ISO 22301 et NIST CSF 2.0 sont deux des cadres les plus utilisés mondialement pour structurer un programme de résilience. Mais ils ne couvrent pas le même champ, n'ont pas la même logique, et ne s'adressent pas aux mêmes publics. Ce guide vous aide à choisir — ou à combiner — les deux selon votre contexte 2026.
TL;DR — la bonne réponse dépend du besoin
| Votre situation | Cadre recommandé |
|---|---|
| Besoin de certification continuité (audit client, marché public) | ISO 22301 |
| Démonstration posture cyber holistique, flexibilité | NIST CSF 2.0 |
| Conformité NIS2 / DORA côté cyber | NIST CSF 2.0 + règlements |
| Programme BCMS classique (sinistres physiques + cyber) | ISO 22301 |
| Communication board / investisseurs sur maturité cyber | NIST CSF 2.0 |
| Organisation mature déjà ISO 27001 | Les deux (complémentaires) |
Vue d'ensemble des deux cadres
ISO 22301:2019 — Business Continuity Management Systems
Éditeur : ISO (International Organization for Standardization)
Objet : norme pour la mise en place et la certification d'un Business Continuity Management System (BCMS).
Structure : 10 clauses alignées sur la structure Annex SL d'ISO (contexte, leadership, planification, support, réalisation, évaluation performance, amélioration).
Nature : certifiable par des organismes accrédités (BSI, SGS, AFNOR, Bureau Veritas…).
Public : organisations ayant besoin de démontrer formellement leur capacité de continuité (banques, santé, industriels critiques, prestataires de services managés).
NIST CSF 2.0 — Cybersecurity Framework
Éditeur : NIST (agence US Department of Commerce)
Objet : cadre de bonnes pratiques cybersécurité orienté outcomes.
Structure : 6 fonctions (Govern, Identify, Protect, Detect, Respond, Recover) × 23 catégories × 106 sous-catégories.
Nature : non certifiable en tant que tel (pas de tampon "CSF certified"). Utilisation volontaire.
Public : toute organisation souhaitant structurer son programme cyber et communiquer sa maturité en interne comme en externe.
Pour creuser chaque cadre individuellement :
Comparaison détaillée — 10 dimensions
1. Périmètre
| Dimension | ISO 22301 | NIST CSF 2.0 |
|---|---|---|
| Cyber | Partiel (inclus dans BCM) | Cœur de métier |
| Physique (sinistre, catastrophe) | Cœur de métier | Limité (fonction Recover) |
| Humain (pandémie, absence) | Inclus | Indirect |
| Supply chain | Inclus | Explicite (GV.SC) |
| Gouvernance | Clause 5 | Fonction Govern (nouvelle) |
ISO 22301 a une vision tout-risque de la continuité ; CSF 2.0 est centré cyber avec extensions gouvernance.
2. Logique méthodologique
- ISO 22301 : approche BIA-centrée. Le Business Impact Analysis est la pièce maîtresse, tout découle de lui (RTO, plans, tests, mesures).
- NIST CSF 2.0 : approche profile-centrée. Un profil actuel + un profil cible + un plan d'action pour combler l'écart.
3. Certification
- ISO 22301 : certification par tierce partie accréditée, valide 3 ans, audit annuel de suivi. Coût certification : 10 K€ à 80 K€ selon taille.
- NIST CSF 2.0 : pas de certification officielle. Auto-évaluation ou audit tiers informel. Certains cabinets proposent des "assessments" payants (Deloitte, KPMG, PwC).
4. Langue et accessibilité
- ISO 22301 : disponible en 30+ langues (traductions ISO officielles). Texte dense (65 pages + 75 pages d'ISO 22313 pour guidance).
- NIST CSF 2.0 : anglais uniquement officiellement. Documents gratuits, accessibles en ligne, format plus moderne.
5. Coût de mise en œuvre
| Phase | ISO 22301 | NIST CSF 2.0 |
|---|---|---|
| Licences / documentation | ~CHF 200 (achat norme) | Gratuit |
| Conseil externe typique | 50-200 K€ | 30-150 K€ |
| Certification initiale | 10-80 K€ | N/A |
| Audit de suivi annuel | 5-30 K€ | N/A |
| Coût humain interne | 0.5 à 2 ETP | 0.3 à 1.5 ETP |
CSF 2.0 est moins coûteux à démarrer (pas de certification, doc gratuite) mais ISO 22301 a une valeur commerciale supérieure (audit client, RFP, marchés publics).
6. Maturité mesurable
- ISO 22301 : conforme ou non conforme (approche audit binaire). Les écarts sont des "non-conformités" à corriger.
- NIST CSF 2.0 : 4 tiers (Partial, Risk Informed, Repeatable, Adaptive) + 4 niveaux d'implémentation par sous-catégorie. Vision graduée.
La gradation CSF est souvent jugée plus utile pour communiquer avec la direction générale ("nous sommes tier 3 sur Identify, tier 2 sur Recover").
7. Flexibilité
- ISO 22301 : structure rigide (10 clauses obligatoires, clauses 4 à 10 auditables).
- NIST CSF 2.0 : profil personnalisable. Vous choisissez les sous-catégories prioritaires, les niveaux cibles, le calendrier.
8. Adaptation sectorielle
- ISO 22301 : générique, applicable partout. Peu de spécialisations publiques.
- NIST CSF 2.0 : community profiles publiés par NIST (financial services, manufacturing, election infrastructure, small business). Starting point accéléré.
9. Alignement réglementaire européen
| Règlement | ISO 22301 | NIST CSF 2.0 |
|---|---|---|
| NIS2 | Couvre Art. 21.2.c (continuité) | Couvre quasi-intégralement les 10 mesures Art. 21 |
| DORA | Couvre continuité TIC | Couvre très largement les 5 piliers |
| RGPD | Indirect (Art. 32) | Indirect |
| Secteur bancaire (EBA) | Reconnu | Reconnu |
Pour la conformité multi-réglementaire, CSF 2.0 offre une couverture plus large. Pour la preuve formelle réglementaire, ISO 22301 est souvent exigé par les autorités spécifiques (ACPR, BCE pour banques européennes).
10. Preuve d'audit
- ISO 22301 : certificat officiel opposable à tout tiers.
- NIST CSF 2.0 : auto-déclaration ou rapport cabinet. Moins opposable.
Cas d'usage typiques
Cas 1 — Banque régionale française (1500 salariés)
Contexte : soumise à DORA, volonté de certification pour rassurer auditeurs et clients B2B.
Recommandation : ISO 22301 + NIST CSF 2.0 en parallèle
- ISO 22301 : certification formelle BCMS, démonstration continuité
- NIST CSF 2.0 : structure cyber interne pour répondre à DORA
- ROI : capitalise sur les deux cadres pour couvrir tout le périmètre
Cas 2 — Startup SaaS tech (80 salariés)
Contexte : jeune entreprise, clients entreprises demandent des garanties cyber.
Recommandation : NIST CSF 2.0 d'abord, ISO 22301 plus tard
- CSF 2.0 : gratuit, flexible, preuve de maturité cyber
- Évaluer ISO 22301 quand les clients grands comptes l'exigeront
- ISO 27001 probablement prioritaire sur ISO 22301
Cas 3 — Industriel (3000 salariés, sites multiples)
Contexte : risque sinistre physique important (incendie, inondation, pandémie), obligations CER + NIS2.
Recommandation : ISO 22301 priorité, CSF 2.0 en complément cyber
- ISO 22301 : adresse les risques physiques + continuité multi-site
- CSF 2.0 : structure la partie cyber des plans
- Certification ISO 22301 utile pour contrats clients
Cas 4 — Hôpital public (2000 salariés)
Contexte : entité essentielle NIS2, risques cyber + pandémie + pénurie médicaments.
Recommandation : Les deux, ISO 22301 ancré + CSF 2.0 cyber
- Vies en jeu : exigence maximale sur continuité
- ISO 22301 : structure BCMS rigoureuse
- CSF 2.0 : couverture NIS2 + montée en maturité cyber progressive
Cas 5 — Cabinet conseil (60 salariés)
Contexte : obligations contractuelles clients, pas de contrainte sectorielle forte.
Recommandation : NIST CSF 2.0 uniquement
- Démontrer une posture cyber mature
- ISO 22301 sur-dimensionné pour la taille
- Auto-évaluation CSF + audit externe léger annuel
Combiner les deux — l'approche hybride
Pour les organisations matures, utiliser les deux cadres ensemble est souvent la solution optimale. Ils ne sont pas concurrents mais complémentaires.
Mapping pratique
| Besoin | ISO 22301 | NIST CSF 2.0 |
|---|---|---|
| Contexte et parties prenantes | Clause 4 | Function Govern |
| Leadership et politique | Clause 5 | GV.PO |
| Analyse d'impact | Clause 8.2.2 (BIA) | ID.BE + RC.RP |
| Évaluation des risques | Clause 8.2.3 | ID.RA |
| Stratégie et solutions | Clause 8.3 | PR (Protect) |
| Plans de continuité | Clause 8.4 | RC.RP |
| Exercices et tests | Clause 8.5 | RC.RP-1 test |
| Surveillance et amélioration | Clauses 9-10 | GV.OV + fonction DE |
Un BIA unique pour nourrir les deux
Le BIA ISO 22301 alimente directement les sous-catégories CSF ID.BE (Business Environment). Un seul BIA satisfait les deux cadres.
Un plan d'audit unifié
Les auditeurs ISO 22301 acceptent généralement les preuves CSF comme démonstration de maturité sur les sous-catégories CSF couvertes par des exigences ISO.
Comment ResiPlan opérationnalise les deux cadres
- Modules ISO 22301 ET NIST CSF 2.0 nativement intégrés
- Mapping croisé automatique — un contrôle satisfait les deux cadres simultanément
- BIA unique alimentant ISO 22301 + CSF ID.BE
- Gap analysis double : écarts ISO + écarts CSF sur même écran
- Reporting direction combinant maturité ISO et tiers CSF
- Pré-cartographie NIS2 et DORA depuis les deux cadres
Démarrer un essai gratuit pour visualiser le cross-mapping ISO 22301 ↔ NIST CSF en action.
Conclusion
Il n'y a pas de réponse universelle "ISO 22301 ou NIST CSF". La bonne réponse dépend de votre contexte, vos obligations et vos objectifs business.
Règle pratique :
- Obligation de certification ou forte demande formelle : ISO 22301
- Besoin de flexibilité et de progression graduée : NIST CSF 2.0
- Organisation mature aux enjeux multiples : les deux
Dans tous les cas, commencer par un cadre et itérer plutôt que de chercher la perfection. Un CSF 2.0 implémenté à 60 % vaut mieux qu'un ISO 22301 en projet depuis 2 ans sans résultat.
Pour aller plus loin :