PCA/PRA et NIS2 : les exigences de continuite d'activité
La directive NIS2 exige des mesures de continuite d'activité et de gestion des crises. Le ReCyF les structure dans son pilier Résilience. Voici comment construire un PCA/PRA conforme.
Ce que NIS2 exige
L'article 21.2.c de la directive impose des mesures de continuite des activités, y compris la gestion des sauvegardes et la reprise des activités, et la gestion des crises. Le ReCyF (pilier 4 - Résilience) détaillé ces exigences.
PCA vs PRA
| PCA | PRA | |
|---|---|---|
| Objectif | Maintenir l'activité pendant l'incident | Restaurer l'activité apres l'incident |
| Declenchement | Des la détection de l'incident | Apres la phase de crise |
| Contenu | Modes degrades, procédures manuelles | Restauration SI, reprise opérations |
| Indicateur cle | RTO (temps max d'interruption) | RPO (perte de donnees acceptable) |
Les composantés d'un PCA/PRA conforme NIS2
- Analyse d'impact sur l'activité (BIA) : identifier les processus critiques et leur tolerance a l'interruption
- Strategie de sauvegarde : regle 3-2-1 (3 copies, 2 supports, 1 hors site), immuabilite, tests reguliers
- Procédures de bascule : modes degrades documentes pour chaque processus critique
- Plan de communication de crise : qui informe qui, quand, par quel canal
- Exercices de crise : au moins un par an, avec retour d'expérience documente
Les erreurs frequentes
- Un PCA/PRA qui existe mais n'a jamais ete teste
- Des sauvegardes jamais restaurees en conditions reelles
- Un plan qui ne couvre pas le scenario ransomware
- Des coordonnees de crise perimees
- Un plan stocke uniquement sur le SI compromis (inaccèssible pendant la crise)
Pour la démarche globale, voir les 10 mesures de l'article 21 et le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, article 21.2.c
- ReCyF, pilier Résilience, mars 2026
- ANSSI, guide PCA/PRA