• Facebook
  • Twitter
  • LinkedIn
  • YouTube
Nieuwsbrief
Contact
2152001152

De navolging van ReCyF v2_5 of zijn opvolger belooft voor Franse bedrijven géén fun te worden

“Het gevaar voor Franse essentiële entiteiten ligt vandaag niet alleen in de hacker, maar in de ruimte tussen beleid en werkelijkheid: daar waar segmentatie ontbreekt, leveranciers te diep zitten, beheer te breed is en monitoring te laat komt.”

In de bestuurskamer van een Franse essentiële entiteit hangt geen paniek, maar wel iets wat er gevaarlijk dicht bij komt: bestuurlijke onzekerheid. Niet omdat men niet weet dat cyber een topprioriteit is, maar omdat men voelt dat de klassieke lagen van beleid, certificatie en audit niet meer volstaan. De aanvaller van vandaag zoekt geen theoretische zwakte, maar een operationele opening: een onvoldoende gescheiden beheeromgeving, een externe koppeling zonder strikte filtering, een leverancier met te ruime rechten, een remote access-kanaal dat wel werkt maar niet granulaire genoeg is afgeschermd. Precies in die ruimte tussen governance en uitvoering verschijnt ReCyF v2.5. En dat maakt het voor Franse bedrijven allesbehalve fun.

ReCyF, het Référentiel Cyber France, positioneert zich in deze versie als het Franse cybersecurityreferentiekader voor de nationale NIS2-transpositie. Het document is tegelijk ambitieus en ongemakkelijk eerlijk: het is nog een “version de travail” van 17 maart 2026. Tegelijk is de richting al duidelijk. ReCyF bestaat uit veiligheidsdoelen en voor elk doel aanvaardbare conformiteitsmiddelen. De doelen beantwoorden de vraag wat verplicht bereikt moet worden; de conformiteitsmiddelen beantwoorden de vraag hoe een organisatie dat kan invullen of aantonen. Die middelen zijn niet altijd verplicht, maar moeten wel helpen om bij een controle door ANSSI aan te tonen dat het veiligheidsdoel bereikt is. Bovendien geldt een proportionaliteitsbeginsel: doelen 16 tot en met 20 zijn alleen van toepassing op essentiële entiteiten.

Daar zit meteen de eerste spanning. Frankrijk werkt aan een auditbaar NIS2-model, maar doet dat via een kader dat nog in werkversie staat. Bedrijven krijgen dus niet de luxe om af te wachten tot elk auditdetail is uitgekristalliseerd. Ze moeten nu al nadenken over hun granulariteit, hun technische bewijsvoering en hun bestuurlijke verankering. ReCyF is in die zin geen vriendelijk maturity-document. Het is een signaal dat Frankrijk de stap wil zetten van algemene cybergovernance naar aantoonbare operationele cyberweerbaarheid.

Van beleid naar bewijs

Het meest fundamentele aan ReCyF is niet dat het governance vraagt. Dat doen ISO 27001, NIST CSF en andere kaders ook al jaren. Het fundamentele verschil is dat ReCyF governance niet los ziet van concrete, toetsbare operationalisering. Onder doel 2 moeten entiteiten bijvoorbeeld een governancekader opzetten met rollen, verantwoordelijkheden, conformiteitsbeheer, PSSI en een actieplan voor vastgestelde afwijkingen. Die conformiteitsanalyse moet per informatiesysteem worden onderhouden, en alternatieve maatregelen moeten expliciet worden verantwoord. Daarmee verschuift ReCyF het gesprek van “hebben we beleid?” naar “kunnen we aantonen waar we afwijken, waarom, en wat we eraan doen?”

Dat principe loopt door in het hele document. ReCyF wil inventarisatie, leveranciersbeheersing, HR-security, patching, segmentatie, identiteitsbeheer, administratieve scheiding, back-up, crisisrespons, oefeningen, risicoanalyse, audits, hardening en monitoring niet meer zien als losse disciplines, maar als samenhangende lagen van assurance. De 20 veiligheidsdoelen zijn in dat opzicht geen verzameling controls; ze vormen een Franse poging om NIS2 om te zetten in een controleerbare architectuur van cyberverantwoordelijkheid. De tabel met de vier pijlers — governance, protection, defense en résilience — bevestigt die opbouw expliciet.

Waarom dit voor Franse bedrijven zwaar zal wegen

De echte uitdaging van ReCyF is dat het voor veel organisaties de comfortabele zone van klassieke compliance verlaat. Een organisatie kan vandaag perfect een behoorlijk volwassen informatiebeveiligingsbeleid hebben en toch in de problemen komen zodra ReCyF operationele granulariteit begint te eisen. Denk aan jaarlijkse filteringreviews, beheer van interconnecties, sterkere remote access-voorwaarden, uitsluiting van BYOD voor bepaalde essentiële contexten, aparte beheerresources, of een security monitoring-capaciteit die logs en events uiterlijk binnen 24 uur moet kunnen opnemen en verwerken. Dat zijn geen louter papieren verwachtingen meer; dat zijn architectuur- en exploitatievragen.

Voor essentiële entiteiten wordt dat nog zichtbaarder. Doelen 16 tot en met 20 voegen immers een zwaarder regime toe: een formele risicogebaseerde aanpak, een gepland auditprogramma, secure configuration, dedicated administration en security monitoring. Daarmee groeit ReCyF uit boven een algemeen beleidskader en schuift het richting een model waarin bestuur, risico, techniek en operationele bewijsvoering in één auditbare keten moeten samenkomen.

De normatieve voorbereiding: wat kan vandaag al?

ReCyF laat tegelijk zien dat voorbereiding perfect mogelijk is. Niet omdat alles al finaal vastligt, maar omdat de contouren duidelijk genoeg zijn om een volwassen organisatie nu al te positioneren.

Voor governance en risicosturing ligt de sterkste basis nog steeds bij ISO/IEC 27001:2022. ReCyF erkent ISO 27001 expliciet als bewijsbasis voor doel 2, en opnieuw voor doel 16 voor de systemen die binnen de scope van de certificering vallen. Dat betekent dat organisaties met een volwaardige ISMS-aanpak niet van nul beginnen, maar wel moeten nagaan of hun governance ook technisch diep genoeg doorvertaald is.

Voor incidentrespons, crisisbeheersing, oefeningen en risicoanalyse verwijst ReCyF uitdrukkelijk naar gekwalificeerde begeleidingsprestaties zoals PACS, terwijl PASSI de logische referentie wordt voor doel 17 rond audit. Voor doel 19 rond dedicated administration noemt ReCyF PAMS als relevante gekwalificeerde basis, en voor doel 20 rond detectie en monitoring PDIS. Dat maakt duidelijk dat Frankrijk niet alleen op eigen beleid wil steunen, maar op een ecosysteem van gekwalificeerde assurance-mechanismen.

Voor de inhoudelijke voorbereiding daarachter blijft de normatieve kaart herkenbaar:
ISO 27002 voor de controlpraktijk, ISO 22301 voor continuïteit, ISO 27035 voor incidentbeheer, EBIOS RM voor risicoanalyse, CIS Benchmarks en hardening guides voor secure configuration, en sterke IAM-, PAM- en monitoringpraktijken vanuit NIST CSF en moderne zero trust-benaderingen voor de technische diepte. ReCyF vervangt die kaders niet; het dwingt organisaties eerder om ze concreter, consistenter en toetsbaarder te gebruiken.

De bestuurlijke les: granulariteit is geen luxe meer

Wat ReCyF in werkelijkheid zegt, is bestuurlijk eenvoudig maar operationeel zwaar: een essentiële entiteit mag zich niet meer verschuilen achter algemene volwassenheid. Een raad van bestuur of directiecomité dat zegt “we hebben een certificaat, een beleid en een auditcyclus” zal steeds vaker moeten uitleggen hoe remote access werkelijk wordt beschermd, hoe leveranciers contractueel én technisch worden beheerst, hoe beheeracties zijn gescheiden van bureautische activiteiten, hoe logging wordt gecentraliseerd, hoe crisiscommunicatie standhoudt wanneer standaardkanalen uitvallen, en hoe men kan aantonen dat risico’s niet alleen beschreven maar ook werkelijk behandeld worden.

Dat is ook waarom Franse bedrijven het moeilijk zullen krijgen als zij ReCyF louter lezen als een toekomstige auditnotitie. De essentie van deze werkversie is al zichtbaar: het land beweegt richting een model waarin cybersecurity bestuurlijk verantwoord moet zijn, technisch granulaire lagen moet hebben, en operationeel bewijsbaar moet worden gemaakt. Organisaties die vandaag alleen in termen van compliance-documentatie denken, zullen morgen vaststellen dat de echte toets elders ligt: in segmentatie, in administratie, in leveranciersrelaties, in monitoring en in oefenbare weerbaarheid.

Conclusie

Hoewel ReCyF v2.5 vandaag nog als werkversie op tafel ligt en het Franse auditkader nog niet in alle details is uitgekristalliseerd, kunnen andere Europese essentiële entiteiten nu al een bijzonder waardevolle oefening maken. De 20 voorgestelde veiligheidsdoelen vormen namelijk een bruikbare kapstok om de eigen paraatheid te toetsen: van inventarisatie en governance tot leveranciersbeheer, segmentatie, identiteitsbeheer, incidentrespons, continuïteit, audits, secure administration en monitoring. Ook buiten Frankrijk biedt deze set dus een nuttig referentiepunt om te beoordelen waar de organisatie al voldoende volwassen is, en waar nog technische of organisatorische granulaire lagen ontbreken.

De echte les is daarbij niet dat bedrijven de 20 doelen louter als een compliancechecklist moeten afvinken. De echte les is dat deze volledige oefening enterprise-breed en risico-gedreven moet worden aangestuurd. ReCyF maakt zelf duidelijk dat governance, conformiteitsbeheer, risicoanalyse, actieplannen, audits en continue opvolging onlosmakelijk met elkaar verbonden zijn, en dat voor essentiële entiteiten juist de bijkomende doelen rond risico, audit, hardening, dedicated administration en monitoring de maturiteit verder moeten verhogen. Daarom mag geen enkele organisatie deze transformatie overlaten aan alleen IT, security of compliance. De sturing moet consequent gebeuren vanuit Enterprise Risk Management, zodat elk veiligheidsdoel wordt gekoppeld aan bedrijfsimpact, restrisico, eigenaarschap, investeringsbeslissingen en aantoonbare assurance. Alleen zo worden de 20 veiligheidsdoelen geen losse technische verplichtingen, maar een bestuurbaar model voor echte cyberweerbaarheid.

Technische toelichting: de 20 veiligheidsdoelen van ReCyF

  1. Inventarisatie van informatiesystemen (Recensement des systèmes d’information)
    Voorbereiding: assetregister, serviceregister, business impact mapping, scope- en uitsluitingslogica. Beste basis: ISO 27001, ISO 27002, NIST CSF Identify.
  2. Invoering van een governancekader voor digitale veiligheid (Mise en œuvre d’un cadre de gouvernance de la sécurité numérique)
    Voorbereiding: ISMS, PSSI, RACI, compliance-analyse, actieplan. Beste basis: ISO/IEC 27001:2022.
  3. Beheersing van het ecosysteem (Maîtrise de l’écosystème)
    Voorbereiding: leveranciersregister, interconnectiematrix, security clauses, third-party risk management, contractuele assurance. Beste basis: ISO 27002, ISO 27036, NIST CSF supply chain.
  4. Integratie van digitale veiligheid in het HR-beheer (Intégration de la sécurité numérique dans la gestion des ressources humaines)
    Voorbereiding: awarenessprogramma, gebruikscharter, joiner-mover-leaver-proces, rolgerichte opleidingen. Beste basis: ISO 27002 HR-controls, NIST awareness-praktijken.
  5. Beheersing van informatiesystemen (Maîtrise des systèmes d’information)
    Voorbereiding: SI-cartografie, patch governance, vulnerability management, lifecycle management, supported software policy. Beste basis: ISO 27002, CIS Controls, NIST Protect.
  6. Beheersing van fysieke toegang tot lokalen (Maîtrise des accès physiques aux locaux)
    Voorbereiding: badgebeheer, bezoekersregistratie, fysieke toegangsreviews, serverruimtebeveiliging. Beste basis: ISO 27002 fysieke beveiliging.
  7. Beveiliging van de architectuur van informatiesystemen (Sécurisation de l’architecture des systèmes d’information)
    Voorbereiding: netwerksegmentatie, zoning, interconnectiebeheer, firewall matrices, gateway-architectuur. Beste basis: ISO 27002 network security, zero trust-principes, architectuurkaders.
  8. Beveiliging van externe toegang tot informatiesystemen (Sécurisation des accès distants aux systèmes d’information)
    Voorbereiding: VPN/TLS, MFA, secure remote access, device-encryptie, managed endpoints. Beste basis: ISO 27002, NIST CSF identity/access, CIS Controls.
  9. Bescherming van informatiesystemen tegen kwaadaardige code (Protection des systèmes d’information contre les codes malveillants)
    Voorbereiding: EDR/XDR, device control, removable media governance, secure mail/web filtering, broncontroles. Beste basis: ISO 27002, CIS Controls, NIST Protect/Detect.
  10. Beheer van identiteiten en toegangen van gebruikers tot informatiesystemen (Gestion des identités et des accès des utilisateurs aux systèmes d’information)
    Voorbereiding: IAM-roadmap, RBAC, account lifecycle, secretsbeheer, periodieke access reviews. Beste basis: ISO 27002, NIST CSF, zero trust identity.
  11. Beheersing van het beheer van informatiesystemen (Maîtrise de l’administration des systèmes d’information)
    Voorbereiding: gescheiden adminaccounts, privileged access governance, Tier 0/AD-hardening, admin logging. Beste basis: ISO 27002 privileged access, PAM-praktijken, ANSSI-richtsnoeren.
  12. Identificatie en reactie op beveiligingsincidenten (Identification et réaction aux incidents de sécurité)
    Voorbereiding: incidentproces, triage, case management, forensische bewijslast, CSIRT/SOC-rollen. Beste basis: ISO 27035, NIST incident response, PACS-ondersteuning.
  13. Continuïteit en herstel van activiteiten (Continuité et reprise d’activité)
    Voorbereiding: back-up- en restoreprocessen, cyber recovery, MTPD/DMIA, RPO/PRD, PRA/PCA. Beste basis: ISO 22301, ISO 27031, resilience testing.
  14. Reactie op cybercrisissen (Réaction aux crises d’origine cyber)
    Voorbereiding: crisiscel, crisiscriteria, stakeholderregister, fallback-communicatie, reconstructieplaybooks, RETEX. Beste basis: ISO 22320, ISO 22361, PACS-begeleiding.
  15. Oefeningen, tests en trainingen (Exercices, tests et entraînements)
    Voorbereiding: tabletop-oefeningen, meerjarig oefenprogramma, scenario-ontwikkeling, crisis- en hersteltesten. Beste basis: ISO 22398, ISO 22301, PACS-oefenondersteuning.
  16. Implementatie van een risicogebaseerde aanpak (Mise en œuvre d’une approche par les risques)
    Voorbereiding: formele risicomethodiek, risicoacceptatie, behandelplan, periodieke herevaluatie, EBIOS RM. Beste basis: ISO/IEC 27001:2022, PACS, EBIOS RM.
  17. Audit van de beveiliging van informatiesystemen (Audit de la sécurité des systèmes d’information)
    Voorbereiding: auditprogramma, pentest, architectuuraudit, configuratie-audit, code-audit, auditrapportage en opvolgplan. Beste basis: PASSI, ISO 19011, ISO 27007/27008.
  18. Beveiliging van de configuratie van resources van informatiesystemen (Sécurisation de la configuration des ressources des systèmes d’information)
    Voorbereiding: secure baselines, hardening standards, golden images, automatische configuratiereviews. Beste basis: CIS Benchmarks, ISO 27002 secure configuration.
  19. Beheer van informatiesystemen vanuit dedicated resources (Administration des systèmes d’information depuis des ressources dédiées)
    Voorbereiding: PAW’s, adminnetwerk, jump servers, out-of-band beheer, versleutelde adminflows, sterke scheiding tussen user en admin. Beste basis: PAMS, PAM-architectuur, zero trust administration.
  20. Toezicht op de beveiliging van informatiesystemen (Supervision de la sécurité des systèmes d’information)
    Voorbereiding: SIEM/SOC-capaciteit, use cases, logretentie, corrrelatie, beveiligde opslag van telemetrie, continue verbetering. Beste basis: PDIS, ISO 27002 logging & monitoring, NIST Detect.

Laat een reactie achter

Deel dit artikel

Aanbevolen artikels

Meer items

Blijf up to date met NIS2.news

Schrijf je in voor de nis2.news nieuwsbrief en mis nooit het laaste nieuws over NIS2