Le piège classique
L'article 25 semble anodin : il n'impose aucune norme précisé. C'est justement la le piège. Lors d'un contrôle ILR au titre de l'article 21, l'entité essentielle ou importante doit démontrer que ses mesures techniques et organisationnelles sont appropriees et proportionnees. Sans référence a un standard reconnu (ISO/IEC 27001, ISO/IEC 27002, IEC 62443, NIST CSF, ETSI EN 303 645, guides ENISA), l'argumentation s'effondre et l'ILR requalifie les mesures comme insuffisantes, avec sanction jusqu'a 10 M EUR ou 2% du chiffre d'affaires mondial.
Le standard de fait : la pyramide ENISA / ISO / sectoriels
L'ENISA publie des technical guidelines qui cristallisent l'etat de l'art attendu par les autorités nationales, dont l'ILR. Pour structurer votre défense, alignez-vous sur cette hierarchie :
- Socle horizontal : ISO/IEC 27001 (SMSI certifie) et ISO/IEC 27002:2022 (93 contrôles mappes sur l'article 21(2))
- Gestion des incidents : ISO/IEC 27035 et guide ENISA Référence Incident Classification Taxonomy
- Continuite : ISO 22301 (BCMS) et ISO/IEC 27031 (ICT readiness)
- Chaîne d'approvisionnement : ISO/IEC 27036 et guide ENISA Good Practices for Supply Chain Cybersecurity
- Cryptographie : ETSI TS 119 312, recommandations ANSSI RGS B1/B2/B3
- Sectoriels : IEC 62443 (OT/industriel), ISO 27799 (sante), TIBER-EU (finance), ENISA 5G Toolbox (telecoms)
- Cloud : ISO/IEC 27017, ISO/IEC 27018, schema EUCS de l'ENISA
Les pièges en pratique
- Choisir un seul référentiel et croire qu'il couvre tout : l'ISO 27001 ne couvre pas les exigences de notification 24h/72h de l'article 23
- Adopter NIST CSF v2.0 sans le mapper sur l'article 21(2) : l'ILR raisonne par exigences NIS 2, pas par fonctions NIST
- Ignorer la mise a jour 2022 de l'ISO 27002 (93 contrôles vs 114) : vos politiques referencent encore les vieux numéros
- Ne pas tracer la version du standard appliquee : un audit en 2026 contre une ISO 27002:2013 sera disqualifie
Comment Luxgap automatise ce risque
Notre Luxgap Standards Crosswalk Engine rend impossible la defaillance argumentaire devant l'ILR : il maintient en temps reel une matrice de correspondance entre chaque exigence NIS 2 (article 21 paragraphes 1 et 2, article 23) et les contrôles concrets de 14 référentiels normatifs, avec la version exacte applicable a date. Un agent IA specialise lit vos politiques internes, vos procédures Confluence/SharePoint et vos rapports d'audit ISO, puis genere automatiquement la preuve d'alignement opposable a l'autorité.
- Crosswalk Matrix : 187 exigences NIS 2 mappees sur ISO 27001/27002:2022, IEC 62443, NIST CSF 2.0, ETSI EN 303 645, guides ENISA, avec mise a jour automatique quand une norme evolue
- Policy Reader : agent LLM qui aspire vos politiques M365/SharePoint/Confluence et identifié les clauses qui implementent (ou non) chaque contrôle
- Gap Heatmap : carte de chaleur par exigence NIS 2, avec score de couverture (0 a 100) et estimation du délai de remediation
- ENISA Watch : crawler quotidien des publications ENISA, ILR, ANSSI, BSI qui alerte sur Teams quand un nouveau guide impacte votre perimetre
- Audit Pack Generator : produit en 1 clic un PDF horodate signe cryptographiquement, opposable lors d'un contrôle ILR, avec la chaîne de preuve complète (exigence -> standard -> contrôle -> politique -> evidence)
- Version Lock : registre immuable des versions de normes appliquees a chaque date, indispensable en cas de litige plusieurs annees apres
Disponible en SaaS (Starter jusqu'a 3 référentiels, Pro jusqu'a 8 référentiels et 500 contrôles, Enterprise illimite multi-entites), ou inclus dans le mandat CISO Luxgap. Demandez un audit blanc gratuit avec snapshot complet de votre couverture NIS 2 livre sous 48h.
