Francuska ustawa NIS2 nadchodzi: co oznacza framework ReCyF ANSSI dla dostawców IT i MSP

Francja jest gotowa włączyć przełącznik NIS2 — a harmonogram jest napięty.

Francuski parlament ma głosować nad ustawą o odporności infrastruktury krytycznej i wzmocnieniu cyberbezpieczeństwa w lipcu 2026 roku. Po uchwaleniu ustawa obejmie formalnymi obowiązkami NIS2 około 15 000 podmiotów — dziesięciokrotny wzrost w stosunku do ~500 organizacji regulowanych na podstawie poprzedniego francuskiego frameworku NIS1. Dla konsultantów IT, MSP i vCISO obsługujących francuskich klientów lub dostarczających do organizacji regulowanych we Francji, okno na wyprzedzające działania szybko się zamyka.

Oto co się zmieniło, co opublikował ANSSI i co oznacza to dla Twojej pracy.

Francja Była Spóźniona — Ale Teraz Działa Szybko

Francja nie dotrzymała terminu UE z października 2024 roku na transpozycję NIS2, dołączając do 18 innych państw członkowskich formalnie ostrzeżonych przez Komisję Europejską. Proces legislacyjny przebiegał wolniej niż oczekiwano, częściowo z powodu niestabilności politycznej i złożoności istniejącego francuskiego frameworku dla infrastruktury krytycznej, znanego jako reżim SAIV.

To opóźnienie nie jest już powodem do czekania. W marcu 2026 roku ANSSI — Agence Nationale de la Sécurité des Systèmes d'Information, krajowy organ cyberbezpieczeństwa Francji — opublikował Référentiel Cyber France (ReCyF v2.5). To framework 152 środków bezpieczeństwa, który definiuje, jak wygląda zgodność NIS2 w praktyce na mocy prawa francuskiego. Podmioty nie potrzebują ostatecznej ustawy, aby zacząć go używać. ReCyF jest aktywny, ANSSI już kieruje organizacje w jego stronę, a audytorzy będą go używać jako punktu odniesienia.

Status Wdrożenia NIS2 według Kraju (2025–2026)
✅
W pełni obowiązuje
🇧🇪Belgia
🇭🇷Chorwacja
🇭🇺Węgry
🇱🇹Litwa
🇱🇻Łotwa
🇮🇹Włochy
6 krajów
📋
Przyjęta — koniec 2025
🇩🇪Niemcy
🇨🇿Czechy
🇫🇮Finlandia
3 krajów
⏳
W trakcie — oczekiwane 2026
🇳🇱Holandia
🇫🇷Francja
🇪🇸Hiszpania
🇵🇱Polska
🇦🇹Austria
🇸🇪Szwecja
🇮🇪Irlandia
7 krajów

Co Faktycznie Obejmuje ReCyF

ReCyF organizuje 152 środki bezpieczeństwa w 20 celach bezpieczeństwa. Zarówno Ważne Podmioty (EI), jak i Kluczowe Podmioty (EE) podlegają celom od 1 do 15, obejmującym podstawy cyberbezpieczeństwa:

• Inwentaryzacja i klasyfikacja zasobów
• Zarządzanie, odpowiedzialność i polityka bezpieczeństwa na poziomie zarządu
• Kontrola dostępu, zarządzanie tożsamością i zarządzanie uprawnieniami
• Ochrona techniczna — rytm łatania, wzmacnianie konfiguracji, kontrole punktów końcowych
• Zarządzanie kryzysowe, reagowanie na incydenty i ciągłość działania

Kluczowe podmioty muszą dodatkowo spełniać wymagania celów 16–20. Jeśli doradzasz francuskiemu podmiotowi w zakresie gotowości NIS2, ReCyF jest Twoim dokumentem roboczym.

Artykuł 21 — 10 Środków Cyberbezpieczeństwa NIS2
🛡️
Artykuł 21
10 Środków Cyberbezpieczeństwa
📊
Zarządzanie & Strategia
1Analiza ryzyka & polityki bezpieczeństwa informacji
6Ocena skuteczności środków bezpieczeństwa
🚨
Incydenty & Ciągłość
2Obsługa incydentów & zgłaszanie
3Ciągłość działania & odtwarzanie po awarii
🔗
Łańcuch Dostaw & Systemy
4Bezpieczeństwo łańcucha dostaw
5Bezpieczeństwo w rozwoju systemów sieciowych i informatycznych
🔐
Kontrole Techniczne
8Kryptografia & szyfrowanie
10Uwierzytelnianie wieloskładnikowe & bezpieczna komunikacja
👥
Ludzie & Zasoby
7Cyberhigiena & szkolenia
9Bezpieczeństwo HR & kontrola dostępu

Kto Jest Objęty Zakresem

Francuska ustawa podzieli podmioty na dwie kategorie — Kluczowe Podmioty (EE) i Ważne Podmioty (EI). W Załączniku II (Ważne Podmioty) znalazły się m.in.:

• Dostawcy usług zarządzanych i zarządzanych usług bezpieczeństwa IT
• Usługi pocztowe i kurierskie
• Gospodarka odpadami
• Produkcja wyrobów medycznych, elektroniki, maszyn i pojazdów silnikowych
• Platformy cyfrowe i wyszukiwarki

Dla MSP i konsultantów IT działających we Francji lub obsługujących regulowanych klientów francuskich: Twoi klienci są objęci zakresem. Jesteś krytycznym węzłem w ich łańcuchu zgodności.

Francja przechodzi od ok. 500 regulowanych podmiotów do ok. 15 000. Zdecydowana większość to Ważne Podmioty w sektorach, które nigdy wcześniej nie stykały się z obowiązkowymi audytami cyberbezpieczeństwa.

Harmonogram Egzekwowania

• Lipiec 2026: Ustawa uchwalona, wchodzi w życie
• IV kwartał 2026: ANSSI rozpoczyna formalne nadzorowanie i rejestrację podmiotów za pośrednictwem platformy MesServicesCyber
• 2027: Regularne cykle audytowe zaczynają się dla kluczowych podmiotów; 24-godzinne okno wstępnego zgłaszania incydentów i 72-godzinne okno pełnej oceny stają się ściśle egzekwowalne
• Od 2027: Obowiązują kary — do €10 mln lub 2% globalnych rocznych obrotów dla kluczowych podmiotów, €7 mln lub 1,4% dla ważnych podmiotów

Harmonogram Zgłaszania Incydentów NIS2
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
Krok 1
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
Krok 2
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Krok 3
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.

Co Zrobić Teraz

Zmapuj swoją bazę klientów według Załączników I i II NIS2. Zidentyfikuj, którzy klienci prawdopodobnie wpadają w zakres.

Pobierz ReCyF. Przejrzyj 152 środki w porównaniu z aktualną ofertą usług i zidentyfikuj luki.

Przeprowadź analizę luk teraz. ReCyF jest operacyjnym frameworkiem, którego ANSSI użyje do oceny zgodności. Nie czekaj na ustawę. Zobacz też nasz przewodnik krok po kroku dotyczący analizy luk NIS2.

Przejrzyj własne obowiązki. Jako MSP możesz bezpośrednio podlegać kategorii Ważnych Podmiotów — nie tylko pośrednio przez klientów.

Wyprzedź język umów. Francuscy klienci podlegający NIS2 będą musieli przekazywać wymagania cyberbezpieczeństwa swoim dostawcom.

Aby szybko ocenić postawę zgodności klientów, użyj szybkiego skanu NIS2 na NIS2Certify.

Podsumowanie

Francuska ustawa NIS2 jest o tygodnie od uchwalenia. ANSSI opublikował już swój operacyjny framework składający się ze 152 środków i zbudował infrastrukturę rejestracyjną. Dla konsultantów IT i MSP kierunek jest jasny: zmapować zakres, przeprowadzić analizy luk na podstawie ReCyF i wyprzedzić wymagania łańcucha dostaw, zanim francuscy klienci zaczną prosić o dowody.

Czekanie na ostateczną ustawę przed rozpoczęciem pracy to zła decyzja. Framework jest aktywny. Harmonogram jest ustalony. Praca zaczyna się teraz.

Eskalacja sankcji NIS2 — Poza karą finansową
!
Zdarzenie wyzwalające
Wykryto niezgodność lub wystąpił incydent
Organ nadzorczy identyfikuje lukę w zgodności lub organizacja nie spełnia wymagań NIS2
Organy mogą nałożyć
▼
Sankcje niefinansowe
1
Nakazy zgodności z wiążącymi terminami
2
Obowiązkowe audyty bezpieczeństwa na Twój koszt
3
Publiczne ujawnienie naruszeń
4
Wiążące instrukcje dotyczące konkretnych środków bezpieczeństwa
Eskaluje do
▼
Konsekwencje operacyjne i osobiste
1
Zawieszenie certyfikatów lub licencji operacyjnych
2
Tymczasowy zakaz pełnienia funkcji zarządczych dla osób
3
Publiczne wskazanie odpowiedzialnych osób fizycznych
Zdarzenie wyzwalające
Niefinansowe
Operacyjne / osobiste