Template Excel de mapping ReCyF ANSSI 2026 vs 10 mesures article 21 NIS 2 vs ISO 27001:2022 : gap analysis, niveaux de maturité EE/EI, capitalisation sur l'existant. Téléchargement gratuit.
TL;DR — En résumé
Template gratuit NIS 2 : Le ReCyF (Référentiel Cyber France) publié par l'ANSSI le 17 mars 2026 décline les 10 mesures de l'article 21 NIS 2 en exigences t
Le mapping ReCyF ANSSI vs 10 mesures de l'article 21 NIS 2 est l'outil de pilotage indispensable pour toute organisation souhaitant rationaliser sa démarche de conformité cyber en 2026. Le Référentiel Cyber France (ReCyF), publié par l'ANSSI le 17 mars 2026, est le cadre réglementaire français opposable qui traduit les exigences générales de la directive européenne NIS 2 (UE 2022/2555) en obligations techniques et organisationnelles concrètes, vérifiables lors d'un audit ANSSI. Pour les organisations déjà engagées dans une démarche ISO 27001, DORA, ou SOC 2, comprendre comment ces référentiels s'articulent avec NIS 2 et le ReCyF est une question stratégique : éviter les doublons de travail, capitaliser sur l'existant, et identifier les gaps spécifiques à combler. Ce template Excel, élaboré par des experts Lead Implementer ISO 27001 et spécialistes du ReCyF ANSSI, réalise ce mapping sur trois niveaux : chaque mesure NIS 2 (article 21) est mise en correspondance avec les exigences spécifiques du ReCyF ANSSI, les contrôles ISO 27001:2022 correspondants, et les niveaux de maturité attendus selon le statut EE ou EI de l'entité. Il constitue la colonne vertébrale de toute démarche de conformité NIS 2 structurée pour les RSSI, consultants en cybersécurité, et responsables de la conformité des ETI et grandes entreprises françaises.
⚡ À retenir — Mapping ReCyF ANSSI vs NIS 2
Le Référentiel Cyber France (ReCyF ANSSI, mars 2026) est le référentiel français opposable qui décline les 10 mesures de l'article 21 NIS 2 en exigences techniques concrètes. Ce template Excel met en correspondance chaque exigence ReCyF avec la mesure NIS 2 correspondante, le contrôle ISO 27001:2022 associé, et le niveau de maturité cible pour les EE et EI. Indispensable pour piloter votre conformité multi-référentiels.
Le ReCyF ANSSI 2026 : ce qu'il apporte par rapport à la directive NIS 2
La directive NIS 2 (UE 2022/2555) est un texte de droit européen qui définit les obligations dans leurs grandes lignes, en laissant aux États membres la latitude de préciser les modalités d'application. En France, l'ANSSI a développé le Référentiel Cyber France (ReCyF), publié le 17 mars 2026, pour combler le gap entre les obligations générales de la directive et les exigences pratiques d'un audit de conformité.
Le ReCyF apporte trois valeurs ajoutées majeures par rapport à la directive brute :
- Des niveaux de maturité différenciés : pour chacune des 10 mesures de l'article 21, le ReCyF définit des niveaux de maturité distincts selon le statut de l'entité (EE ou EI) et la taille de l'organisation. Une ETI de 200 salariés n'est pas soumise aux mêmes exigences techniques qu'un opérateur d'importance vitale.
- Des exigences techniques précises : là où la directive parle de "mesures appropriées de cryptographie", le ReCyF précise les standards de chiffrement acceptables, les longueurs de clés minimales, et les protocoles à bannir.
- Une correspondance avec les référentiels existants : le ReCyF établit explicitement les correspondances avec ISO 27001:2022, le guide ANSSI de l'hygiène informatique, et EBIOS RM pour l'analyse de risques.
Pour une compréhension complète du ReCyF, consultez notre guide complet du ReCyF ANSSI 2026.
Les 10 mesures de l'article 21 NIS 2 : vue d'ensemble
L'article 21 de la directive NIS 2 liste 10 catégories de mesures de gestion des risques de cybersécurité que toutes les entités essentielles et importantes doivent mettre en œuvre. Voici le mapping synthétique entre ces mesures, leurs équivalents dans le ReCyF ANSSI, et les contrôles ISO 27001:2022 correspondants.
| Mesure NIS 2 (Art. 21) | Mesure ReCyF ANSSI | Contrôles ISO 27001:2022 |
|---|---|---|
| 21.2.a — Politiques de sécurité | Mesure 1 : Politiques et gouvernance | 5.1, 5.2, 6.2, A.5.1 |
| 21.2.b — Gestion des incidents | Mesure 6 : Détection et notification | A.5.24, A.5.25, A.5.26 |
| 21.2.c — Continuité d'activité | Mesure 7 : Continuité et résilience | A.5.29, A.5.30, A.8.13 |
| 21.2.d — Sécurité supply chain | Mesure 5 : Fournisseurs et sous-traitants | A.5.19, A.5.20, A.5.21 |
| 21.2.e — Sécurité du développement | Mesure 9 : Sécurité développement et exploitation | A.8.25, A.8.26, A.8.27 |
| 21.2.f — Évaluation des risques | Mesure 2 : Gestion des risques | 6.1.2, 8.2, A.5.7 |
| 21.2.g — Hygiène informatique | Mesure 8 : Hygiène et durcissement | A.8.1 à A.8.34 (multiples) |
| 21.2.h — Cryptographie | Mesure 10 : Cryptographie | A.8.24 |
| 21.2.i — Sécurité RH et formation | Mesure 3 : Formation et sensibilisation | A.6.3, A.6.4, A.6.5 |
| 21.2.j — Contrôle d'accès et authentification | Mesure 4 : Gestion des accès | A.5.15, A.5.16, A.5.17, A.8.2 |
Comment utiliser ce mapping pour votre gap analysis NIS 2
Le template Excel de mapping ReCyF vs NIS 2 vs ISO 27001 est conçu pour structurer votre gap analysis initiale — c'est-à-dire l'évaluation de l'écart entre votre niveau de maturité actuel et les exigences NIS 2 / ReCyF. Voici la méthode recommandée en cinq étapes.
- Auto-évaluation initiale : pour chaque exigence du ReCyF listée dans le template, évaluez votre niveau de maturité actuel sur une échelle de 0 à 4 (0 = inexistant, 1 = initial, 2 = répétable, 3 = défini, 4 = géré et mesuré). Cette évaluation doit être réalisée par le RSSI avec validation de la DSI et des responsables métiers concernés.
- Identification des gaps : le template calcule automatiquement l'écart entre votre niveau actuel et le niveau cible ReCyF (différencié EE/EI). Les gaps les plus significatifs sont mis en évidence par code couleur (rouge = critique, orange = important, vert = conforme).
- Priorisation des actions : pour chaque gap identifié, évaluez l'effort de mise en conformité (faible / moyen / élevé) et la criticité réglementaire. Le template génère automatiquement un classement des actions prioritaires.
- Capitalisation sur l'existant : pour les organisations certifiées ISO 27001, renseignez l'état de chaque contrôle ISO 27001:2022 correspondant. Le template identifie les exigences NIS 2 déjà couvertes par votre certification, réduisant significativement la charge de travail résiduelle.
- Plan d'action : exportez la liste des gaps priorisés vers notre plan de conformité NIS 2 sur 12 mois pour planifier et budgéter les actions de remédiation.
Zoom sur les 5 mesures NIS 2 les plus souvent défaillantes
Sur la base de nos interventions d'audit et de conseil auprès d'ETI et PME françaises, cinq mesures NIS 2 sont systématiquement les plus défaillantes lors du premier diagnostic de maturité. Voici une analyse de chacune avec les actions prioritaires.
1. Mesure 21.2.d — Sécurité de la chaîne d'approvisionnement : La grande majorité des entités ne dispose pas d'une cartographie formalisée de leurs fournisseurs critiques, ni de clauses contractuelles de sécurité adaptées. Commencez par utiliser notre template de cartographie des sous-traitants critiques.
2. Mesure 21.2.b — Gestion des incidents : Si la détection d'incidents est généralement assurée (alertes SIEM, antivirus), la formalisation d'une procédure de notification ANSSI conforme aux délais NIS 2 (24h/72h/1 mois) fait défaut. Le template de procédure de notification répond à ce besoin.
3. Mesure 21.2.a — Politiques de sécurité et gouvernance : La politique de sécurité existe souvent à l'état de document technique DSI mais n'a pas été approuvée formellement par la direction générale ni présentée au COMEX. La politique de gouvernance NIS 2 corrige ce gap.
4. Mesure 21.2.i — Formation et sensibilisation : La sensibilisation des collaborateurs à la cybersécurité est souvent ponctuelle et non tracée, sans programme annuel formalisé ni indicateurs de suivi. Consultez notre guide sur la formation cybersécurité des salariés.
5. Mesure 21.2.j — Contrôle d'accès et authentification : La gestion des comptes à privilèges, l'authentification multi-facteurs (MFA), et la revue périodique des droits d'accès sont des exigences fréquemment non satisfaites, notamment pour les accès fournisseurs.
NIS 2 vs ISO 27001 : capitaliser sur la certification existante
Pour les organisations certifiées ISO 27001:2022 ou en cours de certification, le mapping ReCyF vs ISO 27001 est particulièrement précieux. Voici ce que notre template révèle en termes de couverture :
- Couverture estimée par ISO 27001 seul : environ 60-70 % des exigences NIS 2 / ReCyF sont déjà couvertes par une certification ISO 27001:2022 maintenue en condition opérationnelle. Cette proportion monte à 75-80 % pour les entités dotées d'un SMSI mature (niveau de maturité 3-4).
- Gaps spécifiques NIS 2 non couverts par ISO 27001 : la notification obligatoire à l'ANSSI (art. 23), l'inscription sur MonEspaceNIS2, la formation obligatoire des dirigeants (art. 20), et les obligations de cartographie fournisseurs avec évaluation externe ne sont pas exigées par ISO 27001 et constituent des gaps spécifiques NIS 2 à combler.
- Synergies à exploiter : l'analyse de risque EBIOS RM ou ISO 27005 réalisée pour ISO 27001 peut directement alimenter la gestion des risques NIS 2 (mesure 21.2.f). Les audits internes ISO 27001 peuvent être étendus pour couvrir les exigences ReCyF spécifiques.
Pour les organisations non certifiées ISO 27001, notre guide complet ISO 27001 explique comment une démarche de certification peut servir de socle robuste pour la conformité NIS 2, en réduisant significativement le coût global de mise en conformité.
Différences d'exigences entre EE et EI dans le ReCyF ANSSI
Un aspect crucial souvent mal compris est que le ReCyF ANSSI ne définit pas les mêmes niveaux de maturité cibles pour les entités essentielles (EE) et les entités importantes (EI). Ces différences sont structurantes pour prioriser et budgéter votre démarche de conformité.
- Gestion des risques (Mesure 2) : les EE doivent réaliser une analyse de risque formelle avec méthodologie reconnue (EBIOS RM recommandé) et la réviser annuellement. Les EI peuvent utiliser une approche simplifiée basée sur un référentiel de mesures prescriptives.
- Détection et surveillance (Mesure 6) : les EE doivent disposer d'une capacité de détection 24h/24 (SOC interne ou externalisé), d'une journalisation centralisée avec rétention de 12 mois, et de processus formels de threat intelligence. Pour les EI, une surveillance en heures ouvrées avec journalisation de 6 mois est généralement suffisante.
- Tests de sécurité (Mesure 8) : les EE doivent réaliser des tests d'intrusion annuels et des revues de code pour les développements critiques. Les EI peuvent se contenter d'analyses de vulnérabilités automatisées trimestrielles complétées par un pentest bisannuel.
- Continuité d'activité (Mesure 7) : les EE doivent maintenir un PRA/PCA testé annuellement avec des RTO/RPO documentés pour chaque service critique. Les EI ont des exigences moins strictes sur la fréquence des tests.
Les erreurs les plus fréquentes dans l'utilisation du mapping ReCyF
- Confondre le niveau de maturité EE et EI : appliquer les exigences EE à une entité EI surdimensionne la démarche et gaspille des ressources. Inversement, sous-estimer les exigences d'une entité EE en appliquant les niveaux EI expose à des non-conformités.
- Faire l'évaluation de maturité sans implication des métiers : la maturité NIS 2 ne se limite pas au département IT. Les mesures 21.2.a (gouvernance), 21.2.i (formation) et 21.2.d (fournisseurs) impliquent des acteurs métiers, RH et juridiques dont l'absence dans l'évaluation conduit à des résultats biaisés.
- Traiter ISO 27001 et NIS 2 comme des projets indépendants : dans la majorité des organisations, ISO 27001 et NIS 2 partagent 60-70 % de leurs exigences. Gérer ces deux projets en silo multiplie inutilement les coûts de mise en conformité.
- Ne pas mettre à jour le mapping après chaque version du ReCyF : le ReCyF ANSSI est un référentiel évolutif. La version publiée en mars 2026 sera probablement révisée dans les 12 à 24 mois suivants. Votre mapping doit être tenu à jour.
FAQ — Mapping ReCyF ANSSI vs 10 mesures NIS 2
Le ReCyF ANSSI est-il juridiquement contraignant ou seulement recommandé ?
Le ReCyF ANSSI publié en mars 2026 a un statut hybride. Il est publié par l'ANSSI dans le cadre de ses missions de régulation NIS 2 en France et constitue la grille d'évaluation utilisée par les auditeurs ANSSI lors des contrôles de conformité. À ce titre, il est de facto opposable aux entités soumises à NIS 2 en France, même s'il ne possède pas formellement le statut de texte réglementaire (décret ou arrêté). En pratique, ne pas respecter les exigences du ReCyF revient à risquer une non-conformité lors d'un audit ANSSI. Il doit donc être traité comme un texte contraignant dans votre démarche de conformité.
Comment le ReCyF ANSSI se compare-t-il au guide d'hygiène informatique ANSSI ?
Le Guide d'hygiène informatique de l'ANSSI (42 mesures) est un référentiel de bonnes pratiques publié en 2017, non spécifique à NIS 2. Le ReCyF 2026 le remplace et le dépasse en plusieurs points : il est structuré autour des 10 mesures de l'article 21 NIS 2, il différencie les exigences selon le statut EE/EI, il intègre les évolutions technologiques récentes (cloud, OT/IT, authentification forte), et il est spécifiquement conçu pour servir de grille d'audit ANSSI. Notre mapping inclut une colonne de correspondance entre le guide d'hygiène et le ReCyF pour faciliter la transition des organisations qui utilisaient l'ancienne référence.
Une organisation peut-elle se déclarer conforme NIS 2 sans audit ANSSI ?
Oui, du moins dans un premier temps. NIS 2 repose sur un principe d'auto-conformité : les entités mettent en œuvre les mesures et déclarent leur conformité à l'ANSSI. L'ANSSI peut ensuite déclencher des audits de contrôle, soit de manière systématique pour les entités essentielles, soit suite à un incident pour les entités importantes. Une auto-déclaration de conformité sans gap analysis rigoureuse ni plan de remédiation documenté est risquée : en cas d'audit, une conformité déclarée mais non démontrée par des preuves tangibles sera sanctionnée plus sévèrement qu'une non-conformité assumée avec plan de remédiation en cours.
Quel est le coût moyen d'une mise en conformité NIS 2 pour une ETI ?
Le coût de mise en conformité NIS 2 varie significativement selon le niveau de maturité initial de l'organisation et son statut EE/EI. Pour une ETI de 200 à 500 salariés, les investissements typiques constatés en 2025-2026 se situent entre 150 000 € et 500 000 € sur 18 à 24 mois (budget OPEX + CAPEX combinés). Ce montant inclut les coûts de consulting pour le gap analysis et le plan de remédiation, les investissements technologiques (SIEM, EDR, MFA, outils de GRC), les coûts de formation, et les coûts d'audit. Les organisations déjà certifiées ISO 27001 constatent généralement un surcoût NIS 2 de l'ordre de 30 à 50 % du coût de maintenance de leur SMSI ISO 27001.
Le mapping ReCyF vs ISO 27001 est-il reconnu par les auditeurs ANSSI ?
Le ReCyF ANSSI lui-même établit des correspondances avec ISO 27001:2022, ce qui valide l'approche du mapping. Dans le cadre d'un audit ANSSI, les entités certifiées ISO 27001 peuvent présenter leur certification comme preuve partielle de conformité aux mesures NIS 2 correspondantes. Cependant, l'auditeur ANSSI vérifiera que la certification couvre bien le périmètre NIS 2 concerné (et non un périmètre limité), que les contrôles sont effectivement mis en œuvre (et non seulement documentés), et que les exigences spécifiques NIS 2 sans équivalent ISO 27001 sont bien satisfaites par des mesures complémentaires.
Conclusion — Le mapping ReCyF, boussole de votre conformité NIS 2
Le mapping ReCyF ANSSI vs 10 mesures NIS 2 vs ISO 27001:2022 est la boussole de votre démarche de conformité : il vous permet de savoir exactement où vous en êtes, ce qui vous manque, et comment capitaliser sur l'existant pour atteindre la conformité le plus efficacement possible. Utilisé conjointement avec la checklist des 10 mesures NIS 2, l'auto-diagnostic d'applicabilité, et le tableau de bord KPI NIS 2, ce template forme un système cohérent de pilotage de la conformité NIS 2. Complétez votre vision avec notre guide complet NIS 2 pour les entreprises.
le processus d'homologation ANSSI 2026 s'applique aux OIV et OSE soumis à des exigences de certification renforcées.
Les évolutions attendues du ReCyF ANSSI : comment rester à jour
Le Référentiel Cyber France (ReCyF) n'est pas un document figé. L'ANSSI a indiqué qu'il ferait l'objet de mises à jour régulières pour tenir compte des évolutions technologiques, des nouvelles menaces, et des retours d'expérience des premiers audits de conformité NIS 2. La version publiée en mars 2026 est la version initiale ; des révisions sont attendues dans les 12 à 24 mois suivants. Pour maintenir votre mapping à jour, il est recommandé de :
- S'abonner aux publications officielles de l'ANSSI sur cyber.gouv.fr pour être notifié de toute mise à jour du ReCyF.
- Intégrer une revue du mapping ReCyF dans votre calendrier annuel de révision de la politique de sécurité.
- Participer aux groupes de travail sectoriels organisés par l'ANSSI pour anticiper les évolutions spécifiques à votre secteur.
- Consulter régulièrement le portail EUR-Lex pour suivre les actes délégués et d'exécution de la directive NIS 2 au niveau européen, qui peuvent modifier les exigences nationales.
Notre template Excel de mapping inclut un onglet "Gestion des versions" permettant de tracer les modifications apportées lors de chaque mise à jour du ReCyF, avec la date de mise à jour, les changements identifiés, et les actions correctives engagées. Cette traçabilité est importante pour démontrer lors d'un audit ANSSI que votre démarche de conformité est maintenue à jour.
La conformité NIS 2 comme levier de maturité cyber globale
Au-delà de la conformité réglementaire stricto sensu, la démarche de mapping ReCyF vs NIS 2 génère une valeur organisationnelle importante : elle oblige l'organisation à documenter et structurer sa sécurité de l'information de manière cohérente et exhaustive. Beaucoup d'organisations ont des pratiques de sécurité disséminées, mal documentées, et non coordonnées. Le mapping ReCyF est l'opportunité de créer une vision unifiée et structurée de la sécurité de l'organisation, applicable à l'ensemble du périmètre NIS 2. Cette structuration est particulièrement précieuse pour les RSSI externalisés qui doivent rapidement appréhender le niveau de maturité d'une nouvelle organisation cliente et identifier les priorités d'action. Elle est également utile lors d'opérations de fusion-acquisition pour évaluer rapidement le niveau de maturité cyber de la cible et anticiper les risques de non-conformité NIS 2 post-acquisition.
Les sanctions ANSSI calibrées sur le niveau de maturité : un argument pour investir dans le ReCyF
Une information peu connue mais stratégiquement importante : le ReCyF ANSSI prévoit que les sanctions en cas de non-conformité NIS 2 sont modulées en tenant compte du niveau de maturité et de la progression de l'entité. Une entité qui présente un mapping ReCyF documentant ses gaps et un plan de remédiation en cours sera traitée différemment d'une entité n'ayant pris aucune initiative. Cette modulation n'est pas explicitement chiffrée dans la directive, mais elle correspond à une pratique régulière des autorités de régulation européennes : la bonne foi, la diligence raisonnable, et la progression documentée sont des facteurs atténuants reconnus. Concrètement, cela signifie que l'investissement dans la réalisation d'un mapping ReCyF exhaustif — même s'il révèle des gaps importants — est préférable à l'absence de démarche. Un mapping documentant que vous avez identifié 15 gaps et que vous en avez comblé 10 en 6 mois est une position bien plus défendable qu'une absence totale d'auto-évaluation. C'est pourquoi notre template met l'accent sur la traçabilité de la progression : chaque mise à jour du mapping doit être datée et conservée, créant une chronologie de l'amélioration continue qui est précisément ce que le ReCyF ANSSI attend d'une entité NIS 2 mature. Pour piloter et documenter cette progression, utilisez conjointement le tableau de bord KPI NIS 2 et notre plan de conformité sur 12 mois.
🎯 Besoin d'un accompagnement NIS 2 ?
Ayi NEDJIMI Consultants vous accompagne dans votre mise en conformité NIS 2 : diagnostic d'applicabilité, gap analysis ReCyF ANSSI, plan de mise en conformité, formation dirigeants. Nos consultants certifiés ISO 27001 Lead Implementer interviennent sur toute la France.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
Mise en conformité NIS 2 et ISO 27001
Accompagnement sur mesure pour les PME et ETI soumises à NIS 2 ou engagées dans une démarche ISO 27001. Gap analysis, plan d'action, audit interne.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire