Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 32008L0114

Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (Texte présentant de l'intérêt pour l'EEE)

OJ L 345, 23.12.2008, p. 75–82 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 18 Volume 003 P. 172 - 179

In force

ELI: http://data.europa.eu/eli/dir/2008/114/oj

23.12.2008   

FR

Journal officiel de l'Union européenne

L 345/75


DIRECTIVE 2008/114/CE DU CONSEIL

du 8 décembre 2008

concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection

(Texte présentant de l'intérêt pour l'EEE)

LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité instituant la Communauté européenne, et notamment son article 308,

vu la proposition de la Commission,

vu l’avis du Parlement européen (1),

vu l’avis de la Banque centrale européenne (2),

considérant ce qui suit:

(1)

En juin 2004, le Conseil européen a demandé qu’une stratégie globale de protection des infrastructures critiques soit élaborée. En réponse, la Commission a adopté, le 20 octobre 2004, une communication intitulée «Protection des infrastructures critiques dans le cadre de la lutte contre le terrorisme», dans laquelle elle a proposé des mesures en vue de renforcer la prévention, la préparation et la réponse de l’Union européenne face aux attaques terroristes contre des infrastructures critiques.

(2)

Le 17 novembre 2005, la Commission a adopté un Livre vert sur un programme européen de protection des infrastructures critiques, présentant différents scénarios pour la mise en place de ce programme et du réseau d’alerte concernant les infrastructures critiques. Les réponses à ce livre vert ont mis en exergue la valeur ajoutée d’un cadre communautaire en matière de protection des infrastructures critiques. La nécessité de renforcer la capacité de protection des infrastructures critiques en Europe et de réduire les vulnérabilités de ces infrastructures a été reconnue. L’importance des principes clés de subsidiarité, de proportionnalité et de complémentarité ainsi que du dialogue avec les acteurs concernés a été soulignée.

(3)

En décembre 2005, le Conseil «Justice et affaires intérieures» a demandé à la Commission de présenter une proposition de programme européen de protection des infrastructures critiques (EPCIP) et a décidé que ce programme devait être fondé sur une approche tous risques conjuguée avec la priorité donnée à la lutte contre la menace terroriste. Cette approche tient compte des risques d’origine humaine, des menaces technologiques et des catastrophes naturelles dans le processus de protection des infrastructures critiques, mais donne la priorité à la menace terroriste.

(4)

En avril 2007, le Conseil a adopté des conclusions sur l’EPCIP, dans lesquelles il souligne que c’est aux États membres qu’incombe en dernier ressort la gestion de dispositifs de protection des infrastructures critiques sur leur territoire national, tout en se félicitant des efforts déployés par la Commission en vue d’élaborer une procédure à l’échelle européenne aux fins du recensement et de la désignation des infrastructures critiques européennes (ICE) ainsi que de l’évaluation de la nécessité d’améliorer leur protection.

(5)

La présente directive constitue la première étape d’une approche progressive visant à recenser et désigner les ICE, ainsi qu’à évaluer la nécessité d’améliorer leur protection. Cette directive se concentre sur le secteur de l’énergie et sur celui des transports, et devrait être réexaminée en vue d’en évaluer les effets et d’apprécier la nécessité d’inclure d’autres secteurs dans son champ d’application, notamment le secteur des technologies de l’information et de la communication (TIC).

(6)

La responsabilité de la protection des infrastructures critiques européennes incombe essentiellement et en dernier ressort aux États membres et aux propriétaires/opérateurs de ces infrastructures.

(7)

Il existe un certain nombre d’infrastructures critiques dans la Communauté, dont l’arrêt ou la destruction aurait un impact transfrontalier significatif. Il pourrait s’agir d’effets intersectoriels transfrontaliers résultant des dépendances entre infrastructures interconnectées. Il convient de recenser ces ICE et de les désigner comme telles selon une procédure commune. L’évaluation des impératifs de sécurité concernant ces infrastructures devrait être effectuée selon des critères minimaux communs. Les programmes bilatéraux de coopération entre États membres dans le domaine de la protection des infrastructures critiques constituent un moyen bien établi et efficace de protéger les infrastructures critiques transfrontalières. L’EPCIP devrait s’appuyer sur cette forme de coopération. Les informations relatives à la désignation d’une infrastructure donnée comme ICE devraient recevoir un niveau de classification approprié, conformément à la législation communautaire et nationale applicable.

(8)

Dans la mesure où différents secteurs possèdent une expérience, une expertise et des exigences particulières en matière de protection des infrastructures critiques, il convient d’élaborer et de mettre en œuvre une approche communautaire dans ce domaine, en tenant compte des spécificités et des mesures sectorielles existantes, notamment celles en vigueur au niveau communautaire, national ou régional, y compris où il existe déjà des accords transfrontaliers d’assistance mutuelle entre propriétaires/opérateurs d’infrastructures critiques. Compte tenu du rôle très important joué par le secteur privé dans la surveillance et la gestion des risques, la planification de la continuité de l’exploitation et la reprise d’activité après une catastrophe, l’approche communautaire doit encourager une participation pleine et entière de ce secteur.

(9)

En ce qui concerne le secteur de l’énergie, et plus particulièrement les procédés de production et de transport de l’électricité (en ce qui concerne la fourniture d’électricité), il est entendu que, lorsque cela est jugé nécessaire, la production d’électricité peut englober les éléments des centrales nucléaires servant au transport de l’électricité, tout en excluant les éléments strictement nucléaires, qui relèvent de la réglementation pertinente en matière nucléaire, notamment les traités et le droit communautaire.

(10)

La présente directive complète les mesures sectorielles existant au niveau communautaire et dans les États membres. Dans les cas où des mécanismes communautaires sont déjà en place, ils devraient continuer à être utilisés et ainsi à contribuer à la mise en œuvre globale de la présente directive. Il y a lieu d’éviter les doubles emplois, voire les contradictions, entre différents actes ou différentes dispositions.

(11)

Toutes les ICE désignées comme telles devraient être dotées de plans de sécurité d’opérateurs (PSO) ou de mesures équivalentes comportant un recensement des points importants, une évaluation des risques, ainsi que l’identification, la sélection et le classement par ordre de priorité des contre-mesures et des procédures. Afin d’éviter des travaux inutiles ou les doubles emplois, chaque État membre devrait en premier lieu établir si les propriétaires/opérateurs d’ICE désignées comme telles disposent de PSO ou de mesures similaires. En l’absence de tels plans, chaque État membre devrait prendre les dispositions nécessaires afin que des mesures appropriées soient prévues. Il appartient à chaque État membre de décider de la forme d’action la plus opportune en ce qui concerne l’établissement de PSO.

(12)

Les mesures, principes et orientations, y compris des mesures communautaires, ainsi que les programmes de coopération bilatéraux et/ou multilatéraux qui prévoient un plan similaire ou équivalent à un PSO ou la présence d’un correspondant pour la sécurité ou d’une personne ayant une fonction équivalente, devraient être réputés satisfaire aux obligations imposées par la présente directive en ce qui concerne respectivement le PSO ou la présence d’un correspondant pour la sécurité.

(13)

Des correspondants pour la sécurité devraient être désignés pour chaque ICE désignée comme telle afin de faciliter la coopération et la communication avec les autorités nationales compétentes en matière de protection des infrastructures critiques. Afin d’éviter des travaux inutiles ou les doubles emplois, chaque État membre devrait en premier lieu établir si les propriétaires/opérateurs d’ICE désignées comme telles disposent déjà d’un correspondant pour la sécurité ou d’un équivalent. En l’absence d’un correspondant, chaque État membre devrait prendre les dispositions nécessaires afin que des mesures appropriées soient prévues. Il appartient à chaque État membre de décider de la forme d’action la plus opportune en ce qui concerne la désignation de correspondants pour la sécurité.

(14)

Une détermination efficace des risques, des menaces et des vulnérabilités dans les différents secteurs exige une communication à la fois entre les propriétaires ou opérateurs d’ICE et les États membres, et entre les États membres et la Commission. Chaque État membre devrait recueillir des informations sur les ICE qui se trouvent sur son territoire. La Commission devrait recevoir des informations génériques des États membres sur les risques, menaces et vulnérabilités qui existent dans les secteurs où ont été recensées des ICE, y compris, le cas échéant, des informations sur les améliorations pouvant éventuellement être apportées aux ICE et les éventuelles dépendances intersectorielles, qui pourraient au besoin servir de base à l’élaboration de propositions spécifiques de la Commission en vue d’améliorer la protection des ICE.

(15)

Afin de faciliter l’amélioration de la protection des ICE, des méthodes communes de recensement et de désignation des risques, menaces et vulnérabilités touchant les points d’infrastructure peuvent être définies.

(16)

Il y a lieu de donner aux propriétaires/opérateurs d’ICE accès, principalement par l’intermédiaire des autorités compétentes des États membres, aux bonnes pratiques et méthodes en matière de protection des infrastructures critiques.

(17)

Une protection efficace des ICE exige une communication, une coordination et une coopération au niveau national et au niveau communautaire. Le meilleur moyen d’y parvenir consiste à désigner des points de contact pour la protection des infrastructures critiques européennes (ci-après dénommés «points de contact PICE»), dans chaque État membre, chargés de coordonner les questions européennes liées à la protection de ces infrastructures au niveau national, ainsi qu’avec les autres États membres et la Commission.

(18)

Afin de développer les mesures de protection des infrastructures critiques européennes dans les domaines qui requièrent un certain degré de confidentialité, il convient de veiller à ce qu’un échange d’informations cohérent et sûr s’effectue dans le cadre de la présente directive. Il est important que les règles de confidentialité prévues par le droit national applicable ou le règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (3) soient appliquées aux informations spécifiques sur des points d’infrastructure critique qui pourraient être utilisées pour planifier et mettre en œuvre des actions visant à entraîner des conséquences inacceptables pour les installations concernées. Les informations classifiées devraient être protégées conformément à la législation communautaire et nationale applicable. Chaque État membre et la Commission devraient respecter la classification de sécurité attribuée à un document par son émetteur.

(19)

Le partage des informations sur les ICE devrait s’effectuer dans un climat de confiance et de sécurité. Le partage des informations exige en effet une relation de confiance dans laquelle les entreprises et organisations savent que leurs données sensibles et confidentielles seront suffisamment protégées.

(20)

Étant donné que les objectifs de la présente directive, à savoir l’instauration d’une procédure de recensement et de désignation des ICE et la définition d’une approche commune pour évaluer la nécessité d’améliorer la protection de ces infrastructures, ne peuvent pas être réalisés de manière suffisante par les États membres et peuvent donc, en raison des dimensions de l’action, être mieux réalisés au niveau communautaire, la Communauté peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité. Conformément au principe de proportionnalité tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(21)

La présente directive respecte les droits fondamentaux et observe les principes reconnus notamment par la charte des droits fondamentaux de l’Union européenne,

A ARRÊTÉ LA PRÉSENTE DIRECTIVE:

Article premier

Objet

La présente directive établit une procédure de recensement et de désignation des infrastructures critiques européennes, ci-après dénommées «ICE», ainsi qu’une approche commune pour évaluer la nécessité d’améliorer leur protection, afin de contribuer à la protection des personnes.

Article 2

Définitions

Aux fins de la présente directive, on entend par:

a)

«infrastructure critique»: un point, système ou partie de celui-ci, situé dans les États membres, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l’arrêt ou la destruction aurait un impact significatif dans un État membre du fait de la défaillance de ces fonctions;

b)

«infrastructure critique européenne» ou «ICE»: une infrastructure critique située dans les États membres dont l’arrêt ou la destruction aurait un impact considérable sur deux États membres au moins. L’importance de cet impact est évaluée en termes de critères intersectoriels. Cela inclut les effets résultant des dépendances intersectorielles par rapport à d’autres types d’infrastructures;

c)

«analyse de risques»: examen des scénarios de menace pertinents destiné à évaluer les vulnérabilités d’infrastructures critiques et les impacts potentiels de leur arrêt ou destruction;

d)

«informations sensibles relatives à la protection des infrastructures critiques»: les informations sur une infrastructure critique qui, en cas de divulgation, pourraient être utilisées pour planifier et mettre en œuvre des actions visant à provoquer l’arrêt ou la destruction d’installations d’infrastructures critiques;

e)

«protection»: l’ensemble des activités visant à garantir le bon fonctionnement, la continuité et l’intégrité d’une infrastructure critique afin de prévenir, d’atténuer ou de neutraliser une menace, un risque ou une vulnérabilité;

f)

«propriétaires/opérateurs d'ICE»: les entités responsables des investissements relatifs à / de la gestion quotidienne d’un point, d’un système ou d’une partie de celui-ci, désigné comme ICE en vertu de la présente directive.

Article 3

Recensement des ICE

1.   Conformément à la procédure prévue à l’annexe III, chaque État membre recense les ICE potentielles qui satisfont à la fois aux critères intersectoriels et sectoriels et qui répondent aux définitions énoncées à l’article 2, points a) et b).

La Commission peut, à leur demande, aider les États membres à recenser les ICE potentielles.

La Commission peut attirer l’attention des États membres concernés sur l’existence d’infrastructures critiques potentielles dont on pourrait considérer qu’elles satisfont aux critères pour être désignées comme ICE.

Il appartiendra à chaque État membre et à la Commission de poursuivre en permanence le recensement des ICE potentielles.

2.   Les critères intersectoriels visés au paragraphe 1er sont notamment les suivants:

a)

le nombre de victimes (nombre potentiel de morts ou de blessés);

b)

l’incidence économique (ampleur des pertes économiques et/ou de la dégradation de produits ou de services, y compris l’incidence potentielle sur l’environnement);

c)

incidence sur la population (incidence sur la confiance de la population, souffrances physiques et perturbation de la vie quotidienne, y compris disparition de services essentiels).

Les seuils des critères intersectoriels sont fondés sur la gravité de l’impact de l’arrêt ou de la destruction d’une infrastructure donnée. Les seuils précis applicables aux critères intersectoriels sont établis au cas par cas par les États membres concernés par une infrastructure critique donnée. Chaque État membre notifie chaque année à la Commission le nombre d’infrastructures par secteur pour lesquelles les seuils relatifs aux critères intersectoriels ont fait l’objet de discussions.

Les critères sectoriels tiennent compte des caractéristiques des différents secteurs d’ICE.

La Commission élabore, avec les États membres, des lignes directrices concernant l’application des critères intersectoriels et sectoriels et des seuils approximatifs à utiliser pour recenser les ICE. Ces critères font l’objet d’une classification. L’utilisation de telles lignes directrices est laissée à l’appréciation des États membres.

3.   Les secteurs retenus pour la mise en œuvre de la présente directive sont ceux de l’énergie et des transports. Les sous-secteurs sont répertoriés à l’annexe I.

À l’occasion du réexamen de la présente directive prévu à l’article 11, de nouveaux secteurs peuvent, si cela s’avère opportun, être retenus pour la mise en œuvre de la présente directive. Il y a lieu d’accorder la priorité au secteur TIC.

Article 4

Désignation des ICE

1.   Chaque État membre informe les autres États membres susceptibles d’être affectés considérablement par une ICE potentielle de l’existence de cette infrastructure et des raisons de sa désignation en tant qu’ICE potentielle.

2.   Chaque État membre sur le territoire duquel est située une ICE potentielle engage des discussions bilatérales et/ou multilatérales avec les États membres susceptibles d’être affectés considérablement par ladite ICE potentielle. La Commission peut prendre part à ces discussions mais elle n’aura pas accès aux informations précises qui permettraient d’identifier sans équivoque une infrastructure déterminée.

Un État membre qui a des raisons de croire qu’il pourrait être affecté considérablement par une ICE potentielle mais qui n’a pas été identifiée comme telle par l’État membre sur le territoire duquel cette infrastructure est située peut faire part à la Commission de son souhait d’engager des discussions bilatérales et/ou multilatérales sur ce sujet. La Commission communique sans tarder ce souhait à l’État membre sur le territoire duquel l’ICE potentielle est située et œuvre pour faciliter un accord entre les parties.

3.   L’État membre sur le territoire duquel se situe une ICE potentielle la désigne en tant qu’ICE après accord entre cet État membre et les États membres qui sont susceptibles d’être affectés considérablement par l’infrastructure.

L’accord de l’État membre sur le territoire duquel se situe l’infrastructure à désigner comme ICE est requis.

4.   L’État membre sur le territoire duquel se situe une ICE désignée comme telle informe chaque année la Commission du nombre d’ICE désignées comme telles par secteur et du nombre d’États membres concernés par chacune d’entre elles. Seuls les États membres qui sont susceptibles d’être affectés considérablement par une ICE sont en possession des informations permettant de l’identifier.

5.   L’État membre sur le territoire duquel l’ICE est située informe le propriétaire/opérateur de l’infrastructure de la désignation de celle-ci comme ICE. Les informations relatives à la désignation d’une infrastructure comme ICE reçoivent un niveau de classification approprié.

6.   Le processus de recensement et de désignation des ICE en application de l’article 3 et du présent article est mené à terme au plus tard le 12 janvier 2011 et fait l’objet d’un réexamen régulier.

Article 5

Plans de sécurité d’opérateur

1.   La procédure d’élaboration du plan de sécurité d’opérateur, ci-après dénommé «PSO», recense les différents points de l’ICE, ainsi que les mesures de sécurité appliquées ou en cours de mise en œuvre pour leur protection. Le contenu minimum d’un PSO ICE est exposé à l’annexe II.

2.   Chaque État membre apprécie si chaque infrastructure classée comme ICE établie sur son territoire est dotée d’un PSO ou a mis en place des mesures équivalentes répondant aux points figurant à l’annexe II. Si un État membre estime qu’un PSO ou une mesure équivalente existe et est mis à jour régulièrement, aucune autre mesure d’exécution n’est nécessaire.

3.   Si un État membre constate qu’un PSO ou une mesure équivalente n’a pas été élaboré, il prend toutes les dispositions qu’il juge appropriées pour que soit établi un tel PSO ou un plan équivalent répondant aux points figurant à l’annexe II.

Chaque État membre s’assure qu’un PSO ou une mesure équivalente est établi et que, dans un délai d’un an à compter de la désignation de l’infrastructure critique comme ICE, il fait l’objet d’un réexamen. Ce délai peut être prorogé dans des circonstances exceptionnelles, avec l’accord de l’autorité compétente de l’État membre et avec notification à la Commission.

4.   Lorsque des dispositions en matière de vérification ou de surveillance sont déjà applicables à une ICE, ces dispositions ne sont pas affectées par le présent article, et la surveillance prévue par ces dispositions est assurée par l’autorité compétente de l’État membre visée au présent article.

5.   Dès lors que des mesures, y compris des mesures communautaires, qui, dans un secteur déterminé, exigent un plan similaire ou équivalent à un PSO et le contrôle de ce plan par l’autorité compétente, ou font référence à la nécessité de disposer d’un tel plan et d’exercer un tel contrôle, sont respectées, toutes les obligations incombant aux États membres en vertu du présent article ou adoptées en application de celui-ci, sont également réputées respectées. Les lignes directrices relatives à la mise en œuvre visées à l’article 3, paragraphe 2, comportent une liste indicative de ces mesures.

Article 6

Correspondants pour la sécurité

1.   Le correspondant pour la sécurité exerce la fonction de point de contact pour les questions liées à la sécurité entre le propriétaire/opérateur de l’ICE et l’autorité compétente de l’État membre.

2.   Chaque État membre apprécie si chaque infrastructure classée comme ICE établie sur son territoire est dotée d’un correspondant pour la sécurité ou d’un équivalent. Si un État membre constate qu’un tel correspondant pour la sécurité est en place ou qu’une fonction équivalente existe, aucune autre mesure d’exécution n’est nécessaire.

3.   Si un État membre constate que, pour une ICE désignée comme telle, il n’y a pas de correspondant pour la sécurité ou d’équivalent, il prend toutes les dispositions qu’il juge appropriées pour qu’un tel correspondant ou personne exerçant une fonction équivalente soit désigné.

4.   Chaque État membre met en œuvre un mécanisme de communication approprié entre l’autorité compétente de l’État membre et le correspondant pour la sécurité ou la personne occupant un poste équivalent, dans le but d’échanger les informations utiles concernant les risques et les menaces identifiés qui pèsent sur l’ICE concernée. Ce mécanisme de communication s’exerce sans préjudice des obligations nationales applicables en matière d’accès aux informations sensibles et classifiées.

5.   Dès lors que des mesures, y compris des mesures communautaires, qui, dans un secteur déterminé, exigent la présence d’un correspondant pour la sécurité ou d’un poste équivalent, ou font référence à la nécessité d’une telle présence, sont respectées, toutes les obligations incombant aux États membres en vertu du présent article ou adoptées en application de celui-ci, sont également réputées respectées. Les lignes directrices relatives à la mise en œuvre, visées à l’article 3, paragraphe 2, comportent une liste indicative de ces mesures.

Article 7

Rapports

1.   Chaque État membre réalise une évaluation de la menace pesant sur les sous-secteurs d’ICE dans un délai d’un an à compter de la désignation d’une infrastructure critique située sur son territoire comme ICE au sein de ces sous-secteurs.

2.   Chaque État membre présente à la Commission, tous les deux ans, des données génériques synthétisées sur les types de risques, menaces et vulnérabilités rencontrés dans chacun des secteurs d’ICE comptant une ICE désignée comme telle, conformément à l’article 4, et située sur son territoire.

Un modèle commun de rapport peut être élaboré par la Commission, en coopération avec les États membres.

Chaque rapport reçoit le niveau de classification jugé nécessaire par l’État membre qui l’a émis.

3.   Sur la base du rapport visé au paragraphe 2, la Commission et les États membres apprécient secteur par secteur s’il y a lieu d’envisager des mesures de protection supplémentaires au niveau communautaire pour les infrastructures critiques européennes. Ce processus d’évaluation se déroule à l’occasion du réexamen de la présente directive prévu à l’article 11.

4.   Des lignes directrices communes pour les méthodes d’analyse des risques touchant les ICE peuvent être élaborées par la Commission, en coopération avec les États membres. L’utilisation de telles lignes directrices est laissée à l’appréciation des États membres.

Article 8

Soutien de la Commission aux ICE

La Commission soutient, par l’intermédiaire de l’autorité compétente de l’État membre, les propriétaires ou opérateurs d’ICE désignées comme telles en leur donnant accès aux bonnes pratiques et méthodes existantes ainsi qu’en facilitant la formation et l’échange d’informations sur les nouvelles évolutions techniques liées à la protection des infrastructures critiques.

Article 9

Informations sensibles relatives à la protectiondes infrastructures critiques européennes

1.   Toute personne traitant des informations classifiées en application de la présente directive pour le compte d’un État membre ou de la Commission est soumise à une enquête de sûreté adéquate.

Les États membres, la Commission et les instances de surveillance compétentes veillent à ce que les informations sensibles relatives à la protection des infrastructures critiques européennes communiquées à d’autres États membres ou à la Commission ne soient pas utilisées à d’autres fins que la protection de ces infrastructures.

2.   Le présent article s’applique aussi aux informations échangées oralement durant les réunions au cours desquelles des questions sensibles sont examinées.

Article 10

Points de contact pour la protectiondes infrastructures critiques européennes

1.   Chaque État membre désigne un point de contact pour la protection des infrastructures critiques européennes (ci-après dénommé «point de contact PICE»).

2.   Ce point de contact PICE coordonne les questions liées à la protection des infrastructures critiques européennes tant à l’intérieur de l’État membre qu’avec les autres États membres et la Commission. La désignation d’un point de contact PICE ne fait pas obstacle à ce que d’autres autorités d’un État membre soient associées aux questions relatives à la protection des infrastructures critiques européennes.

Article 11

Réexamen

Un réexamen de la présente directive commencera le 12 janvier 2012.

Article 12

Mise en œuvre

Les États membres adoptent les dispositions nécessaires pour se conformer à la présente directive au plus tard le 12 janvier 2011. Ils en informent immédiatement la Commission et lui communiquent le texte de ces dispositions ainsi qu’un tableau de correspondance entre celles-ci et la présente directive.

Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

Article 13

Entrée en vigueur

La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Article 14

Destinataires

Les États membres sont destinataires de la présente directive.

Fait à Bruxelles, le 8 décembre 2008.

Par le Conseil

Le président

B. KOUCHNER


(1)  Avis du Parlement européen du 10 juillet 2007 (non encore paru au Journal officiel).

(2)  JO C 116 du 26.5.2007, p. 1.

(3)  JO L 145 du 31.5.2001, p. 43.


ANNEXE I

Liste des secteurs d’ICE

Secteur

Sous-secteurs

I

Énergie

1.

Électricité

Infrastructures et installations permettant la production et le transport d’électricité, en ce qui concerne la fourniture d’électricité

2.

Pétrole

Production pétrolière, raffinage, traitement, stockage et distribution par oléoducs

3.

Gaz

Production gazière, raffinage, traitement, stockage et distribution par gazoducs

Terminaux GNL

II

Transports

4.

Transports par route

5.

Transport ferroviaire

6.

Transport aérien

7.

Navigation intérieure

8.

Transport hauturier et transport maritime à courte distance (cabotage) et ports

Le recensement des infrastructures critiques pouvant être désignées comme ICE est effectué par les États membres conformément à l’article 3. Par conséquent, la liste des secteurs d’infrastructures ne génère pas en soi une obligation générale de désigner une ICE dans chaque secteur.


ANNEXE II

PROCÉDURE D’ÉLABORATION DU PSO ICE

Le PSO recense les points de l’infrastructure critique, ainsi que les mesures de sécurité appliquées ou en cours de mise en œuvre pour leur protection. La procédure d’élaboration du PSO ICE comprendra au moins:

1.

le recensement des points d’infrastructure importants;

2.

la conduite d’une analyse de risques fondée sur les principaux scénarios de menace, les vulnérabilités de chaque point d’infrastructure et les impacts potentiels, et

3.

l’identification, la sélection et la désignation par ordre de priorité des contre-mesures et des procédures en établissant une distinction entre:

les mesures de sécurité permanentes, qui précisent les investissements et les moyens nécessaires en matière de sûreté qui sont susceptibles d’être utilisés en toutes circonstances. Cette catégorie contiendra des informations relatives aux mesures générales, par exemple les mesures techniques (y compris l’installation de moyens de détection, de contrôle d’accès, de protection et de prévention), aux mesures de nature organisationnelle (y compris des procédures d’alerte et de gestion de crise), aux mesures de contrôle et de vérification; aux communications; à la sensibilisation et à la formation, ainsi qu’à la sécurité des systèmes d’information;

des mesures de sécurité graduées, qui peuvent être déclenchées en fonction de différents niveaux de menace.


ANNEXE III

Procédure applicable en ce qui concerne le recensement par les États membres des infrastructures critiques pouvant être désignées parmi les ICE au titre de l’article 3

L’article 3 exige que chaque État membre recense les infrastructures critiques pouvant être désignées comme ICE. Cette procédure est mise en œuvre par chaque État membre en respectant la série d’étapes consécutives reprises ci-après.

L’ICE potentielle qui ne satisfait pas aux exigences de l’une des étapes successives ci-après est considérée comme «non ICE» et est exclue de la procédure. L’ICE potentielle qui répond aux définitions est soumise aux étapes suivantes de la présente procédure.

Étape 1

Chaque État membre applique les critères sectoriels afin d’opérer une première sélection parmi les infrastructures critiques existant au sein d’un secteur.

Étape 2

Chaque État membre applique la définition des infrastructures critiques visée à l’article 2, point a), à l’ICE potentielle recensée lors de l’étape 1.

La gravité de l’impact sera déterminée par application des méthodes nationales de recensement des infrastructures critiques ou sur la base des critères intersectoriels, à l’échelon national approprié. En ce qui concerne les infrastructures qui offrent un service essentiel, il sera tenu compte de l’existence de solutions de remplacement ainsi que de la durée de l’arrêt/de la reprise d’activité.

Étape 3

Chaque État membre applique l’élément transfrontalier de la définition d’ICE visée à l’article 2, point b), à l’ICE potentielle qui a franchi les deux premières étapes de la procédure. Si l’ICE potentielle répond à la définition, elle est soumise à l’étape suivante de la procédure. En ce qui concerne les infrastructures qui offrent un service essentiel, il sera tenu compte de l’existence de solutions de remplacement ainsi que de la durée de l’arrêt/de la reprise d’activité.

Étape 4

Chaque État membre applique les critères intersectoriels aux ICE potentielles restantes. Les critères intersectoriels tiennent compte des éléments suivants: la gravité de l’impact et, pour les infrastructures qui offrent un service essentiel, l’existence de solutions de remplacement, ainsi que la durée de l’arrêt/de la reprise d’activité. Les ICE potentielles qui ne répondent pas aux critères intersectoriels ne seront pas considérées comme étant des ICE.

L’identification des ICE potentielles qui franchissent toutes les étapes de cette procédure n’est communiquée qu’aux États membres susceptibles d’être affectés considérablement par lesdites infrastructures.


Top