ReCyF : le référentiel de l’ANSSI pour se préparer à NIS 2 sans attendre la loi

An open book sitting next to a computer keyboard

L'enjeu

La loi de transposition de NIS 2 n'est pas attendue avant juillet 2026, mais l'ANSSI ne laisse pas les organisations dans le flou. Le 17 mars 2026, l'Agence a présenté au Campus Cyber le Référentiel Cyber France — dit ReCyF — un document de travail structurant qui traduit les exigences NIS 2 en mesures concrètes. Message du directeur général Vincent Strubel : ne pas attendre la réglementation pour agir.

Objectifs de sécurité couverts par le ReCyF

EI / EE

Deux catégories d'entités, des exigences proportionnées pour chacune

74 %

Des PME françaises sous le niveau de maturité recommandé par l'ANSSI

Qu'est-ce que le ReCyF exactement ?

Le ReCyF (Référentiel Cyber France) est le document opérationnel de référence de l'ANSSI pour la mise en conformité NIS 2. Il correspond au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience et liste l'ensemble des mesures recommandées pour atteindre les objectifs de sécurité fixés par la directive.

Il est diffusé à ce stade en tant que document de travail — sa version définitive sera publiée après les consultations et la promulgation de la loi. Mais son contenu est totalement opérationnel. Et surtout : les entités qui l'appliquent peuvent s'en prévaloir en cas de contrôle de l'ANSSI. C'est une garantie concrète, pas une simple recommandation.

Ce que l'ANSSI a publié le 17 mars 2026

Trois ressources ont été rendues publiques lors du rassemblement au Campus Cyber : le référentiel ReCyF en version de travail, un outil de comparaison permettant de mettre ReCyF en regard d'autres normes (ISO 27001, référentiels sectoriels, réglementations européennes), et un service de pré-enregistrement ouvert à toutes les entités concernées par NIS 2. Un référentiel de mesures basiques à fort impact et faible coût (dans le cadre de Cyber Départ) est également annoncé pour les prochains mois.

Les 20 objectifs du ReCyF

Le référentiel structure les exigences NIS 2 autour de 20 objectifs de sécurité. Les objectifs 1 à 15 s'appliquent à toutes les entités (Entités Importantes et Essentielles). Les objectifs 16 à 20 sont réservés aux Entités Essentielles, qui doivent atteindre un niveau de protection supérieur.

EI + EE (objectifs 1 à 15)

EE uniquement (objectifs 16 à 20)

Recensement des SIListe à jour de l'ensemble des activités, services et systèmes d'information associés.

Cadre de gouvernance SSIPolitique de sécurité approuvée par le dirigeant, rôles et responsabilités formalisés.

Maîtrise de l'écosystèmeCartographie des tiers, clauses contractuelles, conformité des prestataires informatiques.

Intégration de la sécurité dans la gestion des ressourcesPrise en compte de la sécurité numérique dans les processus d'arrivée et de départ des collaborateurs (désactivation des accès, restitution des équipements).

Maîtrise des SICartographie des ressources matérielles et logicielles, MCO/MCS, gestion des correctifs.

Maîtrise des accès physiquesContrôle d'accès aux locaux, registre des visiteurs, cloisonnement physique des systèmes.

Sécurisation de l'architecture des SISegmentation réseau, filtrage, limitation des interconnexions aux seules nécessaires.

Sécurisation des accès distantsChiffrement, authentification multifacteur, gestion des équipements mobiles.

Protection contre les codes malveillantsAnti-malware déployé et maintenu à jour sur l'ensemble du périmètre.

Gestion des identités et des accèsIAM, principe du moindre privilège, revue régulière des droits utilisateurs.

Maîtrise de l'administration des SIComptes d'administration sécurisés, traçabilité des actions, séparation des usages.

Identification et réaction aux incidentsProcédures de détection, qualification et notification à l'ANSSI sans retard injustifié.

Continuité et reprise d'activitéPCA/PRA documenté, sauvegardes testées, objectifs de reprise définis.

Réaction aux crises d'origine cyberDispositif de gestion de crise formalisé, chaîne de décision identifiée.

Exercices, tests et entraînementsAu moins un exercice sur table par an, scénarios cyber documentés et évalués.

Approche par les risques (EE)Analyse de risques formalisée selon une méthode reconnue (EBIOS, ISO 27005…).

Audit SSI (EE)Audits réguliers par des prestataires qualifiés ANSSI (PASSI), plan d'action suivi.

Sécurisation des configurations (EE)Durcissement renforcé, n'installer que les logiciels strictement nécessaires.

Administration depuis des ressources dédiées (EE)Postes et réseaux d'administration strictement séparés des usages courants.

Supervision de la sécurité des SI (EE)SOC, collecte et analyse des journaux, détection en continu des événements suspects.

Un principe de proportionnalité EI / EE

Le ReCyF ne définit pas des niveaux de maturité numérotés, mais structure les exigences selon un principe de proportionnalité clair : le niveau d'effort attendu est adapté à la catégorie de l'entité et aux ressources dont elle dispose. Pour un même objectif, les moyens acceptables de conformité ne sont pas les mêmes selon qu'on est Entité Importante ou Entité Essentielle.

Quelques exemples concrets de cette différenciation :

Sur la gouvernance (obj. 2) : une EI doit avoir un dirigeant responsable de la sécurité — une EE doit en plus désigner un référent dédié pour le conseiller.
Sur les accès physiques (obj. 6) : une EI doit limiter les accès non autorisés (badges, registre) — une EE doit en plus assurer la protection physique active (vidéosurveillance, gardiennage) et attribuer les droits au strict nécessaire.
Sur les accès distants (obj. 8) : une EI doit mettre en place un mécanisme d'authentification avec au moins un facteur secret — une EE doit obligatoirement déployer le MFA avec au moins un facteur de connaissance.
Sur les exercices (obj. 15) : une EI doit réaliser au moins un exercice sur table — une EE doit en plus formaliser une stratégie d'entraînement complète avec scénarios, comitologie et indicateurs d'évaluation.

ReCyF et ISO 27001 : les deux sont-ils compatibles ?

C'est la question que se posent toutes les organisations déjà engagées dans une démarche ISO 27001. La réponse est clairement oui — et l'ANSSI l'a anticipé. Elle a publié simultanément une table de correspondance ReCyF / ISO 27001, permettant d'identifier rapidement les écarts à combler sans repartir de zéro.

Situation de départ	Apport du ReCyF	Effort estimé
Aucune démarche cyber formalisée	Point de départ structurant, objectifs prioritaires identifiables rapidement	Élevé — prévoir 12-18 mois
ISO 27001 en cours ou certifiée	Correspondance fournie par l'ANSSI, écarts ciblés à combler	Modéré — 3 à 9 mois
Référentiel sectoriel existant (HDS, PCI-DSS…)	Outil de comparaison multi-référentiels disponible sur cyber.gouv.fr	Faible à modéré
Déjà conforme NIS 1	Périmètre élargi à traiter, nouvelles obligations de notification	Modéré — mise à niveau ciblée

Par où commencer ?

1. Vérifier si vous êtes concerné par NIS 2

Secteur d'activité, taille de l'organisation, rôle dans la chaîne d'approvisionnement : trois critères à croiser. L'ANSSI propose un service de pré-enregistrement volontaire sur MonEspaceNIS2 — une étape recommandée pour anticiper l'enregistrement obligatoire qui interviendra dès la promulgation de la loi.

2. Réaliser un gap analysis sur la base du ReCyF

Évaluez votre situation actuelle objectif par objectif, en vous appuyant sur les moyens acceptables de conformité proposés par l'ANSSI. Identifiez les écarts critiques entre votre posture actuelle et les attentes selon votre catégorie (EI ou EE). Ce diagnostic initial est la condition sine qua non pour construire une feuille de route réaliste et budgétable.

3. Prioriser les mesures à fort impact et faible coût

L'ANSSI publiera prochainement un référentiel de mesures basiques dans le cadre de Cyber Départ, ciblant les actions les moins coûteuses à fort impact sécuritaire. En attendant, le ReCyF lui-même indique, pour chaque objectif, les moyens acceptables de conformité proportionnés à la taille et à la maturité de l'entité.

4. Utiliser l'outil de comparaison des référentiels

Disponible sur cyber.gouv.fr, cet outil permet de mettre ReCyF en regard d'ISO 27001, DORA, des référentiels sectoriels et des réglementations européennes. Indispensable pour les organisations déjà engagées dans des démarches de conformité et qui veulent éviter les doublons.

En résumé

Le ReCyF est la première brique opérationnelle de NIS 2 en France. Publié le 17 mars 2026 par l'ANSSI, ce référentiel structure 20 objectifs de sécurité selon un principe de proportionnalité EI/EE : les mêmes objectifs, mais des moyens de conformité adaptés à la catégorie et aux ressources de chaque organisation. Il est accompagné d'un outil de comparaison avec ISO 27001 et les autres normes existantes, et d'un service de pré-enregistrement. Le message de l'ANSSI est sans ambiguïté : ne pas attendre juillet 2026 pour agir. Les 74 % de PME françaises sous le niveau de maturité recommandé ont désormais une feuille de route claire entre les mains. La question n'est plus de savoir si vous devez vous conformer, mais comment le faire efficacement avec vos ressources.

Découvrez Également

NIS 2 : La directive qui va transformer la cybersécurité de 15 000 entités françaises

La directive européenne NIS 2 va soumettre 15 000 entités françaises à de nouvelles obligations de cybersécurité. Vote attendu à l’Assemblée en juillet 2026 : anticipez dès maintenant.