L’ANSSI publie un référentiel destiné à accompagner les entités concernées par la directive NIS 2 dans la mise en conformité de leurs systèmes d’information et de leurs pratiques de cybersécurité.
Dans l’attente de la transposition en droit français de la directive NIS 2, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié, le 17 mars 2026, une nouvelle version de son référentiel consacré aux mesures de gestion des risques en matière de cybersécurité (ReCyF – Référentiel Cyber France, version 2.5).
Ce document, qui s’inscrit dans le cadre du futur projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (« PJL Résilience »), a vocation à aider les entités concernées à anticiper dès à présent leurs futures obligations de conformité.
🟠 Un référentiel destiné à préparer la mise en œuvre de NIS 2
Pour rappel, la directive NIS 2 (dir. (UE) 2022/2555 du 14 décembre 2022) vise à renforcer le niveau commun de cybersécurité au sein de l’Union européenne.
Elle étend considérablement le champ des entités concernées et impose des obligations renforcées en matière :
- de gestion des risques cyber ;
- de gouvernance ;
- de sécurité des systèmes d’information ;
- de notification des incidents ;
- ainsi que de gestion de la chaîne d’approvisionnement numérique.
Dans ce contexte, l’ANSSI a publié un référentiel pratique reposant sur l’article 14, alinéa 6, du projet de loi de transposition actuellement en préparation.
Bien que ce document ne constitue pas encore une version définitive, il fournit d’ores et déjà une méthodologie concrète destinée à guider les organisations vers une démarche progressive de conformité.
🟠 Vingt objectifs de sécurité déclinés en mesures concrètes
Le référentiel élaboré par l’ANSSI identifie vingt objectifs de sécurité, chacun accompagné :
- d’une définition de l’objectif poursuivi ;
- de mesures techniques et organisationnelles à mettre en œuvre ;
- ainsi que d’indications relatives aux entités concernées.
L’agence distingue en particulier les obligations applicables :
- aux entités essentielles ;
- et aux entités importantes,
conformément à l’architecture retenue par la directive NIS 2.
Parmi les objectifs de sécurité identifiés figurent notamment :
- l’intégration de la cybersécurité dans la gestion des ressources humaines ;
- la sécurisation des accès distants aux systèmes d’information ;
- la gestion des identités et des habilitations ;
- la maîtrise des accès utilisateurs ;
- ou encore le renforcement de la sécurité opérationnelle des systèmes d’information.
Le document adopte ainsi une approche particulièrement opérationnelle, en traduisant les exigences générales de NIS 2 en mesures concrètes directement mobilisables par les organisations.
🟠 Une conformité qui dépasse les seules mesures techniques
L’un des apports importants du référentiel réside dans le fait qu’il ne limite pas la conformité aux seules exigences techniques.
L’ANSSI rappelle en effet que la future conformité au « PJL Résilience » impliquera également :
- l’intégration de clauses spécifiques au sein des contrats fournisseurs et prestataires informatiques ;
- la formalisation d’obligations de cybersécurité dans les contrats de travail ;
- ou encore la mise en place de procédures internes de gouvernance et de gestion des risques.
Cette approche confirme que la cybersécurité devient désormais un sujet transversal, impliquant non seulement les équipes techniques, mais également les directions juridiques, les ressources humaines, les achats et la gouvernance des entreprises.
🟠 Conclusion
Avec la publication de ce référentiel ReCyF, l’ANSSI fournit aux organisations un premier cadre opérationnel pour anticiper les futures obligations issues de la directive NIS 2 et du projet de loi de transposition français.
Au-delà des exigences purement techniques, le document illustre la montée en puissance d’une logique globale de gouvernance du risque cyber, intégrant les dimensions contractuelles, organisationnelles et humaines de la sécurité numérique.
Les entreprises concernées ont ainsi tout intérêt à engager dès à présent une démarche d’évaluation de leurs pratiques afin d’anticiper les importantes évolutions réglementaires à venir.