Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

Rendre les entités critiques plus résilientes

 

SYNTHÈSE DU DOCUMENT:

Directive 2022/2557 sur la résilience des entités critiques

QUEL EST L’OBJET DE CETTE DIRECTIVE?

La directive vise à:

  • réduire les vulnérabilités et renforcer la résilience* physique des entités critiques dans l’Union européenne (UE) afin d’assurer la prestation sans entrave de services essentiels à l’économie et à la société dans son ensemble;
  • accroître la résilience des entités critiques qui fournissent ces services.

POINTS CLÉS

Les États membres de l’UE doivent, à la suite d’une évaluation des risques, identifier les entités critiques qui fournissent des services essentiels au maintien des fonctions vitales à la société, à l’économie, à la santé et à la sécurité publiques ou à l’environnement, et les cas dans lesquels un incident perturberait de manière importante ces services essentiels. Cela couvre les entités des secteurs suivants:

  • l’énergie, y compris les exploitants d’électricité, des réseaux de chaleur, de pétrole, de gaz et d’hydrogène;
  • le transport aérien, ferroviaire, fluvial et routier, y compris les transports publics;
  • la banque, qui est également soumise au règlement (UE) 2022/2554 (règlement sur la résilience opérationnelle numérique — voir la synthèse);
  • les infrastructures des marchés financiers, y compris les plateformes de négociation, également soumises au règlement sur la résilience opérationnelle numérique;
  • la santé, y compris les prestataires de soins de santé, les fabricants de produits pharmaceutiques de base et de dispositifs critiques, ainsi que la recherche et le développement de médicaments;
  • les fournisseurs et distributeurs d’eau potable;
  • l’élimination et le traitement des eaux usées;
  • les infrastructures numériques, y compris les services de communications électroniques et les centres de données, qui sont également soumis à la directive (UE) 2022/2555 (voir la synthèse);
  • les entités de l’administration publique au niveau des pouvoirs publics centraux, à l’exclusion de la sécurité nationale, de la sécurité publique, de la défense et de l’application de la loi;
  • les exploitants spatiaux d’infrastructures au sol; et
  • les entreprises du secteur alimentaire qui exercent exclusivement des activités de logistique et de distribution en gros ainsi que de production et de transformation industrielles à grande échelle.

Il convient de noter que certaines parties de la directive ne s’appliquent pas aux entités des secteurs de la banque, des infrastructures des marchés financiers et des infrastructures numériques.

Chaque État membre doit:

  • adopter une stratégie nationale et procéder à des évaluations régulières des risques;
  • en tenant compte des résultats des évaluations des risques, identifier les entités qui se fient aux infrastructures critiques pour fournir des services essentiels à la société, à l’économie, à la santé et à la sécurité publiques ou à l’environnement;
  • aider les entités critiques identifiées à renforcer leur résilience avec, par exemple, des documents d’orientation, des exercices, des conseils et des formations;
  • veiller à ce que les autorités nationales disposent des pouvoirs, des ressources et des moyens nécessaires pour réaliser leurs missions de surveillance, y compris mener des inspections sur place des entités critiques et introduire des sanctions en cas de non-respect dans le cadre d’un mécanisme d’exécution;
  • préciser les conditions dans lesquelles une entité critique peut soumettre des demandes de vérification des antécédents du personnel occupant des fonctions sensibles.

Les États membres doivent identifier les entités critiques des secteurs et sous-secteurs mentionnés à l’annexe de la directive au plus tard le 17 juillet 2026.

Les entités critiques doivent:

  • procéder à des évaluations des risques elles-mêmes pour identifier les risques qui pourraient perturber leur capacité à fournir des services essentiels;
  • prendre des mesures techniques, de sécurité et organisationnelles pour renforcer leur résilience;
  • communiquer les incidents de perturbation importants aux autorités nationales.

Si des entités critiques fournissent des services essentiels dans ou à six États membres ou plus, elles pourraient bénéficier de conseils supplémentaires sous la forme de missions de conseil qui procèdent à l’évaluation des risques et des mesures de renforcement de la résilience que l’entité a mises en place.

Acte délégué

La Commission européenne a adopté le règlement délégué (UE) 2023/2450, établissant une liste non exhaustive des services essentiels dans les secteurs et sous-secteurs susmentionnés. Les autorités compétentes des États membres utilisent cette liste aux fins de l’évaluation des risques, et l’évaluation des risques doit ensuite être utilisée pour identifier les entités critiques.

Le groupe sur la résilience des entités critiques facilite la coopération entre les États membres, y compris l’échange d’informations et de bonnes pratiques.

La Commission fournit un soutien, notamment sur les risques transsectoriels, les bonnes pratiques, les méthodologies, la formation transfrontalière et les exercices visant à évaluer la résilience des entités critiques.

DEPUIS QUAND CES RÈGLES S’APPLIQUENT-ELLES?

La directive doit être transposée dans le droit national au plus tard le 17 octobre 2024. Ces règles devraient s’appliquer à compter du 18 octobre 2024.

CONTEXTE

La stratégie de l’UE pour l’union de la sécurité et le programme de lutte antiterroriste pour l’UE de la Commission soulignent l’importance d’assurer la résilience des entités critiques face aux risques physiques et numériques.

Cette directive fait partie d’un train de mesures législatives visant à améliorer la résilience et la capacité de réaction aux incidents des entités publiques et privées de l’UE dans les domaines de la cybersécurité et de la protection des infrastructures critiques.

Le Conseil a également publié une recommandation sur une approche coordonnée à l’échelle de l’UE afin de renforcer la résilience des infrastructures critiques en janvier 2023.

Pour de plus amples informations, veuillez consulter:

TERMES CLÉS

Résilience. La capacité à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir, qui peut notamment être causé par des catastrophes naturelles telles que des urgences de santé publique ou des menaces d’origine humaine telles que le terrorisme, le sabotage ou les menaces hybrides. Les menaces hybrides surviennent lorsque des acteurs étatiques ou non étatiques cherchent à exploiter les vulnérabilités des infrastructures critiques en utilisant de manière coordonnée un mélange de mesures (p. ex. diplomatiques, militaires, économiques, technologiques) tout en restant en dessous du seuil de guerre formelle, par exemple, des campagnes de désinformation de masse qui entravent le processus démocratique lors des élections.

DOCUMENT PRINCIPAL

Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (JO L 333 du 27.12.2022, p. 164-198).

DOCUMENTS LIÉS

Règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels (JO L 2023/2450 du 30.10.2023).

Recommandation du Conseil du 8 décembre 2022 relative à une approche coordonnée à l’échelle de l’Union pour renforcer la résilience des infrastructures critiques (JO C 20 du 20.1.2023, p. 1-11).

Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1-79).

Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80-152).

Communication de la Commission au Parlement européen, au Conseil européen, au Conseil, au Comité économique et social européen et au Comité des régions — Programme de lutte antiterroriste pour l’UE: anticiper, prévenir, protéger et réagir [COM(2020) 795 final du 9.12.2020].

Communication de la Commission au Parlement européen, au Conseil européen, au Conseil, au Comité économique et social européen et au Comité des régions relative à la stratégie de l’UE pour l’union de la sécurité [COM(2020) 605 final du 24.7.2020].

Directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l’électricité et modifiant la directive 2012/27/UE (refonte) (JO L 158 du 14.6.2019, p. 125-199).

Les modifications successives de la directive (UE) 2019/944 ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.

Règlement (UE) 2019/943 du Parlement européen et du Conseil du 5 juin 2019 sur le marché intérieur de l’électricité (refonte) (JO L 158 du 14.6.2019, p. 54-124).

Voir la version consolidée.

Règlement (UE) 2019/941 du Parlement européen et du Conseil du 5 juin 2019 sur la préparation aux risques dans le secteur de l’électricité et abrogeant la directive 2005/89/CE (JO L 158 du 14.6.2019, p. 1-21).

Directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l’utilisation de l’énergie produite à partir de sources renouvelables (refonte) (JO L 328 du 21.12.2018, p. 82-209)

Voir la version consolidée.

Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6-21).

Règlement (UE) 2017/1938 du Parlement européen et du Conseil du 25 octobre 2017 concernant des mesures visant à garantir la sécurité de l’approvisionnement en gaz naturel et abrogeant le règlement (UE) no 994/2010 (JO L 280 du 28.10.2017, p. 1-56).

Voir la version consolidée.

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88).

Voir la version consolidée.

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89-131).

Voir la version consolidée.

Directive 2012/18/UE du Parlement européen et du Conseil du 4 juillet 2012 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses, modifiant puis abrogeant la directive 96/82/CE du Conseil (JO L 197 du 24.7.2012, p. 1-37).

Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12-33).

Voir la version consolidée.

Directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE (JO L 211 du 14.8.2009, p. 94-136).

Voir la version consolidée.

Directive 2007/60/CE du Parlement européen et du Conseil du 23 octobre 2007 relative à l’évaluation et à la gestion des risques d’inondation (JO L 288 du 6.11.2007, p. 27-34).

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37-47).

Voir la version consolidée.

dernière modification 19.02.2024

Top