Référentiel ANSSI
ReCyF : Référentiel Cyber France
Le ReCyF (Référentiel Cyber France) liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2. Publié le 17 mars 2026, ce référentiel opérationnel traduit les exigences de la directive européenne en un cadre concret de mise en conformité. Le ReCyF, diffusé à ce stade en tant que document de travail, correspond au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience.
Détails et structure du référentiel
Structuré autour de 20 objectifs de sécurité accompagnés de moyens acceptables de conformité, le ReCyF confirme la nécessité de faire converger sécurité physique et cyber pour prouver sa conformité. Les objectifs 1 à 15 s'appliquent à toutes les entités (EI et EE), tandis que les objectifs 16 à 20 concernent principalement les entités essentielles.
L'objectif de sécurité est l'obligation fixée par le décret pris en application de l'article 14 du PJL à laquelle doit se conformer l'entité. Ces moyens acceptables de conformité ne sont pas d'application obligatoire mais permettent aux entités qui décideraient de les appliquer de pouvoir se prévaloir de leur mise en œuvre pour démontrer leur atteinte des objectifs de sécurité. ReCyF intègre un principe de proportionnalité selon lequel le niveau d'effort attendu est adapté à la maturité des entités et aux ressources dont elles disposent.
Lien avec NIS2
Ce référentiel, par défaut non-obligatoire, permettra aux futurs assujettis qui décident de l'appliquer de s'en prévaloir en cas de contrôle de l'ANSSI. Il couvre l'ensemble des mesures techniques et organisationnelles visées à l'Article 21 §2 de la directive NIS2 : gouvernance de la sécurité, gestion des risques, continuité d'activité, gestion de crise cyber, sécurité de la chaîne d'approvisionnement et réponse aux incidents.
Le ReCyF fait référence aux prestataires qualifiés ANSSI (PASSI, PRIS, PDIS, PACS) comme moyens privilégiés pour démontrer la conformité. Tant que les travaux législatifs et réglementaires relatifs à la transposition n'ont pas eu lieu, et tant qu'il n'a pas fait l'objet d'une consultation, aucune version définitive n'est publiée par l'Agence.