Continuité d'activité NIS 2 au titre de l'article 21(2)(c)
NIS 2 dispose que vous devez maintenir les opérations et reprendre lorsque quelque chose se casse. L'article 21(2)(c) est l'obligation. Le §4 du CIR (UE) 2024/2690 précise le PCA, le plan de sauvegarde et la procédure de crise. L'Allemagne l'inscrit dans le §30(2)(3) BSIG.
La version courte
La continuité d'activité figure au point (c) de la liste de l'article 21(2). La directive regroupe trois choses : maintenir l'activité, gérer vos sauvegardes et votre reprise, et assurer la gestion de crise. Si NIS 2 s'applique à vous, vous devez faire les trois.
Le §4 du CIR (UE) 2024/2690 décompose la même obligation en trois sous-sections. Le §4.1 est le plan de continuité d'activité lui-même, avec une liste de contenu en huit points. Le §4.2 est la sauvegarde et la redondance, avec un plan en six points plus des tests d'intégrité. Le §4.3 est la procédure de gestion de crise, y compris la manière dont vous communiquez avec le régulateur. Si vous exploitez un DNS, du cloud, un centre de données, un MSP, des services de confiance ou tout autre secteur figurant dans l'annexe du CIR, cela vous lie directement.
L'Allemagne inscrit la même règle en droit national par le biais du §30(2)(3) BSIG. Le libellé suit la directive. Cette page parcourt la directive, le règlement de suivi de l'UE et la transposition allemande dans cet ordre.
Article 21(2)(c) directive NIS 2 (2022/2555)
La continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises.
Point (c) de la liste des dix mesures de cybersécurité que chaque entité essentielle et importante doit mettre en place. Une ligne, trois obligations regroupées.
CIR (UE) 2024/2690, annexe §4
Continuité des activités et gestion des crises (article 21(2)(c) de la directive (UE) 2022/2555).
Comme il s'agit d'un règlement (et non d'une directive), c'est un droit de l'UE directement contraignant. Le CIR scinde le §4 en trois sous-sections : §4.1 le plan de continuité des activités et de reprise après sinistre, §4.2 la gestion des sauvegardes et de la redondance, §4.3 la procédure de gestion de crise. Il s'applique directement aux fournisseurs de DNS, aux registres de TLD, aux fournisseurs de cloud et de centres de données, aux MSP et aux autres secteurs énumérés dans son annexe.
§30(2)(3) BSIG (Allemagne)
La continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises.
L'Allemagne copie le libellé de la directive. Les Infopakete du BSI inscrivent la continuité d'activité comme l'une des dix mesures de l'article 21(2) que chaque entité essentielle et importante doit couvrir.
Plan de continuité des activités et de reprise après sinistre
Un plan écrit en huit points : objet et portée, rôles et responsabilités, liste de contacts, les conditions qui déclenchent l'activation, la séquence de reprise, le plan de reprise pour chaque processus critique, les ressources dont vous avez besoin, et la manière de redémarrer et de reprendre les opérations normales. Pas trois phrases dans un document Word. Un vrai document que les gens peuvent suivre quand le réseau est en panne et que les téléphones sonnent.
Gestion des sauvegardes et de la redondance
Un plan de sauvegarde en six points : temps de reprise cibles, exhaustivité des sauvegardes, stockage hors site, contrôles d'accès physiques et logiques, la procédure de reprise elle-même, et les durées de conservation. Plus des tests d'intégrité périodiques afin de découvrir avant l'incident si les sauvegardes restaurent réellement. Plus de la redondance (N+1) pour les actifs, le personnel et les canaux de communication.
Procédure de gestion de crise
Une procédure écrite avec des rôles nommés, un canal de communication avec l'autorité compétente, un moyen de maintenir la sécurité pendant la crise, et la liste des communications obligatoires, y compris les notifications d'incidents au titre de l'article 23. La gestion de crise, ce n'est pas « on fait une réunion téléphonique ». C'est qui participe à la réunion, ce qu'ils décident et à qui ils en parlent.
La sauvegarde relève de la gouvernance, pas seulement de l'informatique
Le plan de sauvegarde du §4.2 est de la paperasse auditable, pas une case à cocher dans votre outil de sauvegarde. Les durées de conservation sont validées. L'emplacement du stockage hors site est documenté. Les temps de reprise sont fixés au regard de l'activité, pas de ce que l'outil peut faire. Si toute votre histoire de sauvegarde vit entièrement au sein de l'équipe informatique, il vous manque la couche de gouvernance que le CIR exige.
Testez selon une cadence, pas « quand on aura le temps »
Le §4.1 attend que le PCA soit testé périodiquement. Le §4.2 attend des tests d'intégrité des sauvegardes selon une cadence. Un PCA non testé n'est que du papier. Une sauvegarde non testée n'est qu'un espoir. Une fois par an pour l'exercice sur table du PCA, plus souvent pour les tests de restauration des sauvegardes. Documentez le test, documentez ce qui a échoué, documentez ce que vous avez corrigé.
BSI / IT-Grundschutz DER.4
Le BSI inscrit la continuité d'activité comme l'une des dix mesures de l'article 21(2) (voir §30(2)(3) BSIG) et désigne le Baustein DER.4 « Notfallmanagement » d'IT-Grundschutz comme la voie pratique. DER.4 couvre l'ensemble du cycle de vie de la continuité : BIA, PCA, plans de reprise, tests, validation. Si vous suivez DER.4 de bout en bout, vous êtes bien au-delà du seuil du §4 du CIR.
Technical Implementation Guidance de l'ENISA
Le TIG de l'ENISA traduit le §4 du CIR en étapes concrètes et le met en correspondance avec ISO/IEC 27001:2022 (clauses autour de A.5.29, A.5.30, A.8.13, A.8.14) et NIST CSF 2.0 (fonction Recover). Si vous exploitez déjà ISO 27001 ou NIST CSF, le TIG vous indique ce que vous pouvez réutiliser et ce qui présente encore des écarts.
Lois nationales de transposition
Chaque État membre a sa propre transposition (Pays-Bas : Cyberbeveiligingswet, Autriche : NISG, Belgique : NIS2-Wet). L'obligation de continuité est la même parce que la directive fixe une norme unique à l'échelle de l'UE. Ce qui diffère : quelle autorité nationale vous notifiez en cas de crise, et par quel canal.
Nous avons des sauvegardes sur bande, donc tout va bien.
Les sauvegardes ne suffisent pas. Le §4.2 du CIR exige que le plan complet en six points soit documenté : temps de reprise cibles, exhaustivité, stockage hors site, contrôles d'accès, procédure de reprise, durées de conservation. Plus des tests d'intégrité périodiques. Une rotation de bandes sans le plan écrit ne représente que la moitié de l'exigence.
Le PCA est le problème de l'équipe informatique.
Non. Le §4.3 couvre explicitement la gestion de crise avec la couche dirigeante : canaux de communication avec l'autorité compétente, les notifications d'incidents obligatoires au titre de l'article 23, les décisions sur les services à maintenir et ceux à suspendre. C'est une obligation de la direction, pas une obligation de l'informatique.
On improvisera en cas de crise.
Vous n'y arriverez pas. Le §4.3 exige une procédure de crise écrite avec des rôles nommés et des canaux de communication prédéfinis. L'intérêt de l'écrire à l'avance est de ne pas l'inventer à 3 heures du matin un dimanche. Un auditeur demandera le document. « Nous avons de bonnes personnes » n'est pas le document.
Ce que nous voyons en pratique : la plupart des entreprises du Mittelstand ont des sauvegardes. Bande, cloud, second site, quelque chose. Ce qu'elles n'ont presque jamais, c'est le plan documenté du §4.2 autour de ces sauvegardes : objectifs de temps de reprise fixés au regard de l'activité, durées de conservation validées, emplacement de stockage hors site nommé, tests d'intégrité au calendrier. Les sauvegardes existent. La gouvernance, non.
Deux étapes qui font le travail : d'abord, rédigez le PCA du §4.1. Utilisez la liste en huit points du CIR comme table des matières. Ensuite, faites le test une fois par an. Un exercice sur table où l'équipe de direction déroule le PCA pour un scénario réel vaut mieux que six mois à peaufiner le document. C'est le test qui produit la preuve d'audit.
Nous avons intégré le §4 du CIR dans la plateforme comme un module. Le formulaire du PCA capture les huit champs de contenu du §4.1. Le formulaire de sauvegarde capture les six points du §4.2 plus le calendrier de tests. Le formulaire de procédure de crise capture les rôles, canaux et voies de communication de l'article 23 du §4.3. La validation se trouve à côté de chaque artefact.
La cadence des tests vit également sur la plateforme. Vous planifiez l'exercice sur table annuel du PCA et les tests trimestriels de restauration des sauvegardes, la plateforme rappelle au responsable, le responsable enregistre le résultat, et la piste d'audit montre quand cela a eu lieu et ce qui s'est passé. Pas de calendrier séparé, pas de magasin de documents séparé.
- Directive (UE) 2022/2555 (NIS 2), article 21(2)(c) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe §4 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §30(2)(3) tel que modifié par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- BSI IT-Grundschutz Baustein DER.4 « Notfallmanagement » — bsi.bund.de/grundschutz
- Technical Implementation Guidance de l'ENISA pour le CIR (UE) 2024/2690 (en date de mai 2026)