Ir al contenido principal
NIS2Certify
Volver al resumen

La ley NIS2 de Francia está por llegar: qué significa el ReCyF de ANSSI para proveedores de IT y MSP

Por NIS2Certify
franciacumplimiento-nis2anssimspsconsultores-itrecyfdirectiva-ue
La ley NIS2 de Francia está por llegar: qué significa el ReCyF de ANSSI para proveedores de IT y MSP

Francia está a punto de activar el interruptor NIS2 — y el calendario es ajustado.

Se espera que el Parlamento francés vote la ley sobre la resiliencia de las infraestructuras críticas y el fortalecimiento de la ciberseguridad en julio de 2026. Una vez aprobada, la ley someterá a unas 15.000 entidades a las obligaciones formales NIS2 — un incremento de diez veces respecto a las ~500 organizaciones reguladas bajo el anterior marco NIS1 francés. Para consultores IT, MSP y vCISO que atienden a clientes franceses o suministran a organizaciones reguladas en Francia, la ventana para anticiparse se está cerrando rápidamente.

Esto es lo que ha cambiado, lo que ANSSI ha publicado y lo que significa para su trabajo.

Francia Llegó Tarde — Pero Ahora Se Mueve Rápido

Francia no cumplió el plazo de la UE de octubre de 2024 para la transposición de NIS2, uniéndose a 18 otros Estados miembros que fueron formalmente advertidos por la Comisión Europea. El proceso legislativo fue más lento de lo esperado, en parte por la inestabilidad política y en parte por la complejidad del marco existente en Francia para las infraestructuras críticas, conocido como el régimen SAIV.

Ese retraso ya no es razón para esperar. En marzo de 2026, ANSSI — Agence Nationale de la Sécurité des Systèmes d'Information, la autoridad nacional de ciberseguridad de Francia — publicó el Référentiel Cyber France (ReCyF v2.5). Es un marco de 152 medidas de seguridad que define cómo se ve el cumplimiento NIS2 en la práctica bajo la ley francesa. Las entidades no necesitan la ley definitiva para empezar a utilizarlo. El ReCyF está activo, ANSSI ya está guiando a las organizaciones hacia él y los auditores lo usarán como referencia.

Estado de Implementación NIS2 por País (2025–2026)
Plenamente en vigor
Bélgica
Croacia
Hungría
Lituania
Letonia
Italia
6 países
Adoptada — finales 2025
Alemania
República Checa
Finlandia
3 países
En proceso — previsto 2026
Países Bajos
Francia
España
Polonia
Austria
Suecia
Irlanda
7 países

Lo que el ReCyF Realmente Cubre

El ReCyF organiza 152 medidas de seguridad en 20 objetivos de seguridad. Tanto las Entidades Importantes (EI) como las Entidades Esenciales (EE) están sujetas a los objetivos 1 al 15, que cubren los fundamentos de la ciberseguridad:

  • Inventario y clasificación de activos
  • Gobernanza, rendición de cuentas y política de seguridad a nivel de consejo
  • Control de acceso, gestión de identidades y gestión de privilegios
  • Protección técnica — cadencia de parches, endurecimiento de configuraciones, controles de endpoints
  • Gestión de crisis, respuesta a incidentes y continuidad del negocio

Las entidades esenciales también enfrentan requisitos bajo los objetivos 16–20. Si asesora a una entidad francesa sobre su postura NIS2, el ReCyF es su documento de trabajo.

Artículo 21 — 10 Medidas de Ciberseguridad NIS2
Artículo 21
10 Medidas de Ciberseguridad
Gobernanza & Estrategia
1Análisis de riesgos & políticas de seguridad de la información
6Evaluación de la eficacia de las medidas de seguridad
Incidentes & Continuidad
2Gestión de incidentes & notificación
3Continuidad del negocio & recuperación ante desastres
Cadena de Suministro & Sistemas
4Seguridad de la cadena de suministro
5Seguridad en el desarrollo de sistemas de redes e información
Controles Técnicos
8Criptografía & cifrado
10Autenticación multifactor & comunicaciones seguras
Personas & Activos
7Ciberhigiene & formación
9Seguridad de RRHH & control de acceso

Quién Está en el Ámbito de Aplicación

La ley francesa clasificará las entidades en dos niveles — Entidades Esenciales (EE) y Entidades Importantes (EI). Bajo el Anexo II (Entidades Importantes), esto incluye:

  • Proveedores de servicios gestionados y servicios de seguridad gestionados de IT
  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación de dispositivos médicos, electrónica, maquinaria y vehículos de motor
  • Mercados digitales y motores de búsqueda

Para MSP y consultores IT que operan en Francia o sirven a clientes franceses regulados: sus clientes están en el ámbito. Usted es un nodo crítico en su cadena de cumplimiento.

Francia pasa de unas 500 entidades reguladas a aproximadamente 15.000. La gran mayoría son Entidades Importantes en sectores que nunca se han enfrentado a auditorías obligatorias de ciberseguridad.

El Calendario de Aplicación

  • Julio de 2026: Ley aprobada, entra en vigor
  • T4 2026: ANSSI comienza la supervisión formal y el registro de entidades a través de la plataforma MesServicesCyber
  • 2027: Los ciclos regulares de auditoría comienzan para las entidades esenciales; las ventanas de notificación inicial de 24 horas y evaluación completa de 72 horas para incidentes se vuelven estrictamente aplicables
  • A partir de 2027: Se aplican multas — hasta €10M o el 2% de la facturación anual mundial para entidades esenciales, €7M o el 1,4% para entidades importantes
Cronología de Notificación de Incidentes NIS2
24h
Alerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
72h
Notificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
1mo
Informe Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.

Qué Hacer Ahora

Mapee su base de clientes contra los Anexos I y II de NIS2. Identifique qué clientes probablemente caigan en el ámbito.

Descargue el ReCyF. Revise las 152 medidas frente a su oferta de servicios actual e identifique brechas.

Realice un análisis de brechas ahora. El ReCyF es el marco operativo que ANSSI utilizará para evaluar el cumplimiento. No espere a la ley. Consulte también nuestra guía paso a paso del análisis de brechas NIS2.

Revise sus propias obligaciones. Como MSP, puede caer directamente bajo la categoría de Entidad Importante, no solo indirectamente a través de sus clientes.

Anticípese al lenguaje contractual. Los clientes franceses sujetos a NIS2 necesitarán trasladar los requisitos de ciberseguridad a sus proveedores.

Para una evaluación rápida de la postura de cumplimiento de sus clientes, use el análisis rápido NIS2 en NIS2Certify.

Conclusión

La ley NIS2 de Francia está a semanas de ser aprobada. ANSSI ya ha publicado su marco operativo de 152 medidas y ha construido la infraestructura de registro. Para consultores IT y MSP, la dirección es clara: mapear el ámbito, realizar análisis de brechas basados en el ReCyF y anticiparse a los requisitos de la cadena de suministro antes de que los clientes franceses empiecen a pedir evidencias.

Esperar a la ley definitiva antes de empezar es la decisión equivocada. El marco está activo. El calendario está fijado. El trabajo comienza ahora.

Escalada de sanciones NIS2 — Más allá de la multa
!
Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer
Sanciones no financieras
1
Órdenes de cumplimiento con plazos vinculantes
2
Auditorías de seguridad obligatorias a tu cargo
3
Divulgación pública de infracciones
4
Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia
Consecuencias operativas y personales
1
Suspensión de certificaciones o licencias de operación
2
Prohibición temporal de funciones directivas para individuos
3
Identificación pública de personas físicas responsables
Desencadenante
No financiero
Operativo / personal
    La ley NIS2 de Francia está por llegar: qué significa el ReCyF de ANSSI para proveedores de IT y MSP — NIS2Certify