Franse NIS2-wet op komst: wat het ReCyF-framework van ANSSI betekent voor IT-leveranciers en MSP's

Frankrijk staat op het punt de NIS2-schakelaar om te zetten — en de tijdlijn is krap.

Het Franse parlement stemt naar verwachting in juli 2026 over de wet op de weerbaarheid van kritieke infrastructuur en de versterking van cyberbeveiliging. Na aanname brengt de wet zo'n 15.000 entiteiten onder formele NIS2-verplichtingen — een vertienvoudiging ten opzichte van de ~500 organisaties die onder het vorige Franse NIS1-kader vielen. Voor IT-consultants, MSP's en vCISO's die Franse klanten bedienen of leveren aan Frans-gereguleerde organisaties, sluit het venster om vooruit te lopen snel.

Dit is wat er veranderd is, wat ANSSI heeft gepubliceerd en wat het betekent voor uw werk.

Frankrijk Was Te Laat — Maar Beweegt Nu Snel

Frankrijk miste de EU-deadline van oktober 2024 voor NIS2-omzetting en sloot zich aan bij 18 andere lidstaten die formeel werden gewaarschuwd door de Europese Commissie. Het wetgevingsproces verliep trager dan verwacht, deels door politieke instabiliteit en deels door de complexiteit van het bestaande Franse kader voor kritieke infrastructuur, bekend als het SAIV-regime.

Die vertraging is geen reden meer om te wachten. In maart 2026 publiceerde ANSSI — Agence Nationale de la Sécurité des Systèmes d'Information, de Franse nationale cyberbeveiligingsautoriteit — het Référentiel Cyber France (ReCyF v2.5). Dit is een framework van 152 beveiligingsmaatregelen dat definieert hoe NIS2-compliance er in de praktijk uitziet onder Frans recht. Entiteiten hebben de definitieve wet niet nodig om ermee te beginnen. Het ReCyF is live, ANSSI begeleidt organisaties er al naartoe en auditors zullen het als benchmark gebruiken.

De Franse versie van NIS2 is geen vereenvoudigde kopie van de EU-richtlijn. Het legt nationale specifieke maatregelen bovenop de basisvereisten van de richtlijn, wat betekent dat puur richtlijngebaseerde gap-analyses Franse specifieke verplichtingen zullen missen.

NIS2 Implementatiestatus per Land (2025–2026)
✅
Volledig van kracht
🇧🇪België
🇭🇷Kroatië
🇭🇺Hongarije
🇱🇹Litouwen
🇱🇻Letland
🇮🇹Italië
6 landen
📋
Aangenomen — eind 2025
🇩🇪Duitsland
🇨🇿Tsjechië
🇫🇮Finland
3 landen
⏳
In uitvoering — verwacht 2026
🇳🇱Nederland
🇫🇷Frankrijk
🇪🇸Spanje
🇵🇱Polen
🇦🇹Oostenrijk
🇸🇪Zweden
🇮🇪Ierland
7 landen

Wat het ReCyF Daadwerkelijk Omvat

Het ReCyF organiseert 152 beveiligingsmaatregelen over 20 beveiligingsdoelstellingen. Zowel Belangrijke Entiteiten (EI) als Essentiële Entiteiten (EE) zijn onderworpen aan doelstellingen 1 tot en met 15, die de grondbeginselen van cyberbeveiliging omvatten:

• Asset-inventarisatie en -classificatie
• Governance, verantwoording en beveiligingsbeleid op bestuursniveau
• Toegangscontrole, identiteitsbeheer en privilegebeheer
• Technische bescherming — patchritme, hardening van configuraties, endpointcontroles
• Crisisbeheer, incidentrespons en bedrijfscontinuïteit

Essentiële entiteiten worden bovendien geconfronteerd met vereisten onder doelstellingen 16–20, met meer geavanceerde veerkrachts-, continuïteits- en sectoroverschrijdende coördinatiemaatregelen. Als u een Franse entiteit adviseert over NIS2-gereedheid, is het ReCyF uw werkdocument.

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
🛡️
Artikel 21
10 Cybersecuritymaatregelen
📊
Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
🚨
Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
🔗
Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
🔐
Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
👥
Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Wie Valt In Scope

De Franse wet zal entiteiten in twee categorieën indelen — Essentiële Entiteiten (EE) en Belangrijke Entiteiten (EI) — waarbij de structuur van de NIS2-richtlijn direct wordt weerspiegeld. De sectordekking volgt Bijlage I en Bijlage II van NIS2.

Onder Bijlage II (Belangrijke Entiteiten) valt:

• Beheerde serviceproviders en IT-beheerde beveiligingsdiensten
• Post- en koeriersdiensten
• Afvalbeheer
• Productie van medische hulpmiddelen, elektronica, machines en motorvoertuigen
• Digitale marktplaatsen en zoekmachines
• Voedselproductie en -distributie

Voor MSP's en IT-consultants die in Frankrijk actief zijn of Franse gereguleerde klanten bedienen: uw klanten vallen in scope. Dat maakt u een kritiek knooppunt in hun compliance-keten.

De uitbreiding van het toepassingsgebied is aanzienlijk. Frankrijk gaat van ongeveer 500 gereguleerde entiteiten naar ongeveer 15.000. De overgrote meerderheid zijn Belangrijke Entiteiten in sectoren die nog nooit te maken hebben gehad met verplichte cyberbeveiligingsaudits.

De Handhavingstijdlijn

• Juli 2026: Wet aangenomen, treedt in werking
• Q4 2026: ANSSI begint formeel toezicht en entiteitsregistratie via het MesServicesCyber-platform
• 2027: Reguliere auditcycli beginnen voor essentiële entiteiten; de 24-uurstermijn voor eerste incidentmelding en 72-uurstermijn voor volledige beoordeling worden strikt handhaafbaar
• 2027 en verder: Boetes van toepassing — tot €10 miljoen of 2% van de wereldwijde jaarlijkse omzet voor essentiële entiteiten, €7 miljoen of 1,4% voor belangrijke entiteiten

NIS2 Incidentmeldingstijdlijn
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 1
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 2
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 3
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Wat Nu Te Doen

Breng uw klantenbestand in kaart aan de hand van NIS2 Bijlage I en II. Identificeer welke klanten waarschijnlijk in scope vallen. Gezondheidszorg, digitale infrastructuur, productie en IT-diensten zijn de sectoren met de hoogste kans.

Download het ReCyF. Beoordeel de 152 maatregelen ten opzichte van uw huidige dienstverlening en identificeer gaps.

Voer nu een gap-analyse uit. Het ReCyF is het operationele framework dat ANSSI zal gebruiken om compliance te beoordelen. Wacht niet op de wet. Zie ook onze NIS2 gap-analyse stap-voor-stap gids.

Beoordeel uw eigen verplichtingen. Als MSP kunt u als Belangrijke Entiteit direct onder NIS2 vallen — niet alleen indirect via uw klanten.

Ga contracttaal voor. Uw serviceovereenkomsten moeten mogelijk worden bijgewerkt voordat Franse klanten dat van u vragen.

Voor een snelle beoordeling van de compliance-positie van uw klanten: gebruik de NIS2 quick scan op NIS2Certify.

Conclusie

De NIS2-wet van Frankrijk is weken verwijderd van aanname. ANSSI heeft zijn 152-maatregel operationeel framework al gepubliceerd en de registratie-infrastructuur gebouwd. Voor IT-consultants en MSP's is de richting duidelijk: scope in kaart brengen, gap-analyses uitvoeren op basis van het ReCyF en de supply chain-vereisten voorblijven voordat Franse klanten om bewijs vragen.

Wachten op de definitieve wet voordat u begint is de verkeerde keuze. Het framework is live. De tijdlijn is vastgesteld. Het werk begint nu.

NIS2-sanctie-escalatie — Voorbij de boete
!
Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen
▼
Niet-financiële sancties
1
Nalevingsbevelen met bindende deadlines
2
Verplichte security-audits op eigen kosten
3
Publieke bekendmaking van overtredingen
4
Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar
▼
Operationele en persoonlijke gevolgen
1
Opschorting van certificeringen of vergunningen
2
Tijdelijk verbod op bestuursfuncties voor personen
3
Publieke benoeming van verantwoordelijke natuurlijke personen
Aanleiding
Niet-financieel
Operationeel / persoonlijk