Alors que la dynamique autour de NIS 2 s’accélère, l’ANSSI avance sur le terrain opérationnel. Avec ReCyF, l’Agence installe dès maintenant les règles du jeu, et invite les organisations à ne plus attendre.
Une urgence assumée face à une menace déjà installée
Le message est clair, presque martelé. « Face à une menace cyber qui ne faiblit pas, il y a urgence à déployer les bonnes pratiques de sécurité à grande échelle », insiste Vincent Strubel, directeur général de l’ANSSI.
C’est dans ce contexte que l’Agence a réuni, le 17 mars 2026 au Campus Cyber, un large écosystème d’acteurs institutionnels, sectoriels et publics. L’objectif est double : mobiliser les relais clés et enclencher une dynamique collective autour de NIS 2.
Car au-delà du calendrier réglementaire, l’enjeu est immédiat. L’ANSSI ne parle pas de conformité future, mais de sécurisation présente. Elle encourage les organisations à « s’engager sans attendre » dans une démarche cohérente avec la directive, tout en diffusant plus largement les bonnes pratiques.
Cette stratégie s’inscrit dans la continuité d’un accompagnement engagé depuis plus de deux ans : webinaires, supports pédagogiques, consultations, service de pré-enregistrement… autant de briques destinées à préparer le terrain avant même l’entrée en vigueur complète du cadre.
ReCyF, un référentiel pivot… déjà structurant
Au cœur de cette accélération : le Référentiel Cyber France (ReCyF), dévoilé en version de travail. Présenté comme un simple document transitoire, il s’impose déjà comme un socle. « Il ne faut surtout pas attendre pour le mettre en œuvre », insiste Vincent Strubel. L’enjeu est double : anticiper la conformité à venir et se protéger d’une menace déjà bien réelle.
Concrètement, ReCyF formalise une logique structurante : des objectifs de sécurité obligatoires — le “quoi” — et des moyens acceptables de conformité — le “comment”.
Le document détaille ainsi une série d’objectifs couvrant la gouvernance, la gestion des risques, les accès, la détection des incidents ou encore la continuité d’activité. Il introduit également un principe central : la proportionnalité. Le niveau d’exigence dépendra de la maturité et des ressources des entités, ainsi que de leur criticité.
Autre bascule majeure soulignée par les observateurs du secteur : la fin du déclaratif. « Ce qui compte, ce n’est plus de déclarer… mais de démontrer », analyse Julien Steunou (Board of Cyber). La conformité devient traçable, justifiable — et, à terme, auditée en continu.
Outiller l’écosystème pour passer à l’action
Parmi les annonces, un outil de comparaison des référentiels permet aux organisations déjà engagées de positionner ReCyF par rapport aux normes existantes, qu’elles soient sectorielles, nationales ou internationales. Un levier pour éviter les redondances et accélérer l’alignement.
En parallèle, un référentiel de mesures basiques sera prochainement publié. Objectif : cibler « les mesures les moins coûteuses, avec l’impact de sécurisation le plus fort », notamment pour les structures les moins matures.
L’ensemble de ces ressources est centralisé sur MesServicesCyber, conçu comme point d’entrée opérationnel pour s’approprier NIS 2. Le pré-enregistrement, déjà ouvert aux entreprises, est présenté comme « une étape essentielle » pour préparer la mise en conformité.
Installer dès maintenant une logique de résilience collective
Derrière ces annonces, une ligne directrice se dessine : ne pas attendre pour agir.
Alors que la transposition française accuse du retard, l’ANSSI choisit de structurer dès maintenant les pratiques. ReCyF devient ainsi plus qu’un référentiel : un instrument de convergence, capable d’aligner progressivement l’ensemble de l’écosystème.
« L’intégrer dès à présent dans sa stratégie de sécurité, c’est prendre un coup d’avance », résume Vincent Strubel. L’ambition est explicite : renforcer la cybersécurité à grande échelle et préparer une résilience collective, en cohérence avec la stratégie nationale.
Autrement dit, NIS 2 est déjà en train de s’installer.
