La loi NIS2 française arrive : ce que le ReCyF de l'ANSSI signifie pour les fournisseurs IT et les MSP

La France est sur le point d'activer le commutateur NIS2 — et le calendrier est serré.

Le Parlement français devrait voter la loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité en juillet 2026. Une fois adoptée, cette loi soumettra environ 15 000 entités aux obligations formelles NIS2 — soit dix fois plus que les ~500 organisations régulées dans le cadre du précédent dispositif NIS1 français. Pour les consultants IT, les MSP et les vCISO qui servent des clients français ou fournissent des organisations régulées en France, la fenêtre pour prendre de l'avance se referme rapidement.

Voici ce qui a changé, ce que l'ANSSI a publié et ce que cela signifie pour votre activité.

La France Était en Retard — Mais Elle Accélère Maintenant

La France a manqué la date limite d'octobre 2024 de l'UE pour la transposition NIS2, rejoignant 18 autres États membres formellement mis en demeure par la Commission européenne. Le processus législatif a été plus lent que prévu, en partie en raison de l'instabilité politique et en partie en raison de la complexité du cadre français existant pour les infrastructures critiques, connu sous le nom de régime SAIV.

Ce retard n'est plus une raison d'attendre. En mars 2026, l'ANSSI — Agence Nationale de la Sécurité des Systèmes d'Information — a publié le Référentiel Cyber France (ReCyF v2.5). Il s'agit d'un cadre de 152 mesures de sécurité qui définit ce à quoi ressemble la conformité NIS2 en pratique en droit français. Les entités n'ont pas besoin de la loi définitive pour commencer à l'utiliser. Le ReCyF est opérationnel, l'ANSSI guide déjà les organisations vers ce référentiel et les auditeurs l'utiliseront comme référence.

Statut de Mise en Œuvre NIS2 par Pays (2025–2026)
✅
Pleinement en vigueur
🇧🇪Belgique
🇭🇷Croatie
🇭🇺Hongrie
🇱🇹Lituanie
🇱🇻Lettonie
🇮🇹Italie
6 pays
📋
Adopté — fin 2025
🇩🇪Allemagne
🇨🇿République tchèque
🇫🇮Finlande
3 pays
⏳
En cours — prévu 2026
🇳🇱Pays-Bas
🇫🇷France
🇪🇸Espagne
🇵🇱Pologne
🇦🇹Autriche
🇸🇪Suède
🇮🇪Irlande
7 pays

Ce que le ReCyF Couvre Réellement

Le ReCyF organise 152 mesures de sécurité autour de 20 objectifs de sécurité. Les Entités Importantes (EI) et les Entités Essentielles (EE) sont toutes deux soumises aux objectifs 1 à 15, couvrant les fondamentaux de la cybersécurité :

• Inventaire et classification des actifs
• Gouvernance, responsabilité et politique de sécurité au niveau du conseil d'administration
• Contrôle d'accès, gestion des identités et gestion des privilèges
• Protection technique — rythme de correctifs, durcissement de configuration, contrôles des terminaux
• Gestion de crise, réponse aux incidents et continuité d'activité

Les entités essentielles font face à des exigences supplémentaires pour les objectifs 16–20. Si vous conseillez une entité française sur sa posture NIS2, le ReCyF est votre document de travail.

Article 21 — 10 Mesures de Cybersécurité NIS2
🛡️
Article 21
10 Mesures de Cybersécurité
📊
Gouvernance & Stratégie
1Analyse des risques & politiques de sécurité de l'information
6Évaluation de l'efficacité des mesures de sécurité
🚨
Incidents & Continuité
2Gestion des incidents & notification
3Continuité des activités & reprise après sinistre
🔗
Chaîne d'approvisionnement & Systèmes
4Sécurité de la chaîne d'approvisionnement
5Sécurité dans le développement des systèmes d'information
🔐
Contrôles Techniques
8Cryptographie & chiffrement
10Authentification multifacteur & communications sécurisées
👥
Personnel & Actifs
7Cyber-hygiène & formation
9Sécurité RH & contrôle d'accès

Qui Est Dans le Périmètre

La loi française classera les entités en deux niveaux — Entités Essentielles (EE) et Entités Importantes (EI). Sous l'Annexe II (Entités Importantes), cela comprend :

• Les prestataires de services managés et les services de sécurité managés IT
• Les services postaux et de messagerie
• La gestion des déchets
• La fabrication de dispositifs médicaux, d'électronique, de machines et de véhicules automobiles
• Les marchés numériques et les moteurs de recherche

Pour les MSP et consultants IT opérant en France ou servant des clients français régulés : vos clients sont dans le périmètre. Vous êtes un nœud critique dans leur chaîne de conformité.

La France passe d'environ 500 entités régulées à environ 15 000. La grande majorité sont des Entités Importantes dans des secteurs qui n'ont jamais été confrontés à des audits de cybersécurité obligatoires.

Le Calendrier d'Application

• Juillet 2026 : Loi adoptée, entre en vigueur
• T4 2026 : L'ANSSI commence la supervision formelle et l'enregistrement des entités via la plateforme MesServicesCyber
• 2027 : Les cycles d'audit réguliers commencent pour les entités essentielles ; les fenêtres de notification d'incident de 24 heures et d'évaluation de 72 heures deviennent strictement applicables
• À partir de 2027 : Amendes applicables — jusqu'à 10 M€ ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes

Calendrier de Notification des Incidents NIS2
24h
⚡
Alerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
Étape 1
72h
📋
Notification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
Étape 2
1mo
📊
Rapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.
Étape 3
24h
⚡
Alerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
72h
📋
Notification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
1mo
📊
Rapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.

Ce qu'il Faut Faire Maintenant

Cartographiez votre base clients selon les Annexes I et II de NIS2. Identifiez quels clients sont susceptibles d'entrer dans le périmètre.

Téléchargez le ReCyF. Examinez les 152 mesures par rapport à votre offre de services actuelle et identifiez les lacunes.

Effectuez une analyse des écarts dès maintenant. Le ReCyF est le référentiel opérationnel que l'ANSSI utilisera pour évaluer la conformité. N'attendez pas la loi. Consultez également notre guide étape par étape de l'analyse des écarts NIS2.

Examinez vos propres obligations. En tant que MSP, vous pouvez tomber directement sous la catégorie Entité Importante — pas seulement indirectement via vos clients.

Anticipez le langage contractuel. Les clients français soumis à NIS2 devront faire descendre les exigences de cybersécurité vers leurs fournisseurs.

Pour une évaluation rapide de la posture de conformité de vos clients, utilisez le scan rapide NIS2 sur NIS2Certify.

Conclusion

La loi NIS2 française est à quelques semaines d'être adoptée. L'ANSSI a déjà publié son référentiel opérationnel à 152 mesures et construit l'infrastructure d'enregistrement. Pour les consultants IT et les MSP, la direction est claire : cartographier le périmètre, effectuer des analyses des écarts sur la base du ReCyF et anticiper les exigences de la chaîne d'approvisionnement avant que les clients français ne demandent des preuves.

Attendre la loi définitive avant de commencer est la mauvaise décision. Le référentiel est opérationnel. Le calendrier est fixé. Le travail commence maintenant.

Escalade des sanctions NIS2 — Au-delà de l'amende
!
Déclencheur
Non-conformité détectée ou incident survenu
Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2
Les autorités peuvent imposer
▼
Sanctions non financières
1
Ordres de mise en conformité avec délais contraignants
2
Audits de sécurité obligatoires à vos frais
3
Divulgation publique des violations
4
Instructions contraignantes sur des mesures de sécurité spécifiques
Escalade vers
▼
Conséquences opérationnelles et personnelles
1
Suspension de certifications ou licences d'exploitation
2
Interdiction temporaire de fonctions de direction pour les individus
3
Désignation publique des personnes physiques responsables
Déclencheur
Non financier
Opérationnel / personnel