Le piège classique
L'article 25 semble anodin : il invite simplement les états membres a encourager les normes européennes et internationales. En réalité, il fixe le standard de fait qu'attendent l'ILR et l'ENISA lors d'un contrôle. Quand vous arrivez devant l'ILR avec une politique de sécurité maison, sans référence a ISO 27001, ISO 27002, ISO 22301, NIST CSF, ETSI EN 303 645 ou aux guides ENISA, vous êtes presume non-conforme a l'article 21. La charge de la preuve s'inverse : c'est a vous de démontrer que votre approche est equivalente, et c'est très difficile.
Le standard de fait que l'ILR et l'ENISA attendent
Aucun référentiel n'est officiellement obligatoire, mais en pratique l'écosystème NIS 2 s'aligne sur un socle precis. Connaître ce socle, c'est savoir ou l'ILR posera ses questions.
- ISO/IEC 27001 et 27002 : socle SMSI, mesures organisationnelles et techniques, référence universelle de l'article 21(2).
- ISO/IEC 22301 : continuite d'activité, exigee implicitement par l'article 21(2)(c).
- ISO/IEC 27005 : appreciation des risques, attendue pour l'article 21(2)(a).
- NIST CSF 2.0 et NIST SP 800-61 : gestion d'incident, mappe sur l'article 23.
- ETSI EN 303 645 pour l'IoT, ETSI TS 103 645 pour les telecoms.
- Guides ENISA : NIS 2 Technical Implementation Guidance, Threat Landscape, Good practices for IoT, Cloud Security Guide.
- Schema CyFun (Belgique) et BSI IT-Grundschutz (Allemagne) : références européennes acceptees comme equivalentes par l'ILR.
- Schemes de certification européens (EUCC, EUCS quand publie) au titre du Cybersecurity Act.
Le test 'equivalence' : la clé d'argumentation devant l'ILR
Si vous deviez choisir une autre approche que ISO 27001, l'ILR ne l'interdit pas, mais vous demandera de produire une matrice de correspondance entre vos mesures et chaque exigence de l'article 21(2)(a) a (j). Sans cette matrice, vous êtes en defaut documentaire, ce qui peut déclencher une sanction administrative pouvant atteindre 10 M'EUR ou 2% du chiffre d'affaires mondial pour une entité essentielle.
Comment Luxgap automatise ce risque
Notre Luxgap Standards Mapper transforme l'exigence floue de l'article 25 en une matrice de conformité cryptographiquement scellee, opposable a l'ILR. L'outil scanne en continu votre SI (Microsoft Defender, Azure Sentinel, CrowdStrike, Wazuh, Active Directory, Intune, M365 Compliance Center, AWS Security Hub) et croise chaque contrôle technique detecte avec les référentiels ISO 27001 Annexe A, ISO 27002:2022, NIST CSF 2.0, ETSI EN 303 645 et les guides ENISA NIS 2, pour produire en temps reel votre score d'equivalence article 21.
- Detecte automatiquement les contrôles techniques deja en place dans vos outils EDR, SIEM, MDM et IAM, sans questionnaire au RSSI.
- Mappe chaque contrôle detecte vers les 93 mesures ISO 27002:2022, les 6 fonctions NIST CSF 2.0 et les 10 catégories de l'article 21(2) NIS 2.
- Calcule un score d'equivalence par exigence et signale les zones ou la couverture est insuffisante pour passer un contrôle ILR.
- Genere la matrice de correspondance PDF horodatee et signee, prete a être remise lors d'une inspection ILR, demontrant le respect de l'article 25 et 21.
- Alerte instantanement sur Teams ou Slack des qu'une règle EDR ou SIEM est desactivee, faisant chuter le score d'equivalence sous le seuil.
- Intégré les mises à jour des guides ENISA et des schemes EUCC/EUCS pour rafraichir automatiquement votre matrice de conformité.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre SI reel, avec un audit blanc gratuit sous 48h pour mesurer votre score d'equivalence avant tout engagement.
