L’Agence nationale de sécurité des systèmes d’information publie un document de travail de 47 pages, intitulé Référentiel Cyber France (ReCyF), ainsi que des ressources et outils, pour accompagner les entreprises françaises concernées par la directive NIS 2. Le RéCyF liste les mesures à prendre pour atteindre les objectifs de sécurité fixés par la directive européenne de cybersécurité. Il oriente également sur la mise en œuvre de bonnes pratiques. En outre, un outil de comparaison permet aux entreprises de comparer le ReCyF à d’autres référentiels, normes ou règlementations déjà existants au niveau sectoriel, national, européen ou international. Cet outil est un levier supplémentaire qui s’adresse aux entités déjà engagées dans des démarches de sécurisation.
Pour rappel, la directive NIS (network and information system security) 2 définit des exigences de cybersécurité pour toute entreprise d’au moins 50 personnes, avec un chiffre d’affaires supérieur à un million d’euros, faisant partie d’un secteur stratégique ou sous-traitant au sein d’un des 35 secteurs dit ‘sensibles’. Parmi les domaines concernés : la santé, les transports, les infrastructures numériques, la banque/finance, l’assurance, l’énergie, les administrations publiques, la gestion des déchets, les services postaux, la fabrication de produits chimiques, les grands distributeurs alimentaires ou encore les fournisseurs d’accès à internet et les datacenters. Cela concerne 15.000 entreprises environ en France. Toute entreprise contrevenante s’expose à une amende jusqu’à 10 millions d’euros ou jusqu’à 2% de son chiffre d’affaires annuel mondial. La responsabilité de la direction peut également être engagée.
Les objectifs communs à toutes les entreprises concernées par NIS 2 sont le recensement des systèmes d’information (SI), la mise en oeuvre d’un cadre de gouvernance de la sécurité numérique, la maitrise de l’écosystème, l’intégration de la sécurité numérique dans la gestion des ressources, la maîtrise des SI, la maîtrise des accès physiques aux locaux, la sécurisation de l’architecture des SI, la sécurisation des accès distants aux SI, la protection des SI contre les codes malveillants, la gestion des identités et des accès des utilisateur·rice·s aux systèmes, la maîtrise de l’administration des SI, l’identification et la réaction aux incidents de sécurité, la continuité et la reprise d’activité, la réaction aux crises cyber, ainsi que des exercices, tests et entraînements. Les entités dites ‘essentielles’ ont cinq objectifs supplémentaires à atteindre : la mise en oeuvre d’une approche par les risques, un audit SSI (Sécurité des Systèmes d’Information), la sécurisation de la configuration des ressources des systèmes, l’administration des SI depuis des ressources et la supervision de la SSI.
Dans la mesure où les travaux législatifs et réglementaires relatifs à la transposition de la directive en France ne sont prévus que pour juillet 2026, l’Anssi a souhaité laisser une période de transition aux entités concernées pour leur donner le temps de se conformer complètement à la directive NIS 2, déjà entrée en vigueur en Europe depuis le 17 octobre 2024.