Le 17 mars 2026, l’ANSSI a officiellement publié le Référentiel Cyber France (ReCyF), un document de travail destiné à accompagner les organisations françaises dans leur mise en conformité avec la directive européenne NIS 2. Alors que la transposition en droit français accuse un retard significatif, ce référentiel offre dès à présent un cadre opérationnel concret.
Un référentiel pour ne pas attendre la loi
La directive NIS 2, adoptée en décembre 2022, devait être transposée dans le droit de chaque État membre avant le 17 octobre 2024. La France n’a pas respecté ce délai, et la transposition est désormais attendue pour juillet 2026 dans le cadre du projet de loi Résilience. Face à ce retard, l’ANSSI a choisi de ne pas rester inactive : le ReCyF permet aux futures entités assujetties de commencer à structurer leur démarche de sécurisation sans attendre l’adoption définitive du texte législatif.
Ce référentiel correspond aux mesures techniques mentionnées à l’article 14 du projet de loi Résilience. Bien qu’il ne soit pas obligatoire à ce stade, les entités qui décident de l’appliquer pourront s’en prévaloir lors d’un contrôle de l’ANSSI.
Un principe de proportionnalité au cœur du dispositif
Le ReCyF intègre un principe de proportionnalité adapté à la diversité des entités concernées par NIS 2. La directive distingue en effet les « entités essentielles » (grandes entreprises de secteurs critiques comme l’énergie, la santé ou les transports) des « entités importantes » (entreprises de taille intermédiaire). Le niveau d’effort demandé par le référentiel est ajusté en fonction de la maturité cyber de l’organisation et des ressources dont elle dispose.
Les mesures visées couvrent la protection contre la menace cybercriminelle de masse, qui constitue aujourd’hui le risque le plus répandu pour les organisations françaises, comme le souligne régulièrement l’ANSSI dans ses rapports annuels.
Un outil de comparaison avec les référentiels existants
Pour faciliter l’appropriation du ReCyF, l’ANSSI a également mis à disposition un outil de comparaison. Celui-ci permet aux organisations déjà engagées dans des démarches de sécurisation (ISO 27001, référentiels sectoriels, règles HDS pour la santé) de mesurer l’écart entre leurs pratiques actuelles et les exigences du ReCyF. Cette approche pragmatique évite de repartir de zéro et valorise les efforts déjà réalisés.
Quel lien avec le RGPD et la protection des données ?
NIS 2 et le RGPD sont complémentaires. L’article 32 du RGPD impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles « assurant un niveau de sécurité adapté au risque ». Le ReCyF fournit précisément ce type de mesures concrètes. Une organisation conforme au ReCyF sera donc mieux armée pour satisfaire également les exigences de sécurité du RGPD, et inversement.
En cas de violation de données (articles 33 et 34 du RGPD), la conformité préalable à un référentiel reconnu comme le ReCyF constituera un élément atténuant lors de l’évaluation par la CNIL.
Conseils pratiques pour les organisations concernées
Même si le texte législatif n’est pas encore adopté, il est fortement recommandé d’agir dès maintenant. Consultez le référentiel ReCyF disponible sur le site de l’ANSSI et évaluez votre niveau de maturité actuel. Utilisez l’outil de comparaison pour identifier les écarts avec vos certifications existantes. Intégrez les mesures ReCyF dans votre plan d’action sécurité et dans votre documentation RGPD (registre des traitements, analyses d’impact). Vérifiez si votre organisation sera qualifiée d’ »entité essentielle » ou d’ »entité importante » via la plateforme MonEspaceNIS2 mise en place par l’ANSSI.
Source : ANSSI, communiqué du 17 mars 2026 ; Lab ANSSI, publication ReCyF
