Reglyze
NIS 2 France — ReCyF

Les 20 objectifs du ReCyF

Le ReCyF (Référentiel Cyber France) de l'ANSSI liste les mesures recommandées pour atteindre les objectifs de sécurité de NIS 2 : une vingtaine d'objectifs répartis en quatre domaines, avec un principe de proportionnalité qui adapte l'effort attendu à la maturité et aux ressources de l'entité.

Document de travail — transposition en cours

Le ReCyF v2.5 (17 mars 2026) est diffusé en document de travail : non obligatoire par défaut, mais opposable. La loi Résilience n'est pas promulguée (attendue été 2026) ; la version définitive du ReCyF paraîtra après le vote et une consultation. Les libellés ci-dessous peuvent évoluer.

Les 4 domaines, 20 objectifs

Structure du ReCyF v2.5. Les objectifs de « sécurité avancée » sont attendus surtout des entités essentielles.

Gouvernance
  • 1Recensement des systèmes d'information
  • 2Mise en œuvre d'un cadre de gouvernance de la sécurité numérique
  • 3Maîtrise de l'écosystème
  • 4Intégration de la sécurité numérique dans la gestion des ressources humaines
  • 5Maîtrise des systèmes d'information
Protection
  • 6Maîtrise des accès physiques aux locaux
  • 7Sécurisation de l'architecture des systèmes d'information
  • 8Sécurisation des accès distants aux systèmes d'information
  • 9Protection des systèmes d'information contre les codes malveillants
  • 10Gestion des identités et des accès des utilisateurs
  • 11Maîtrise de l'administration des systèmes d'information
Défense-résilience
  • 12Identification et réaction aux incidents de sécurité
  • 13Continuité et reprise d'activité
  • 14Réaction aux crises d'origine cyber
  • 15Exercices, tests et entraînements
Sécurité avancée

Objectifs attendus surtout des entités essentielles (EE).

  • 16Mise en œuvre d'une approche par les risques
  • 17Audit de la sécurité des systèmes d'information
  • 18Sécurisation de la configuration des ressources
  • 19Administration des systèmes d'information depuis des ressources dédiées
  • 20Supervision de la sécurité des systèmes d'information

ReCyF, ISO 27001 et proportionnalité

Le ReCyF est cartographié avec ISO/IEC 27001 : une entité disposant déjà d'un SMSI peut réutiliser une large part de ses mesures et se concentrer sur l'écart NIS 2 (l'ANSSI publie un comparateur de référentiels sur MesServicesCyber). Le principe de proportionnalité adapte l'effort attendu à la taille, à la maturité et aux ressources de l'entité — les entités importantes ne sont pas tenues au même niveau que les entités essentielles, notamment sur les objectifs de sécurité avancée (16 à 20).

Questions fréquentes

Qu'est-ce que le ReCyF et est-il obligatoire ?
Le ReCyF (Référentiel Cyber France) est le référentiel de l'ANSSI qui liste les mesures recommandées pour atteindre les objectifs de sécurité de NIS 2. Il est diffusé en DOCUMENT DE TRAVAIL (v2.5, 17 mars 2026) : non obligatoire par défaut, mais opposable — une entité qui l'applique peut s'en prévaloir lors d'un contrôle de l'ANSSI. Aucune version définitive ne paraîtra avant le vote de la transposition et une consultation.
Combien d'objectifs compte le ReCyF ?
Une vingtaine d'objectifs de sécurité, organisés en quatre domaines : Gouvernance (objectifs 1 à 5), Protection (6 à 11), Défense-résilience (12 à 15) et Sécurité avancée (16 à 20). Les objectifs de sécurité avancée sont attendus surtout des entités essentielles ; un principe de proportionnalité adapte l'effort à la maturité et aux ressources de l'entité.
Le ReCyF est-il compatible avec ISO 27001 ?
Oui. Le ReCyF est cartographié avec ISO/IEC 27001 ; une entité disposant déjà d'un SMSI peut réutiliser une large part de ses mesures et se concentrer sur l'écart NIS 2. L'ANSSI publie également un comparateur de référentiels sur MesServicesCyber.
Dois-je attendre la version définitive pour agir ?
Non. Comme le ReCyF v2.5 reflète déjà la structure attendue et reste opposable, aligner dès maintenant ses mesures sur les 20 objectifs permet d'être prêt à la promulgation de la loi Résilience (attendue été 2026) — tout en gardant à l'esprit que des ajustements sont possibles jusqu'au texte définitif.

Couvrir les 20 objectifs, sans attendre

Reglyze évalue vos écarts par rapport aux objectifs du ReCyF, génère les politiques associées par IA et documente la preuve — pour être prêt à la promulgation, pas après. Tarifs transparents en euros, hébergement dans l'UE.

Reglyze est une plateforme SaaS de conformité NIS 2 et ne remplace pas un conseil juridique. Le ReCyF v2.5 est un document de travail. Source officielle : cyber.gouv.fr (ANSSI).