article conformité

NIS2 et sauvegardes : ce que l'article 21 exige vraiment (et comment le prouver)

L'article 21 de la directive NIS2 impose la gestion des sauvegardes et la reprise d'activité. Sans test de restauration documenté, vous êtes non conforme. Voici ce que les auditeurs attendent et comment produire la preuve.

Juin 2026 · 4 min de lecture

NIS2 : « on fait des backups » ne suffit plus

La directive NIS2 est entrée en vigueur avec une date de transposition fixée à octobre 2024. Elle élargit massivement le périmètre de la première directive NIS : énergie, transport, santé, mais aussi services postaux, gestion des déchets, agroalimentaire, fabrication de dispositifs médicaux, fournisseurs numériques. Le seuil général : entreprises de taille moyenne et au-delà (50+ salariés ou 10 M€+ de chiffre d'affaires), avec certains secteurs concernés quelle que soit leur taille.

Si vous êtes dans le périmètre — ou fournisseur d'une entité qui l'est —, vos sauvegardes ne sont plus seulement une bonne pratique. Elles sont une obligation légale, avec des sanctions à la clé.

Ce que dit l'article 21

L'article 21 impose des mesures de gestion des risques cyber « appropriées et proportionnées », selon une approche « tous risques ». Parmi les mesures minimales listées au paragraphe 2, le point (c) cite explicitement : la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises.

Trois implications concrètes :

  1. Les sauvegardes doivent permettre de restaurer les services essentiels dans des délais appropriés. Cela suppose des RTO/RPO définis — et validés, pas seulement déclarés.
  2. Les sauvegardes doivent elles-mêmes être protégées contre le ransomware et l'altération.
  3. Il faut pouvoir en apporter la preuve. Les auditeurs attendent des éléments démontrant que l'organisation peut restaurer ses données critiques sans en compromettre l'intégrité.

Les non-conformités les plus fréquentes

Les guides d'audit NIS2 listent des écarts récurrents qui devraient parler à beaucoup de DSI :

  • des sauvegardes existent, mais la restauration n'a jamais été testée ;
  • des RTO et RPO sont écrits dans le PCA, mais jamais validés par un test ;
  • pas de copie hors site ou immuable, laissant les sauvegardes vulnérables au ransomware ;
  • des politiques sur papier, mais aucune preuve d'exécution (logs, rapports de tests, horodatage).

Le dernier point est le piège classique : avoir la politique sans l'évidence. Face à un auditeur — ou à un régulateur après incident —, un document Word décrivant la procédure de restauration ne vaut rien sans la trace des tests réellement effectués.

Ce que ça coûte de ne pas le faire

Les sanctions NIS2 peuvent atteindre 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 M€ ou 1,4 % pour les entités importantes). Et NIS2 introduit une responsabilité directe des organes de direction : la conformité backup n'est plus un sujet d'équipe infra, c'est un sujet de comité de direction.

Transformer l'obligation en routine automatisée

C'est exactement le problème que RestoreProof résout :

  • Tests de restauration planifiés (cron) : chaque sauvegarde critique est restaurée dans un environnement éphémère, sur votre infrastructure, à la fréquence que vous définissez.
  • Validation fonctionnelle, pas seulement structurelle : la base PostgreSQL/MySQL est réellement démarrée et interrogée, les fichiers attendus sont vérifiés, les endpoints testés.
  • Preuve signée Ed25519 : chaque test produit un rapport horodaté et cryptographiquement signé par votre runner. C'est une pièce d'audit infalsifiable, pas une capture d'écran.
  • Souveraineté des données : les données de sauvegarde et les secrets ne quittent jamais votre infrastructure. Seul le verdict signé est transmis. Un point qui compte doublement dans un contexte NIS2 + RGPD.

Résultat : au lieu d'un exercice annuel douloureux qu'on repousse, vous avez un historique continu de preuves de restaurabilité, prêt à présenter.

FAQ

NIS2 impose-t-elle explicitement de tester les restaurations ? La directive impose la « gestion des sauvegardes et la reprise des activités » (art. 21(2)(c)) avec des mesures appropriées et proportionnées. Les organismes comme l'ENISA et les guides d'audit considèrent les tests de restauration réguliers et documentés comme la mise en œuvre attendue de cette exigence : une sauvegarde non testée ne démontre pas la capacité de reprise.

Quelles preuves un auditeur NIS2 attend-il sur les sauvegardes ? Typiquement : la politique de sauvegarde documentée, les RTO/RPO par actif critique, les logs d'exécution des sauvegardes, et surtout des rapports de tests de restauration horodatés comparant le temps réel de restauration aux objectifs définis.

Mon entreprise n'est pas dans le périmètre NIS2, suis-je concerné ? Possiblement, par ricochet : l'article 21(2)(d) impose aux entités régulées d'évaluer la sécurité de leur chaîne d'approvisionnement. Si vous êtes fournisseur d'une entité essentielle ou importante, on peut vous demander des garanties — dont la preuve que vos sauvegardes sont restaurables.

Sources à lier : Directive (UE) 2022/2555, article 21 ; guides ENISA sur la mise en œuvre ; ANSSI (transposition française).

NIS2 sauvegardeNIS2 article 21test restauration NIS2conformité NIS2 backuppreuve restauration audit
Early access

Prêt à prouver vos restaurations ?

RestoreProof automatise les tests de restauration et génère des preuves signées cryptographiquement — sans que vos données quittent votre infrastructure.

Rejoindre la liste d'attente Documentation →