ANSSI projet décret NIS2 « mesures techniques ».
La version dite « »2.5 » rebaptisée « ReCyF » (pour Référentiel Cyber France » a été rendu publique ce 17 mars 2026 par M. Vincent STRUBEL lui-même.
Pour celles et ceux qui voudraient vérifier la source de cette information, cliquez ici.
Si votre entreprise / groupe / GIE / association / administration est soumis à NIS2, voici le catalogue (quasi définitif) des mesures organisationnelles et techniques que vous allez devoir mettre en place.
ANSSI projet décret NIS2 "mesures techniques" : téléchargez ce projet de décret !
PRESENTATION DU DOCUMENT (si vous voulez un avant gout de ce que vous devriez lire…)
RECYF constitue le référentiel de cybersécurité mentionné au 6ème alinéa de l’article 14 du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (PJL). Il se compose d’objectifs de sécurité et, pour chacun d’eux, de moyens acceptables de conformité.
L’objectif de sécurité est l’obligation fixée par le décret pris en application de l’article 14 du PJL à laquelle doit se conformer l’entité.
• Il répond à la question « Quoi ? ».
• Son atteinte est obligatoire.
• Par défaut, les objectifs sont applicables aux entités importantes (EI), entités essentielles (EE) et aux opérateurs d’importance vitale sur leurs SI autres que leurs SIIV.
• En application du principe de proportionnalité, les objectifs 16 à 20 ne sont applicables qu’aux EE.
Les Moyens acceptables de conformité sont les mesures à mettre en œuvre proposées par l’ANSSI aux assujettis pour atteindre l’objectif.
• Ils répondent à la question « Comment ?».
• Ces moyens acceptables de conformité ne sont pas d’application obligatoire (sauf cas particuliers prévus à l’article 16 du PJL) mais permettent aux entités qui décideraient de les appliquer de pouvoir se prévaloir de leur mise en œuvre pour démontrer leur atteinte des objectifs de sécurité.
• En application du principe de proportionnalité, il est précisé pour chaque Moyen acceptable de conformité s’il concerne les EE et/ou les EI.
Ce référentiel précise les modalités selon lesquelles les entités importantes et essentielles peuvent se prévaloir auprès de l’autorité nationale de sécurité des systèmes d’information lors d’un contrôle du recours à des prestations qualifiées par l’Agence nationale de la sécurité des systèmes d’information ou à une certification à des normes internationales ou européennes précisées par l’autorité nationale de sécurité des systèmes d’information pour démontrer leur respect de tout ou partie d’un objectif de sécurité.
Enfin, des annexes détaillent les justifications associées à la mise en œuvre de chaque objectif au regard des risques associés et les correspondances entre ces objectifs et les dispositions pertinentes de la directive NIS2. Ces informations sont communiquées uniquement à des fins pédagogiques.
ANSSI projet décret NIS2 "mesures techniques" : téléchargez ce projet de décret !
