roles & responsibilities
MFA, secure communications, secure emergency comms
NIST CSF 2.0: PR.AA-03, PR.IR-01/04, PR.DS-02 — Strong authentication + secure infrastructure + data-in-transit
Board oversight and accountability
NIST CSF 2.0: GV.RR-01..03, GV.PO-01, GV.OV-01..03 — Roles & responsibilities + Policy + Oversight functions — the GV (Govern) function added in CSF 2.0
Management body training
NIST CSF 2.0: PR.AT-01/02, GV.RR-04 — Awareness + training + responsibility allocation
Vous êtes à 75–85 % du chemin vers la conformité NIS2. Votre profil CSF existant couvre déjà la plupart des 10 mesures minimales NIS2 (en particulier la nouvelle fonction GV pour l'article 20).
Ce qu'il reste à couvrir pour NIS2 :
Vous n'avez pas besoin de NIST CSF pour être conforme à NIS2. Mais adopter la structure CSF comme modèle de travail peut :
Si le budget est serré, livrez d'abord la conformité NIS2 (c'est l'obligation légale), puis cartographiez vos preuves sur les fonctions CSF — les mêmes artefacts couvrent les deux.