NIS 2 – Transposition des mesures en droit national

S’inscrivant dans la continuité de la directive NIS 1, la directive NIS 2 marque un véritable changement de paradigme, tant au niveau national qu’européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, ciblant un nombre croissant d’organisations souvent insuffisamment protégées, NIS 2 élargit ses objectifs ainsi que son périmètre d’application.

Cette extension, sans précédent en matière de réglementation cyber, vise à renforcer la résilience globale. Elle conduit également les États membres à intensifier leur coopération en matière de gestion de crise cyber. À ce titre, elle formalise notamment le rôle du réseau CyCLONe (Cyber Crisis Liaison Organisation Network), qui réunit l’ANSSI et ses homologues européens.

L'ANSSI accompagnera la mise en œuvre de la directive NIS 2 tout au long de sa transposition en droit national. Elle communiquera régulièrement afin de partager ses travaux avec l’ensemble des parties prenantes.

Les futures entités essentielles et importantes sont d’ores et déjà encouragées à engager une démarche de sécurisation alignée avec les exigences de NIS 2.

Depuis le 17 mars 2026, l’ANSSI met à disposition le Référentiel Cyber France (ReCyF). Ce document recense les mesures recommandées pour atteindre les objectifs de sécurité définis par NIS 2. Diffusé à ce stade comme document de travail, le ReCyF correspond au référentiel de cybersécurité mentionné à l’article 14 du projet de loi sur la résilience des infrastructures critiques. Il définit 20 objectifs de sécurité obligatoires que les entités concernées doivent atteindre, ainsi que des moyens acceptables de conformité proposés pour y parvenir :

• Les objectifs de sécurité : Ils répondent à la question :  Quoi ? . Ils fixent les exigences à respecter et sont obligatoires pour les entités importantes (EI), les entités essentielles (EE) et certains opérateurs, avec des exigences supplémentaires (objectifs  16  à  20 ) réservées aux entités essentielles selon le principe de proportionnalité.
• Les moyens acceptables de conformité : Ils répondent à la question :  Comment ? . Ce sont des mesures recommandées par l’ANSSI pour atteindre les objectifs. Ils ne sont généralement pas obligatoires, mais leur mise en œuvre permet de prouver plus facilement la conformité aux exigences.

Le référentiel précise aussi comment les entités peuvent démontrer leur conformité lors de contrôles, notamment en s’appuyant sur des prestations qualifiées par l’ANSSI ou des certifications reconnues. Enfin, des annexes apportent des explications pédagogiques sur les risques associés, les justifications des objectifs et leur lien avec la directive NIS 2.

Les objectifs de sécurité sont classifiés et répartis dans 4 piliers. Ils s’appliquent aux entités importantes (EI) et aux entités essentielles (EE).  15  d’entre eux  sont communs aux deux entités et  5  autres sont dédiés aux EE.

1.  Objectifs du pilier « Gouvernance »

• Objectif  1  « Recensement & périmètre des SI » : Il concerne le fait de disposer et de maintenir une cartographie complète des activités, des services et systèmes d’information associés et appliquer les objectifs de sécurité à tous les SI, sauf exception justifiée par analyse de risques (interruption/dégradation des services, divulgation d’informations sensibles et altération des données). Toute exclusion doit être explicitement justifiée et documentée.
• Objectif  2  « Cadre de gouvernance de la sécurité numérique » : Il concerne la mise en place d’un pilotage sous la responsabilité de la direction exécutive pour :
  • La mise en place d’organisation sécurité, de rôles et responsabilités, de processus de conformité et de politiques SSI (chiffrement, accès, contrôles…)
  • Une démarche continue pour l’évaluation de conformité, l’identification des écarts et d’un plan d’action correctif suivi dans le temps.
• Objectif   3  « Maîtrise de l’écosystème (fournisseurs & prestataires) » : Il concerne la tenue à jour d’un référentiel des prestataires (périmètre, services) et l’encadrement contractuel des exigences de sécurité, de la gestion des risques et des obligations de notification d’incidents.
• Objectif  4  « Intégration dans les ressources humaines » : Il concerne la sensibilisation et la formation à la cybersécurité (notamment dirigeants) et également l’Intégration de la sécurité sur tout le cycle RH (arrivée, mobilité et départ).
• Objectif  5  « Maîtrise et maintien en condition des SI » : Il concerne le fait de disposer d’une cartographie technique détaillée pour assurer le maintien en condition opérationnelle (MCO) et le maintien en condition de sécurité (MCS) et pour la gestion des vulnérabilités (application des correctifs et réduction de l’exposition aux risques).
• Objectif  16  (dédié aux EE) « Approche par les risques » : Il est sous la responsabilité du dirigeant exécutif. Ses différents objectifs sont d’identifier et de suivre les risques SI, de définir et piloter les mesures de sécurité et d’accepter les risques résiduels. Il permet un pilotage continu des risques.
• Objectif  17  (dédié aux EE) « Audit de sécurité » : Il concerne les audits qui doivent être réguliers et planifiés de manière à permettre de vérifier l’atteinte des objectifs de sécurité et d’évaluer le niveau réel de sécurité. Il doit permettre un contrôle indépendant et périodique.

2.  Objectifs du pilier « Protection »

• Objectif  6  « Sécurité physique » : Il concerne le contrôle d’accès aux locaux et zones sensibles et la gestion des visiteurs.
• Objectif  7  « Sécurisation de l’architecture » : Il concerne l’identification des flux et interconnexions, le filtrage des communications (entrantes/sortantes) et le cloisonnement en zones de sécurité (pour entités essentielles).
• Objectif  8  « Sécurisation des accès distants » : Il concerne l’authentification forte des utilisateurs et systèmes tiers et la sécurisation des communications et points d’accès.
• Objectif  9  « Protection contre les malwares » :Il concerne le déploiement de solutions anti-malveillants et le contrôle des équipements autorisés à se connecter.
• Objectif  10  « Gestion des identités et des accès (IAM) » : Il concerne l’identification et l’authentification des utilisateurs, ainsi que la gestion des droits (principe du moindre privilège, mise à jour des droits et suppression des accès (départ).
• Objectif  11  « Sécurisation de l’administration » : Il concerne les comptes d’administration dédiés et contrôlés et la sécurisation des annuaires (ex : Active Directory).
• Objectif  18  (dédié aux EE) « Sécurisation des configurations » : Il concerne la réduction de la surface d’attaque. Les mesures clés de cet objectif sont d’installer uniquement les ressources nécessaires, d’appliquer des configurations sécurisées et de suivre les recommandations de l’autorité nationale (ANSSI) et des éditeurs / fabricants. Il doit permettre d’appliquer un durcissement et le principe du moindre privilège.
• Objectif  19  (dédié aux EE) « Administration sécurisée » : Il concerne les exigences rapport à l’utilisation de postes d’administration dédiés et maîtrisés et du cloisonnement et de la sécurisation des flux d’administration. Il doit permettre l’isolation des fonctions sensibles.

3.  Objectifs du pilier « Défence »

• Objectif  12  « Gestion des incidents de sécurité » : Il concerne la mise en place d’organisations, de processus et d’outils de détection et réaction. L’objectif est de réagir rapidement et de limiter l’impact sur les activités.
• Objectif  20  (dédié aux EE) « Supervision de la sécurité » : Il concerne des exigences principales autour du traitement des événements (≤ 24h), du système de supervision qui doit être adapté aux capacités, de la mise en place d’une amélioration continue et de la conservation des journaux (≥ 3 mois).

4.  Objectifs du pilier « Résilience »

• Objectif  13  « Continuité et reprise d’activité » : Il concerne le déploiement de mécanismes de sauvegarde et de restauration opérationnels et la réalisation de tests au minimum annuels. Les entités essentielles doivent définir, maintenir et actualiser des plans de continuité (PCA) et de reprise d’activité (PRA) adaptés à leurs besoins.
• Objectif  14  « Réaction aux crises d’origine cyber » : Il concerne la mise en place d’une organisation et des outils pour anticiper et gérer les crises cyber. Elles doivent tenir à à disposition des autorités compétentes (dont l’autorité nationale SSI) les informations sur les parties prenantes externes.
• Objectif  15  « Exercices, tests et entraînements » : Cet objectif concerne la régularité des exercices, tests et entraînements et la vérification de leur capacité à gérer les incidents de sécurité, à faire face aux crises cyber et à tester l’efficacité de leur organisation, processus et outils.

L’ANSSI propose également un outil de comparaison de référentiels. Celui-ci vise à faciliter la compréhension du ReCyF et à le mettre en perspective avec d’autres référentiels, normes ou réglementations existants.

Cet outil s’adresse en priorité aux entités déjà engagées dans des démarches de sécurisation.

Source de cet article sur ce lien.