SOC managé - surveillance continue  ·  veille cyber : CERT-FR / CISA / NVD  ·  réponse à incident en priorité
Toutes les actualités

Conformité · Analyse

NIS2 en France : ce que le ReCyF de l'ANSSI change pour vous.

La directive européenne NIS2 va faire passer le nombre d'organisations soumises à des obligations de cybersécurité d'environ 300 à 15 000 à 18 000 entités en France. Beaucoup de dirigeants attendent la loi de transposition pour agir. C'est une erreur de calendrier : depuis le 17 mars 2026, l'ANSSI met à disposition un référentiel qui permet de commencer maintenant, sur des bases concrètes.

Le ReCyF, en bref

Le Référentiel Cyber France (ReCyF) liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS2. Il est structuré en 20 objectifs de sécurité répartis en 4 blocs, et il correspond au cadre mentionné à l'article 14 du projet de loi Résilience, qui transposera la directive en droit français.

Deux points importants à comprendre. D'abord, à ce stade, le ReCyF est diffusé comme un document de travail : les travaux législatifs et réglementaires ne sont pas terminés, et l'ANSSI n'a pas publié de version finale. Ensuite, il intègre un principe de proportionnalité : le niveau d'effort attendu s'adapte à la maturité de chaque entité et aux ressources dont elle dispose. Une entité qui décide de l'appliquer pourra s'en prévaloir en cas de contrôle de l'ANSSI.

Sources : ANSSI (lab.cyber.gouv.fr, cyber.gouv.fr) - voir les liens en bas d'article.

Suis-je concerné, et à quel niveau ?

NIS2 distingue deux catégories, selon la taille et le secteur d'activité :

  • Entités essentielles (EE) : à partir de 250 salariés, ou 50 M€ de chiffre d'affaires, ou 43 M€ de bilan. Les sanctions peuvent atteindre 10 M€ ou 2 % du chiffre d'affaires mondial.
  • Entités importantes (EI) : entre 50 et 249 salariés, ou 10 à 50 M€ de chiffre d'affaires. Les sanctions peuvent atteindre 7 M€ ou 1,4 % du chiffre d'affaires.

Point souvent sous-estimé par les comités de direction : la responsabilité des dirigeants peut être engagée personnellement. NIS2 n'est pas seulement un sujet technique, c'est un sujet de gouvernance.

Ce que le référentiel demande, concrètement

Sans attendre la version finale, les grands axes du ReCyF recoupent des fondamentaux que toute organisation gagne à mettre en place :

  • Une gouvernance du risque formalisée : rôles, responsabilités, revue régulière, implication de la direction.
  • Une hygiène technique renforcée : contrôle d'accès strict, authentification multifacteur, chiffrement, segmentation réseau, gestion des correctifs.
  • La sécurité de la chaîne d'approvisionnement : évaluer et suivre le risque porté par les prestataires et fournisseurs.
  • La détection et la déclaration des incidents : savoir voir une attaque, et savoir la notifier dans les délais imposés.
Le test à faire dès cette semaine

Prenez les 20 objectifs du ReCyF et posez-vous une seule question par objectif : « serais-je capable de le démontrer à un auditeur aujourd'hui ? » Les objectifs où la réponse est « non » ou « je ne sais pas » dessinent votre feuille de route. C'est plus utile qu'attendre la loi pour découvrir le retard.

Pourquoi commencer avant la loi

La promulgation de la loi Résilience puis la publication des décrets ouvriront un délai de mise en conformité, mais ce délai n'est pas un répit : monter une gouvernance, déployer le MFA partout, segmenter un réseau existant ou cartographier ses fournisseurs prend des mois, pas des semaines. Les entités qui s'y prennent tôt lisseront l'effort et l'aborderont comme un projet, pas comme une urgence réglementaire. Le ReCyF, avec son comparateur qui permet de le rapprocher d'autres cadres (ISO 27001, référentiels sectoriels, européens), offre justement de quoi démarrer sans repartir de zéro.

En résumé

NIS2 n'est plus une échéance abstraite : avec le ReCyF, l'ANSSI a posé un cadre exploitable dès aujourd'hui. La bonne posture n'est pas d'attendre le texte définitif, mais de mesurer son écart avec les 20 objectifs et de traiter les manques par ordre de priorité. C'est exactement le travail que nous menons avec nos clients : transformer une obligation subie en trajectoire de sécurité maîtrisée.

Situer votre organisation face à NIS2

Kenawek évalue votre écart avec les objectifs du ReCyF, identifie les priorités et construit une feuille de route réaliste. Parlons-en.

Sources