Comprendre le cadre légal : ce que NIS2 exige vraiment en 2026
NIS2 et le ReCyF : de la directive aux obligations concrètes
La directive européenne NIS2, publiée au Journal officiel de l'Union européenne le 27 décembre 2022, devait être transposée dans les droits nationaux avant le 17 octobre 2024. En France, cette transposition accuse un retard notable. Selon le site spécialisé Vytalx.fr{:target="_blank"}, le projet de loi Résilience, qui transpose simultanément NIS2, la directive REC et le règlement DORA, a été adopté en première lecture au Sénat en octobre 2024 mais n'a pas encore été promulgué, l'examen en hémicycle étant désormais attendu pour juillet 2026.
Ce retard législatif ne constitue pas un blanc-seing. L'ANSSI a publié le 17 mars 2026, au Campus Cyber, le ReCyF (Référentiel Cyber France), version de travail v2.5. Ce document traduit les exigences générales de NIS2 en objectifs de sécurité concrets, mesurables et auditables. Comme le précise le cabinet RSM France{:target="_blank"}, le référentiel repose sur quatre grands piliers : Gouvernance, Protection, Défense et Résilience. Le plan de reprise d'activité se situe au cœur du quatrième pilier.
L'objectif 13 du ReCyF porte explicitement sur la continuité et la reprise d'activité, avec une exigence de définition et de vérification des métriques RTO et RPO. Les objectifs 14 (gestion de crise) et 15 (exercices et tests) viennent compléter ce socle en imposant des simulations régulières et des audits de maturité.
Qui est concerné et quels sont les risques en cas de manquement ?
NIS2 élargit considérablement le périmètre par rapport à son prédécesseur. En France, environ 15 000 entités dans 18 secteurs critiques sont désormais concernées, réparties en deux catégories.
| Catégorie | Critères de seuil | Supervision ANSSI | Sanction maximale |
|---|---|---|---|
| Entités Essentielles (EE) | ≥ 250 salariés OU CA ≥ 50 M€ OU bilan ≥ 43 M€ | Proactive et continue | 10 M€ ou 2 % du CA mondial |
| Entités Importantes (EI) | ≥ 50 salariés OU CA ≥ 10 M€ | Réactive sur incident | 7 M€ ou 1,4 % du CA mondial |
| PME hors seuils | En dessous des seuils ci-dessus | Non soumises à NIS2 | Sans objet (mais bonnes pratiques recommandées) |
L'outil de vérification mis en ligne par l'ANSSI sur MonEspaceNIS2 permet à toute organisation de déterminer rapidement sa catégorie. Au-delà des amendes, les sanctions incluent des injonctions de mise en conformité, des suspensions et une publication des manquements aux conséquences réputationnelles potentiellement dévastatrices.
Étapes 1 à 3 : Analyser, définir et documenter
Étape 1 : réaliser le BIA (Business Impact Analysis)
Tout plan de reprise d'activité sérieux commence par une analyse d'impact métier, plus connue sous l'acronyme BIA. Cette phase consiste à cartographier précisément les processus critiques de l'organisation, les systèmes qui les supportent et les conséquences financières, opérationnelles et réglementaires d'une interruption prolongée.
Sans ce travail préalable, les équipes IT se retrouvent dans la situation décrite par les experts de XPR FreePro{:target="_blank"} : "les interdépendances entre les différents systèmes sont souvent méconnues ou mal documentées, rendant la reconstruction cohérente du système d'information particulièrement complexe. Sans PRA, les priorités de restauration ne sont généralement pas clairement établies, ce qui entraîne des délais supplémentaires lorsque les équipes doivent déterminer dans l'urgence quels systèmes relancer en premier."
Pour être utile, le BIA doit être réalisé avec les directions métier, pas seulement avec la DSI. C'est elles qui peuvent quantifier l'impact réel d'une heure, d'une journée ou d'une semaine d'indisponibilité sur leur activité.
Étape 2 : définir les RTO et RPO par système critique
Le RTO (Recovery Time Objective) est le délai maximal acceptable entre le déclenchement d'un sinistre et la reprise opérationnelle d'un système. Le RPO (Recovery Point Objective) est la quantité maximale de données que l'organisation accepte de perdre, exprimée en durée.
Ces deux métriques doivent être définies système par système, en fonction des résultats du BIA. Un ERP de comptabilité n'aura pas les mêmes exigences qu'un site vitrine ou qu'une application de messagerie interne.
| Système ou service | RTO cible | RPO cible | Solution technique typique | Niveau de coût |
|---|---|---|---|---|
| ERP / comptabilité | 2 heures | 1 heure | Sauvegarde horaire + bascule rapide | Élevé |
| Messagerie professionnelle | 1 heure | 15 minutes | Réplication temps réel | Très élevé |
| Site web / vitrine | 24 heures | 24 heures | Sauvegarde quotidienne | Modéré |
| Données archivées | 72 heures | 7 jours | Sauvegarde hebdomadaire off-site | Faible |
Comme le souligne le guide de DonnéesPersonnelles.fr{:target="_blank"}, la CNIL n'impose pas de durée universelle mais exige "une justification documentée du délai de reprise retenu, fondée sur une analyse de risques préalable". Un délai de 72 heures peut être acceptable pour un système secondaire, mais totalement inadéquat pour un système hospitalier traitant des données de santé.
Étape 3 : documenter la stratégie de reprise
La stratégie de reprise décrit comment l'organisation passera concrètement de l'état sinistré à l'état opérationnel dans les délais fixés par le RTO. Cette documentation doit couvrir :
- La cartographie des responsabilités : qui déclenche le plan, qui coordonne, qui exécute les actions techniques
- Les procédures de bascule vers les systèmes de secours (site secondaire, cloud, hébergeur de secours)
- Les modalités de restauration depuis les sauvegardes, avec les commandes et paramètres exacts
- Les contacts d'urgence internes et externes (hébergeur, éditeur logiciel, RSSI, direction générale)
- Les critères de déclenchement du plan et les seuils d'alerte
- Le plan de communication de crise vers les parties prenantes (clients, partenaires, ANSSI)
- Les procédures de retour à la normale après stabilisation
Étapes 4 à 6 : Mettre en œuvre, tester et améliorer
Étape 4 : choisir l'architecture technique adaptée aux objectifs
L'architecture technique doit être dimensionnée pour tenir les RTO et RPO définis. Un RTO de 2 heures implique une infrastructure radicalement différente d'un RTO de 72 heures. Plusieurs modèles existent.
Le site de reprise à froid propose l'infrastructure minimale : des équipements sont disponibles mais doivent être configurés et alimentés en données depuis les sauvegardes. Le délai de remise en route est long (24 à 72 heures), mais le coût est limité. Le site chaud, à l'inverse, maintient un environnement synchronisé en temps réel, prêt à prendre le relais en quelques minutes. Entre les deux, le site tiède offre un compromis avec des équipements pré-configurés mais des données restaurées depuis des sauvegardes récentes.
Les plateformes cloud apportent désormais une flexibilité considérable : il est possible de provisionner à la demande les ressources nécessaires à la reprise, réduisant ainsi les coûts d'immobilisation d'une infrastructure de secours permanente. Les datacenter parisiens proposent des architectures hybrides particulièrement adaptées aux contraintes de souveraineté des données imposées par NIS2.
Étape 5 : déployer des sauvegardes conformes au standard NIS2
La sauvegarde est la pierre angulaire de tout plan de reprise d'activité, mais elle ne se réduit pas à une copie quotidienne sur un serveur interne. Le ReCyF de l'ANSSI, dans son objectif 13, impose des sauvegardes présentant quatre caractéristiques cumulatives :
La règle dite 3-2-1-1 est devenue le standard de référence pour une conformité NIS2 : 3 copies des données, sur 2 supports différents, dont 1 hors site et 1 déconnectée du réseau (air-gapped ou immuable). Cette dernière copie isolée est le dernier rempart contre un ransomware qui chercherait à chiffrer ou supprimer les sauvegardes accessibles depuis le réseau.
La source DonnéesPersonnelles.fr{:target="_blank"} rappelle que l'article 21 de NIS2 "impose également des politiques et procédures visant à évaluer l'efficacité des mesures de gestion des risques", ce qui signifie que les sauvegardes ne peuvent pas rester cantonnées à un document de politique interne : elles doivent être testées et les résultats des tests doivent être tracés.
Étape 6 : tester le plan de reprise, et le tester encore
C'est ici que la grande majorité des organisations échouent. Comme le décrit la plateforme XPR FreePro{:target="_blank"}, "les données sauvegardées peuvent s'avérer inutilisables dans certains cas, notamment lorsqu'elles sont corrompues ou incomplètes, ce qui n'est généralement découvert qu'au moment critique de la tentative de restauration." Autrement dit, une sauvegarde non testée n'est pas une sauvegarde : c'est une illusion de sécurité.
L'objectif 15 du ReCyF impose des exercices réguliers comprenant :
- Des tests de restauration technique : vérifier que les données peuvent effectivement être restaurées depuis les sauvegardes dans les délais du RPO
- Des exercices de simulation de crise : mettre en situation l'équipe de crise sur un scénario réaliste (ransomware, panne majeure, sinistre physique)
- Des audits de maturité : évaluation externe du niveau de préparation et identification des lacunes
La fréquence minimale recommandée est d'un exercice complet par an, complété par des tests techniques trimestriels. Chaque exercice doit donner lieu à un compte-rendu documenté conservé pour les contrôles éventuels de l'ANSSI.
Étape 7 et gouvernance continue : inscrire le PRA dans la durée
Étape 7 : intégrer le PRA dans la gouvernance cyber de l'organisation
Un plan de reprise d'activité n'est pas un document qu'on produit une fois et qu'on range dans un tiroir. C'est un dispositif vivant qui doit évoluer avec les systèmes, les menaces et l'organisation. Cette septième étape est souvent négligée, pourtant c'est elle qui détermine si le PRA sera réellement utilisable le jour J.
Le baromètre CESIN 2026 révèle que 59 % des entreprises françaises concernées par NIS2 ont déjà engagé des démarches de conformité, mais 27 % des grandes entreprises restent insuffisamment préparées à la cyber-résilience. Cette préparation insuffisante se traduit directement par des temps de reprise allongés lors d'une attaque réelle.
La gouvernance du PRA doit inclure :
- Une révision annuelle formalisée après chaque test ou incident réel
- Un responsable désigné (RSSI ou Risk Manager) avec des obligations de reporting à la direction
- Une intégration dans la chaîne d'approvisionnement : les prestataires critiques doivent démontrer leur propre niveau de résilience (objectif 3 du ReCyF)
- Un tableau de bord de suivi des indicateurs clés : date du dernier test, RTO/RPO mesurés vs. cibles, nombre de sauvegardes vérifiées
L'articulation avec ISO 22301, RGPD et DORA
Le plan de reprise d'activité ne vit pas en silo réglementaire. Il s'inscrit dans un écosystème de normes et réglementations qui se renforcent mutuellement.
L'article 32 du RGPD impose "des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique." Le PRA est donc aussi un outil de conformité RGPD, et les délais de reprise doivent être justifiés en tenant compte de la sensibilité des données traitées.
ISO 22301, norme internationale de management de la continuité d'activité, fournit un cadre structuré compatible avec NIS2. Sa certification peut être invoquée comme preuve de conformité partielle lors des contrôles de l'ANSSI.
DORA (Digital Operational Resilience Act), applicable aux entités financières depuis janvier 2025, impose des exigences encore plus strictes en matière de tests de résilience, avec des exercices de simulation avancés (TLPT, Threat-Led Penetration Testing).
| Réglementation | Exigence PRA spécifique | Secteur concerné | Autorité de contrôle en France |
|---|---|---|---|
| NIS2 / ReCyF | PCA/PRA testé, RTO/RPO définis, sauvegardes immuables | 18 secteurs critiques | ANSSI |
| RGPD (Art. 32) | Rétablissement des données personnelles "dans des délais appropriés" | Tous secteurs traitant des données personnelles | CNIL |
| DORA | Tests TLPT, tests de résilience opérationnelle numérique avancés | Entités financières | ACPR / AMF |
| ISO 22301 | Système de management de la continuité d'activité (SMCA) | Tous secteurs (certification volontaire) | Organismes d'accréditation (COFRAC) |
FAQ
Qu'est-ce qu'un PRA et en quoi diffère-t-il d'un PCA ?
Le plan de reprise d'activité (PRA) et le plan de continuité d'activité (PCA) sont deux dispositifs complémentaires mais distincts. Le PCA vise à maintenir un niveau minimal d'activité pendant la crise, en mode dégradé si nécessaire. Le PRA, lui, se concentre sur la phase de reconstruction après le sinistre : comment restaurer les systèmes, récupérer les données et revenir à un fonctionnement nominal. En pratique, une organisation robuste dispose des deux, le PCA prenant le relais immédiatement après l'incident, le PRA orchestrant le retour complet à la normale.
Quelle est la différence entre RTO et RPO ?
Le RTO (Recovery Time Objective) mesure le délai maximal acceptable entre la survenue d'un incident et la reprise opérationnelle d'un système. Il répond à la question "combien de temps peut-on se permettre d'être hors service ?". Le RPO (Recovery Point Objective) mesure la quantité maximale de données que l'organisation accepte de perdre, exprimée en unité de temps. Il répond à la question "jusqu'à quel point dans le passé peut-on remonter pour restaurer les données ?". Un RPO de 1 heure signifie que les sauvegardes doivent être effectuées au minimum toutes les heures. Plus ces deux indicateurs sont faibles, plus l'architecture de reprise est coûteuse à mettre en place.
Mon entreprise est-elle soumise à NIS2 en 2026 ?
La directive NIS2 concerne en France environ 15 000 entités réparties dans 18 secteurs d'activité critiques (énergie, transport, santé, banque, infrastructures numériques, etc.). Les entités essentielles sont celles comptant au moins 250 salariés ou affichant un chiffre d'affaires d'au moins 50 millions d'euros ou un bilan de 43 millions d'euros. Les entités importantes correspondent à des seuils inférieurs : au moins 50 salariés ou un chiffre d'affaires d'au moins 10 millions d'euros. L'ANSSI met à disposition un simulateur gratuit sur MonEspaceNIS2 permettant de vérifier précisément si votre organisation entre dans le périmètre réglementaire et dans quelle catégorie.
Que risque-t-on concrètement en cas de non-conformité NIS2 sur le PRA ?
Les sanctions prévues par NIS2 sont significatives et multiformes. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du chiffre d'affaires. Au-delà des amendes financières, l'ANSSI peut émettre des injonctions de mise en conformité, ordonner des suspensions d'activité et publier les manquements constatés. Cette publicité des sanctions représente souvent un risque réputationnel encore plus lourd que l'amende elle-même, en particulier pour les entreprises dont la clientèle est sensible aux questions de sécurité des données.
À quelle fréquence faut-il tester son plan de reprise d'activité ?
Le ReCyF de l'ANSSI, dans son objectif 15, impose des exercices et tests réguliers sans fixer de fréquence universelle unique, celle-ci devant être proportionnée à la criticité de l'entité et à la nature de ses systèmes. La pratique recommandée par les experts est d'effectuer au moins un exercice complet de simulation de crise par an, incluant la mise en situation de l'équipe dirigeante, complété par des tests de restauration technique trimestriels portant sur les sauvegardes et les procédures de bascule. Chaque test doit impérativement donner lieu à un compte-rendu documenté, car ces traces constituent les preuves opposables lors d'un contrôle de l'ANSSI. Il est également recommandé de réaliser un test après tout changement majeur d'infrastructure ou de système critique.
Conclusion
La mise en place d'un plan de reprise d'activité fiable avec des objectifs de RTO et de RPO réalistes n'est plus une option réservée aux grandes entreprises du CAC 40. En 2026, NIS2 et son déclinaison française le ReCyF, publié par l'ANSSI le 17 mars 2026, en font une obligation légale pour environ 15 000 entités françaises, avec des sanctions pouvant aller jusqu'à 2 % du chiffre d'affaires mondial. Le contexte de menace le justifie amplement : selon le baromètre CESIN 2026, 40 % des entreprises françaises ont subi au moins une cyberattaque significative sur l'année écoulée, et 60 % des victimes ferment dans les 18 mois suivant une attaque majeure faute d'avoir su rebondir.
Les 7 étapes détaillées dans ce guide, du BIA initial jusqu'à la gouvernance continue, forment un cycle vertueux. Il ne s'agit pas d'un projet qu'on finalise et qu'on archive : chaque test révèle des lacunes, chaque incident enrichit les procédures, chaque évolution du système d'information impose une mise à jour du plan. Un plan de reprise d'activité qui n'est pas testé est une fausse promesse de résilience. Avec les bons partenaires, notamment des hébergeurs certifiés et des datacenters parisiens proposant des architectures redondantes, les organisations de toutes tailles peuvent aujourd'hui atteindre des niveaux de RTO et de RPO ambitieux sans nécessairement engager des budgets prohibitifs.