Une base ISO solide ne suffit pas à cocher DORA, NIS 2, CRA et LPM
Publié sur LinkedIn le 13 juillet 2026
Mettre en place ISO 27001, ISO 22301, ISO 27031 et ISO 22336, avec des preuves, est une excellente base.
Cela montre une démarche sérieuse :
sécurité de l’information,
continuité d’activité,
préparation ICT,
stratégie de résilience,
gouvernance,
tests,
amélioration continue.
Mais soyons clairs : les normes ne remplacent pas les obligations réglementaires.
Elles structurent. Elles prouvent une maturité. Elles facilitent l’audit.
Mais DORA, NIS 2, CRA et LPM demandent une traduction réglementaire, sectorielle et opérationnelle.
Il reste à vérifier le périmètre.
Êtes-vous entité financière concernée par DORA ?
Entité essentielle ou importante au sens NIS 2 ?
Fabricant, importateur ou distributeur de produit numérique visé par le CRA ?
Opérateur d’importance vitale ou acteur soumis aux règles LPM ?
Sans périmètre clair, impossible de savoir quelles obligations appliquer.
Ensuite, il faut faire le mapping.
Chaque exigence réglementaire doit être reliée à une preuve :
politique,
procédure,
contrôle,
test,
journal,
rapport,
contrat,
registre,
décision,
plan d’action.
Une certification ISO peut aider, mais elle ne suffit pas si l’autorité demande une preuve précise sur la notification d’incident, la chaîne fournisseur, la supervision, le reporting ou la gestion des vulnérabilités.
Troisième chantier : les délais de notification.
DORA, NIS 2, CRA et LPM introduisent des obligations de signalement, avec des formats, des seuils, des interlocuteurs et des délais.
Il ne suffit pas de savoir gérer un incident.
Il faut savoir quand le déclarer, à qui, avec quelles informations, puis comment suivre les mises à jour.
Quatrième point : les tiers.
Les contrats doivent être revus :
SLA,
réversibilité,
audit,
localisation,
sous-traitance,
accès aux preuves,
obligations de notification,
continuité,
sortie de crise.
La résilience ne s’arrête pas au périmètre interne.
Cinquième sujet : tester sous contrainte réglementaire.
Un exercice PRA classique ne suffit pas toujours.
Il faut intégrer notification, décision de crise, communication externe, dépendance fournisseur, scénario systémique et preuve de pilotage.
Enfin, il faut installer une gouvernance de conformité vivante.
Veille réglementaire.
Registre des écarts.
Responsabilités nommées.
Indicateurs.
Revues de direction.
Plans correctifs suivis.
Preuves horodatées.
L’objectif n’est pas d’empiler ISO, DORA, NIS 2, CRA et LPM comme des trophées.
L’objectif est de démontrer une capacité maîtrisée à prévenir, résister, notifier, reprendre et prouver.
Les normes donnent la charpente.
Les textes réglementaires imposent le terrain de jeu.
Entre les deux, il reste le plus important : l’exécution.
PS : Si vous découvrez mon contenu (veille CERT, Post), je vous invite à me suivre ici sur LinkedIn
hashtag#RésilienceIT hashtag#CyberRésilience hashtag#DORA hashtag#NIS2 hashtag#CRA hashtag#LPM hashtag#ISO27001 hashtag#ISO22301 hashtag#ISO27031 hashtag#ISO22336