NIS 2 en France : ReCyF — Référentiel Cyber France
Le référentiel national qui rend NIS 2 mesurable en France, c'est le ReCyF — Référentiel Cyber France. Le ReCyF liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2. Non obligatoire par défaut, il est opposable : une entité qui l'applique peut s'en prévaloir en cas de contrôle de l'ANSSI.
Statut du référentiel : Document de travail (v2.5, publié le 17 mars 2026). Pas de version définitive tant que la transposition n'est pas votée et que la consultation n'a pas eu lieu.
L'essentiel en un coup d'œil
Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (loi Résilience)
Promulgation attendue courant été 2026
Agence nationale de la sécurité des systèmes d'information (ANSSI)
https://cyber.gouv.frReCyF — Référentiel Cyber France
Une vingtaine d'objectifs de sécurité, filtrables selon l'entité (essentielle ou importante), avec un principe de proportionnalité adaptant l'effort attendu à la maturité et aux ressources de l'entité.
- entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial
- entités importantes : jusqu'à 7 M€ ou 1.4 % du CA mondial
Montants issus du projet de loi — provisoires jusqu'à promulgation.
Qui est concerné ?
Grandes entités des secteurs à haute criticité (annexe I). Soumises à une supervision a priori par l'ANSSI.
Entités moyennes des secteurs de l'annexe I et entités des secteurs de l'annexe II. Supervision a posteriori.
Régime antérieur : Dispositif SAIV / OIV (loi de programmation militaire). Les OIV (dispositif SAIV) devraient être classés entités essentielles, et le périmètre étendu à certaines collectivités : à confirmer sur le texte promulgué. Nombre d'entités concernées : non publié par l'ANSSI à ce stade.
Échéances clés
2024-10-17
Échéance de transposition de la directive (manquée par la France ; procédure d'infraction ouverte par la Commission).
2026-03-17
Publication du ReCyF v2.5 (document de travail) et du comparateur de référentiels sur MesServicesCyber.
2026-été
Promulgation attendue de la loi Résilience, puis décrets et arrêtés techniques. L'enregistrement obligatoire ouvre à ce moment.
Notification d'incident : 24 h (pré-alerte) / 72 h (notification) / 1 mois (rapport final), auprès de CERT-FR (ANSSI).
Secteurs prioritaires
Anciens OIV et opérateurs d'importance vitale
Les organisations déjà soumises au dispositif SAIV (OIV) au titre de la loi de programmation militaire devraient basculer en entités essentielles. Le ReCyF leur permet d'aligner leurs mesures sur les objectifs NIS 2 sans attendre le texte définitif.
Collectivités territoriales et secteur public
La France devrait étendre le périmètre à une partie des collectivités territoriales et des administrations. Le seuil précis dépend du texte promulgué — à vérifier à ce moment ; en attendant, le pré-enregistrement volontaire sur MesServicesCyber permet de se situer.
Industrie, services numériques et chaînes d'approvisionnement
Les ETI et PME industrielles, fournisseurs de services numériques et opérateurs ICT entrent dans le champ dès qu'ils dépassent les seuils, et sont de plus en plus tirés indirectement par les exigences de sécurité de leurs grands donneurs d'ordre.
How ReCyF maps to NIS2
Each objective of ReCyF — the national framework for NIS2 — shown against the NIS2 controls it covers. This is the authority's own correspondence, not a generic article list: where a objective has no direct NIS2 control nexus, we say so.
| Objective (ReCyF) | NIS2 control(s) | ISO 27001 correspondence | Status |
|---|---|---|---|
| Recensement des systèmes d'information1 | Art. 21(2)(i) | Covered | |
| Mise en œuvre d'un cadre de gouvernance de la sécurité numérique2 | Art. 20(1) Art. 20(2) Art. 21(2)(a) Art. 21(2)(f) Art. 21(2)(h) Art. 21(2)(i) | ReCyF v2.5 p. 8 — SMSI ISO 27001:2022 admissible | Covered |
| Maîtrise de l'écosystème3 | Art. 21(2)(d) Art. 21(2)(i) | Covered | |
| Intégration de la sécurité numérique dans la gestion des ressources humaines4 | Art. 21(2)(g) | Covered | |
| Maîtrise des systèmes d'information5 | Art. 21(2)(e) Art. 21(2)(i) | Covered | |
| Maîtrise des accès physiques aux locaux6 | — | No direct NIS2 mapping | |
| Sécurisation de l'architecture des systèmes d'information7 | Art. 21(2)(e) Art. 21(2)(h) | Covered | |
| Sécurisation des accès distants aux systèmes d'information8 | Art. 21(2)(e) Art. 21(2)(h) Art. 21(2)(j) | Covered | |
| Protection des systèmes d'information contre les codes malveillants9 | Art. 21(2)(e) | Covered | |
| Gestion des identités et des accès des utilisateurs aux systèmes d'information10 | Art. 21(2)(e) Art. 21(2)(i) Art. 21(2)(j) | Covered | |
| Maîtrise de l'administration des systèmes d'information11 | Art. 21(2)(e) Art. 21(2)(i) | Covered | |
| Identification et réaction aux incidents de sécurité12 | Art. 21(2)(b) | Covered | |
| Continuité et reprise d'activité13 | Art. 21(2)(c) | Covered | |
| Réaction aux crises d'origine cyber14 | Art. 21(2)(c) Art. 21(2)(j) | Covered | |
| Exercices, tests et entrainements15 | Art. 21(2)(b) Art. 21(2)(c) Art. 21(2)(g) | Covered | |
| Mise en œuvre d'une approche par les risques16 | Art. 21(2)(a) | ReCyF v2.5 p. 30-31 — SMSI ISO 27001:2022 admissible OU PACS qualifié ANSSI | Covered |
| Audit de la sécurité des systèmes d'information17 | Art. 21(2)(f) | ReCyF v2.5 — audits internes du cycle SMSI ISO 27001:2022 admissibles | Covered |
| Sécurisation de la configuration des ressources des systèmes d'information18 | Art. 21(2)(e) | Covered | |
| Administration des systèmes d'information depuis des ressources dédiées19 | Art. 21(2)(e) | Covered | |
| Supervision de la sécurité des systèmes d'information20 | Art. 21(2)(b) | Covered |
Mapping derived from the authority's published ReCyF framework. Reglyze maintains it as the source data evolves — see the platform for the full control-by-control view.
Questions fréquentes
- La directive NIS 2 est-elle transposée en France ?
- Pas encore. La France a manqué l'échéance du 17 octobre 2024 et fait l'objet d'une procédure d'infraction. La transposition passe par le projet de loi Résilience (qui transpose aussi les directives REC et DORA), adopté au Sénat en mars 2025 et examiné à l'Assemblée nationale ; la promulgation est attendue courant été 2026.
- Qu'est-ce que le ReCyF et est-il obligatoire ?
- Le ReCyF (Référentiel Cyber France) est le référentiel de l'ANSSI qui liste les mesures recommandées pour atteindre les objectifs de sécurité de NIS 2. Il est diffusé en DOCUMENT DE TRAVAIL (v2.5, 17 mars 2026) : non obligatoire par défaut, mais une entité qui l'applique peut s'en prévaloir lors d'un contrôle. Aucune version définitive ne sera publiée avant le vote de la transposition et une consultation.
- Où s'enregistrer et notifier un incident ?
- Sur MesServicesCyber, le portail de l'ANSSI, dont l'espace NIS2 intègre et remplace progressivement MonEspaceNIS2. À ce stade, seul le pré-enregistrement volontaire est ouvert ; l'enregistrement obligatoire ouvrira à la promulgation. Les incidents significatifs se notifient au CERT-FR selon les délais 24 h (pré-alerte) / 72 h (notification) / 1 mois (rapport final).
- Quelles sanctions sont prévues ?
- D'après le projet de loi (provisoire jusqu'à promulgation) : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes. L'ANSSI instruit et ordonne (mise en demeure, injonction, astreinte jusqu'à 5 000 €/jour) ; c'est une commission des sanctions distincte qui prononce l'amende.
Sources officielles
- ANSSI — La directive NIS 2Tier 1
- ANSSI/Lab — ReCyF : publication du référentiel d'exigences et du comparateurTier 1
- ReCyF v2.5 (PDF, marqué « DOCUMENT DE TRAVAIL »)Tier 1
- ANSSI/Lab — nouvel espace NIS2 sur MesServicesCyber (intègre et remplace MonEspaceNIS2)Tier 1
- Assemblée nationale — dossier législatif du projet de loi RésilienceTier 1
- Vie-publique — projet de loi résilience / cybersécuritéTier 1
Dernière vérification : 2026-06-01 · prochaine re-vérification prévue après 2026-09-01.