This document is an excerpt from the EUR-Lex website
Document 52019DC0546
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL assessing the consistency of the approaches taken by Member States in the identification of operators of essential services in accordance with Article 23(1) of Directive 2016/1148/EU on security of network and information systems
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL évaluant la cohérence de l'approche adoptée par les États membres pour identifier les opérateurs de services essentiels conformément à l’article 23, paragraphe 1 de la directive 2016/1148/UE concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL évaluant la cohérence de l'approche adoptée par les États membres pour identifier les opérateurs de services essentiels conformément à l’article 23, paragraphe 1 de la directive 2016/1148/UE concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union
COM/2019/546 final
COMMISSION EUROPÉENNE
Bruxelles, le 28.10.2019
COM(2019) 546 final
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL
évaluant la cohérence de l'approche adoptée par les États membres pour identifier les opérateurs de services essentiels conformément à l’article 23, paragraphe 1 de la directive 2016/1148/UE concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union
1.Introduction
La directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union 1 (directive SRI) est le premier instrument du marché intérieur visant à améliorer la résilience de l’Union européenne contre les risques liés à la cybersécurité. S’appuyant sur l’article 114 du traité de fonctionnement de l’Union européenne, la directive vise à garantir la continuité de services permettant le bon fonctionnement de l’économie de l’Union européenne et de la société. Elle introduit à cet effet des mesures concrètes destinées à renforcer les capacités en matière de cybersécurité dans toute l’Union et à atténuer les menaces croissantes qui pèsent sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés.
Après l'entrée en vigueur de la directive SRI en août 2016, les États membres avaient jusqu’au 9 mai 2018 2 pour adopter les mesures nationales nécessaires au respect de ses dispositions. La directive promeut une culture de gestion des risques dans les entreprises ou autres entités qui fournissent des services essentiels, lesquelles sont définies, conformément à l’article 5, comme «opérateurs de services essentiels» (ci-après «OES»). Les opérateurs qui relèvent du champ d’application de la directive sont tenus de prendre des mesures techniques et organisationnelles appropriées et proportionnées afin de gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information et de signaler les incidents graves aux autorités compétentes.
Les colégislateurs ont délégué la mise en œuvre de la directive SRI aux États membres, qui sont censés définir les services essentiels et identifier les opérateurs de services essentiels sur leur territoire. L’article 5, paragraphe 7, de la directive exige ainsi des États membres qu’ils communiquent les résultats de cette identification à la Commission. Pour que la notification soit coordonnée, la Commission 3 et le groupe de coopération établi par la directive 4 ont prodigué des conseils aux États membres sur le processus d’identification.
Conformément à l’article 23, paragraphe 1, le présent rapport évalue la cohérence des approches adoptées par les États membres pour identifier les opérateurs de services essentiels. La cohérence de l’identification des OES et le risque de fragmentation du marché intérieur dans ce domaine étant étroitement liés, ce rapport contribuera également à l’évaluation plus générale de la directive SRI, au titre de l’article 23, paragraphe 2, qui prévoit que la Commission réexamine périodiquement le fonctionnement global de la directive et évalue la liste des secteurs et sous-secteurs dans lesquels sont identifiés des OES et les types de services numériques couverts par la directive. Le premier rapport de ce type doit être présenté avant le 9 mai 2021.
1.1Objet du rapport
En raison du rôle important qu’ils jouent dans l’économie et la société dans son ensemble, les opérateurs de services essentiels doivent faire preuve d’un niveau particulièrement élevé de résilience contre les cyberincidents. À cet égard, la cohérence de l’approche des États membres concernant l’identification desdits opérateurs importe pour plusieurs raisons:
1.Diminuer les risques de dépendances transfrontalières
L’absence de cohérence dans l’identification de grands opérateurs qui fournissent des services transfrontaliers peut entraîner des degrés inégaux de cyber-résilience entre les différents États membres, ce qui augmente le risque qu’un incident transfrontalier mette à mal des infrastructures vitales ou cause la mort de plusieurs citoyens 5 . Par exemple, les exploitants de transport d’énergie ou les registres de domaine de premier niveau (DPN), qui figurent tous deux sur la liste des types d’entités visées à l’annexe II, sont des entités qui tirent le meilleur parti possible du marché intérieur en fournissant des services transfrontaliers aux consommateurs et aux entreprises. Une identification cohérente de ces fournisseurs dans l’ensemble de l’Union pourrait dès lors contribuer à prévenir la propagation de cybermenaces à l’ensemble du marché intérieur 6 .
2.Garantir des conditions de concurrence équitables pour les opérateurs sur le marché intérieur
La directive SRI impose aux États membres d’établir des exigences en matière de sécurité et des procédures de notification d’incidents destinées aux opérateurs de services essentiels. Dès lors que la directive suit un principe d’harmonisation minimale à l’égard des opérateurs de services essentiels, les États membres sont libres d’imposer aux opérateurs des exigences plus strictes que celles prévues dans la directive. Tout en renforçant la résilience des États membres, de telles mesures peuvent engendrer des coûts réglementaires supplémentaires pour les opérateurs concernés. Il importe donc que les opérateurs qui offrent des services similaires d’importance similaire soient soumis au même traitement réglementaire.
3.Diminuer le risque d’interprétations divergentes de la directive
La directive a été conçue de façon à ménager une marge de manœuvre aux États membres concernant la sélection des entités concernées afin de tenir compte des spécificités nationales. Cependant, avec ce type d'approche, le risque de divergences dans la mise en œuvre des dispositions de la directive s'accroît, ce qui peut éventuellement conduire à des incohérences entre les mesures adoptées par les États membres. Cet aspect revêt une importance particulière pour les entreprises dont l’activité s’étend sur plusieurs pays et qui doivent par conséquent respecter les exigences réglementaires de plusieurs États membres.
4.Développer une vue d’ensemble globale du degré de cyber-résilience dans toute l’Union
Les opérateurs de services essentiels font l'objet d'une supervision visant à vérifier la mise en œuvre effective des politiques de sécurité ainsi que la notification des incidents graves. Cette supervision encourage la consolidation de la coopération public-privé et aboutit au développement de connaissances communes sur la préparation en matière de cybersécurité au sein d’un État membre. Grâce au groupe de coopération, le partage de l’expérience nationale, y compris les informations relatives aux incidents notifiés 7 , peut être agrégé au niveau de l’Union européenne et permettre d'évaluer plus précisément les principales menaces et les principaux besoins. Pour être efficace, cet exercice de partage d’informations devrait néanmoins reposer sur une conception commune des entités à identifier comme des opérateurs de services essentiels.
1.2Procédure d’identification au titre de la directive SRI
Une liste des sept secteurs et de leurs sous-secteurs respectifs ainsi que des types d’entités pertinentes pour le processus d’identification figure à l’annexe II de la directive SRI (tableau 1). En vertu de l’article 5, paragraphe 3, les États membres sont tenus d’établir une liste des services essentiels pour ces secteurs, sous-secteurs et types d’entités. Le principe d’harmonisation minimale adopté par la directive permet aux États membres d’aller au-delà du champ d’application de l’annexe II et d’identifier des secteurs et sous-secteurs supplémentaires.
|
Secteur |
Sous-secteur |
|
1. Énergie |
a) Électricité |
|
b) Pétrole |
|
|
c) Gaz |
|
|
2. Transports |
a) Transport aérien |
|
b) Transport ferroviaire |
|
|
c) Transport par voie d’eau |
|
|
d) Transport routier |
|
|
3. Banques |
|
|
4. Infrastructures de marchés financiers |
|
|
5. Secteur de la santé |
|
|
6. Fourniture et distribution d’eau potable |
|
|
7. Infrastructures numériques |
|
Tableau 1: secteurs et sous-secteurs énumérés à l’annexe II de la directive SRI
L’article 5, paragraphe 2, prévoit trois critères que les États membres doivent utiliser pour identifier des opérateurs de services essentiels:
1.l’entité concernée doit fournir un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques. À cette fin, les autorités nationales compétentes doivent consulter leurs listes des services essentiels établies au préalable;
2.la fourniture de ce service doit être tributaire des réseaux et des systèmes d’information;
3.un incident devrait avoir un effet disruptif important sur la fourniture dudit service. L’article 6 précise que l’importance d’un incident est évaluée en tenant compte de facteurs transsectoriels et, le cas échéant, de facteurs sectoriels 8 .
En outre, l’article 5, paragraphe 4, de la directive exige que les État membres se consultent mutuellement s’il apparaît qu’un éventuel opérateur de services essentiels fournit des services dans plus d’un État membre. Cette procédure obligatoire a pour but d’aider les États membres à évaluer l’incidence potentielle d’un cyberincident qui touche des entités dont les activités sont transfrontalières ainsi que de servir de protection aux entreprises concernées par la procédure dans plusieurs États membres.
1.3Méthode suivie par le rapport
Les résultats du rapport se fondent sur une évaluation effectuée entre novembre 2018 et septembre 2019. De nombreux États membres n’avaient pas communiqué en temps voulu à la Commission les informations requises pour la préparation du présent rapport. Son adoption a donc dû être repoussée au-delà du 9 mai 2019, date initialement prévue à l’article 23, paragraphe 1, de la directive SRI. Les données ont été collectées par plusieurs canaux: informations communiquées par les États membres à partir d’un modèle standardisé préparé par l’ENISA, entretiens standardisés avec des autorités nationales sélectionnées et réunions du groupe de coopération, y compris un atelier consacré au sujet organisé le 19 mars 2019.
Se fondant sur les informations collectées, le présent rapport évalue dans quelle mesure les approches en matière d’identification des États membres sont cohérentes entre elles
1.en comparant les différentes méthodes d’identification choisies par les autorités nationales;
2.en examinant les listes de services essentiels et les seuils choisis par les États membres et
3.en analysant le nombre d’opérateurs de services essentiels dans chaque État membre.
Le rapport évalue également la mise en œuvre des dispositions de la directive relatives à la procédure de consultation transfrontalière (article 5, paragraphe 4) et au principe de la lex specialis (article 1er, paragraphe 7). Il propose une analyse factuelle du processus d’identification mené par les États membres ainsi que des conclusions préliminaires et des questions ouvertes destinées à poursuivre la réflexion.
1.4Disponibilité des données
En vertu des dispositions de la directive SRI, les États membres sont uniquement tenus de fournir un ensemble de données limité à la Commission. Par exemple, les autorités nationales ne sont pas tenues de présenter les noms des opérateurs identifiés. Il est donc difficile pour les services de la Commission de comparer les résultats des processus d’identification quant à l'exhaustivité de la liste et à l’incidence sur des entreprises de même taille actives dans le même secteur.
En vertu de l’article 5, paragraphe 7, tous les États membres devaient avoir fourni les informations nécessaires à la préparation du présent rapport au plus tard le 9 novembre 2018. Toutefois, seuls 15 pays avaient communiqué une quantité substantielle de données à cette date (voir tableau annexé à la section 4.1) Après plusieurs rappels de la Commission, il manquait encore un nombre important de données. Le 26 juillet 2019, la Commission a donc envoyé des lettres de mise en demeure à six États membres 9 , les invitant à présenter les données manquantes dans un délai de deux mois.
À la date de publication du présent rapport, 23 États membres avaient transmis l’ensemble des données requises au titre de l’article 5, paragraphe 7: Allemagne, Bulgarie, Chypre, Croatie, Danemark, Estonie, Grèce, Espagne, Finlande, France, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Suède, Slovaquie et Royaume-Uni. Les cinq autres États membres (Autriche, Belgique, Hongrie, Roumaine et Slovénie) ont présenté des données partielles sur l’identification des opérateurs de services essentiels car ils n’ont pas été en mesure d’achever le processus d’identification à temps pour la publication du présent rapport.
2.Identification des opérateurs de services essentiels dans les États membres
La directive SRI établit un cadre relatif à l’identification des opérateurs de services essentiels qui laisse une certaine latitude aux États membres, de manière à tenir compte des spécificités nationales. Les États membres ont par conséquent adopté des pratiques très diverses en matière d’identification.
2.1Méthodes utilisées par les États membres
Les États membres ont élaboré différentes méthodes pour identifier les opérateurs, en tirant pleinement parti de la latitude laissée par la directive SRI. Les méthodes nationales ont été influencées, notamment, par le cadre préexistant, comme la directive 2008/114/CE du Conseil concernant les infrastructures critiques 10 ou par d’autres dispositions nationales sur les «opérateurs vitaux». Dans de tels cas, les États membres ont utilisé leur expérience antérieure comme point de référence et ont incorporé à leurs méthodes existantes des spécificités liées à la directive SRI.
Les différences entre les méthodes nationales relèvent des principales catégories suivantes: services essentiels, utilisation des seuils, degré de centralisation, autorités chargées de l’identification et évaluation de la dépendance aux réseaux et aux systèmes d’information. L’analyse des services essentiels et celle des seuils font l'objet de deux sections distinctes en raison de leur importance pour l’évaluation de la cohérence de l’identification des opérateurs de services essentiels. Les autres critères sont abordés dans la présente section.
Degré de centralisation
La plupart des États membres ont choisi de déléguer une partie du processus décisionnel concernant divers éléments du processus d’identification aux autorités sectorielles (ministères, agences, etc.). Le degré de décentralisation varie d’un État membre à l’autre, la plupart d’entre eux ayant nommé une autorité unique chargée de fournir des orientations aux autorités sectorielles et de consolider les informations. Cependant, certains pays ont décidé qu’une seule autorité serait responsable du processus d’identification. Dans certains cas, lorsque les autorités sectorielles se voient confier l’élaboration de leurs propres méthodes, le degré de décentralisation est très élevé.
De nombreux États membres ont soigneusement soupesé les différents aspects de l’organisation institutionnelle de l’identification des OES. Selon les autorités, l’un des avantages de l’identification centralisée est d’éviter les conflits d’intérêts. En effet, il semblerait que les opérateurs fassent preuve d’une plus grande réticence lorsqu’il s’agit de révéler des informations pertinentes aux régulateurs sectoriels car ils craignent que ces informations soient également utilisées à d’autres fins réglementaires.
En revanche, les approches décentralisées semblent favoriser le dialogue entre les autorités compétentes en matière de SRI (cybersécurité et sectorielles), ce qui les aide à mieux percevoir les conséquences des dépendances transsectorielles. En outre, les autorités sectorielles ont habituellement une meilleure compréhension des secteurs que les autorités centrales.
Procédure d’identification (descendante ou ascendante)
Il est également possible d’établir une distinction importante entre les États membres où les autorités publiques mènent le processus d’identification (identification descendante) et ceux où les opérateurs du marché sont invités à vérifier eux-mêmes s’ils respectent les exigences concernant les opérateurs de services essentiels (identification dite ascendante ou auto-identification). Afin de garantir l’efficacité de cette dernière approche, le montant des amendes fixées par les États membres doit être suffisamment élevé pour dissuader les opérateurs de s'abstenir de se manifester, comme le prévoit l’article 21 de la directive SRI. Dans la majorité des cas, le processus d’identification est descendant. En pratique, il n’est cependant pas rare que les autorités s’appuient en partie sur certains éléments d’auto-évaluation, comme des questionnaires que les potentiels OES doivent remplir.
Si les règles et les seuils qui régissent l’identification des OES sont explicites et transparents, l’identification descendante et l’identification ascendante devraient produire des résultats similaires. Le choix de l’une ou l’autre approche ne devrait donc en principe avoir aucune incidence sur la cohérence.
Évaluation de la dépendance aux réseaux
Comme expliqué à la section 1.2, en vertu de l’article 5, paragraphe 2, point b), les États membres sont tenus d’évaluer la dépendance d’un opérateur aux réseaux et systèmes d’information dans le cadre de la procédure d’identification des opérateurs de services essentiels. De nombreux États membres, lorsqu’ils appliquent ces critères, estiment que, dans l’économie numérique actuelle, la dépendance aux réseaux et aux systèmes d’information est évidente. Cependant, certaines autorités optent pour des pratiques plus élaborées, par exemple en procédant à des évaluations détaillées ou en demandant aux opérateurs d’évaluer eux-mêmes leur degré de dépendance.
2.2Identification des services
Le considérant 23 de la directive SRI dispose explicitement que les listes des services essentiels constituent une contribution qu’il convient d’utiliser dans «l’évaluation des pratiques réglementaires de chaque État membre dans le but d’assurer la cohérence générale». Étant donné que les listes des services essentiels dressées par les États membres servent de base à l’identification des opérateurs, l'existence de différences dans les services identifiés pourrait donner lieu à des incohérences dans l’identification des opérateurs entre les États membres, notamment si seuls certains États membres identifient des services spécifiques fournis dans tous les pays.
Le nombre des services identifiés par chaque État membre comme étant couverts par l’annexe II de la directive SRI qui a été communiqué à la Commission varie considérablement d’un État membre à l’autre (les chiffres pour tous les États membres se trouvent en annexe, à la section 4.2). 35 services en moyenne sont identifiés par État membre, et leur nombre va de 12 à 87, comme le montre la figure 1. Tandis que les grands États membres ont tendance à identifier légèrement plus de services que les États membres de plus petite taille, la corrélation entre la taille d’un État membre et le nombre de services identifiés ne semble pas très forte. Ce résultat n’est pas surprenant puisqu’en pratique, les consommateurs et les entreprises ont accès aux mêmes types de services dans tous les États membres, quelle que soit la taille du pays.
Figure 1: nombre total de services essentiels identifiés par les États membres
Le nombre de services identifiés varie non seulement selon les États membres, mais également selon les secteurs et sous-secteurs. Par exemple, le nombre de services identifiés dans le secteur bancaire va de 1 à 21. Comme le montre la figure 2, l’éventail de services identifiés diffère considérablement entre les pays au sein des secteurs et sous-secteurs.
Figure 2: nombre de services identifiés par les États membres dans chaque secteur et sous-secteur. Chaque valeur représente le nombre de services identifiés par un État membre dans le (sous-)secteur respectif 11 .
Dans une certaine mesure, les chiffres de la figure 2 reflètent les différentes approches méthodologiques choisies par les pays. Par exemple, certains États membres ont opté pour une approche plus granulaire en matière d’identification des services, ce qui y fait augmenter le nombre des services par rapport à d’autres pays. Les données envoyées à la Commission par les États membres montrent toutefois clairement que les différences numériques découlent également du manque de cohérence entre les approches retenues par les différents États membres, comme le montrent les exemples du sous-secteur de l’électricité et du transport ferroviaire:
|
Estonie
|
Portugal |
Danemark |
Bulgarie
|
||
|
Alimentation en énergie électrique |
Gestionnaires de réseau de distribution |
Distribution d’électricité |
Distribution d’électricité |
||
|
Garantir le fonctionnement et l’entretien d’un réseau de distribution de l’énergie électrique |
|||||
|
Gestionnaire de réseau de transport |
Transport d’électricité |
Transport d’électricité |
|||
|
Fonctionnement, entretien et développement d’un réseau de transport d’électricité |
|||||
|
Production d’électricité |
Production d’électricité |
|||
|
|
Marché de l’électricité |
Tableau 2: illustrations de certaines approches choisies par les États membres pour identifier des services essentiels dans le sous-secteur de l’électricité
Le tableau 2 établit une comparaison entre certaines des façons dont les États membres ont identifié des services essentiels dans le sous-secteur de l’électricité. Certains pays (comme l’Estonie) ont choisi un titre très général qui permet d’identifier pour ainsi dire tous les opérateurs que le pays estime être essentiels dans le sous-secteur de l’électricité. D’autres (comme la Bulgarie, le Danemark et le Portugal) ont opté pour une approche beaucoup plus granulaire. Par exemple, la Bulgarie a dressé une liste extrêmement détaillée de services, qui inclut même un service ne figurant pas à l’annexe II (marchés de l’électricité). De leur côté, le Danemark et le Portugal ont suivi une approche granulaire en faisant le choix de ne pas inclure certains services que les autres États membres ont inclus, ce qui pourrait donner lieu à des conditions de concurrence inégales entre les opérateurs de services essentiels au sein du marché intérieur.
Les manques de cohérence, tels que ceux que fait apparaître le tableau 2, résultent de différences dans l'application nationale de la directive SRI et, dans le cas des secteurs qui ne relèvent pas de l’annexe II (comme les marchés de l’électricité), découlent de son principe d’harmonisation minimale. Ils ne signifient donc pas que les États membres qui n’ont pas identifié un service donné ont forcément mal appliqué les dispositions de la directive.
Le tableau 3 présente les approches choisies par quatre pays en ce qui concerne le sous-secteur du transport ferroviaire. Tandis que la France a dressé une liste très détaillée et complète des services essentiels au fonctionnement du transport ferroviaire, les trois autres pays ont uniquement sélectionné un petit sous-ensemble de services. Dans le cas de la Pologne, il est difficile de déterminer clairement quels sont les services qui relèvent des catégories «transport ferroviaire de marchandises» et «transport ferroviaire de voyageurs». Les désignations choisies sont si générales qu’elles pourraient tout aussi bien inclure certains des services identifiés par la France, tels que «contrôle et gestion de la circulation ferroviaire». Il convient de souligner que la Commission ne dispose d’aucune ressource pour se pencher plus avant sur de tels cas: la directive SRI n’exige pas des autorités nationales qu’elles révèlent des informations plus détaillées.
|
Finlande |
France |
Irlande |
Pologne |
|||
|
Gestion de l’infrastructure publique |
Entretien de l’infrastructure |
Gestionnaires d’infrastructure |
|
|||
|
Entretien du matériel roulant |
|
|
|||
|
Services de gestion de la circulation |
Contrôle et gestion de la circulation ferroviaire |
|
Préparation des horaires des trains |
|||
|
Marchandises et matières dangereuses |
Entreprises ferroviaires |
Transport ferroviaire de marchandises |
|||
|
Transport de voyageurs |
Transport ferroviaire de voyageurs |
||||
|
Métros, tramways et autres services de métro léger (y compris services souterrains) |
|
||||
|
Services ferroviaires |
|
|
Tableau 3: exemples illustrant les approches choisies par les États membres pour identifier des services essentiels dans le sous-secteur du transport ferroviaire
Les États membres qui figurent dans les tableaux 2 et 3 ont uniquement été choisis à des fins d’illustration et parce que leurs approches méthodologiques permettent facilement d’établir des comparaisons. La plupart des autres États membres ont choisi des services semblables et une comparaison de leurs méthodes d'identification révèle des «manques de cohérence» similaires. En réalité, les «manques de cohérence» observés dans les sous-secteurs de l’électricité et du transport ferroviaire existent dans tous les États membres et dans tous les secteurs visés à l’annexe II de la directive. La majeure partie de ces incohérences proviennent de services qui sont identifiés dans certains États membres, mais pas dans tous. Les listes complètes des services dans les sous-secteurs de l’électricité et du transport ferroviaire pour tous les États membres figurent à l’annexe du présent rapport.
2.3Seuils
Même si la plupart des États membres appliquent bien des seuils pour identifier les OES, le rôle joué par ces seuils varie d’un pays à l’autre. En ce qui concerne les seuils transsectoriels, leur définition peut reposer sur:
·un seul et unique facteur quantitatif (par exemple, le nombre d’utilisateurs tributaires d’un service) afin de déterminer si une entité devrait être considérée comme un OES dans un certain service;
·un ensemble plus large de facteurs quantitatifs (par exemple, le nombre d’utilisateurs tributaires d’un service, plus la part de marché);
·une combinaison de facteurs quantitatifs et qualitatifs.
En outre, la directive permet aux États membres d’appliquer des seuils spécifiques à chaque secteur en plus des seuils transsectoriels. Les autorités nationales jouissent donc d’une plus grande liberté dans le processus d’identification pour tenir compte des spécificités nationales et sectorielles. Dans le même temps, cela donne lieu à une combinaison de seuils hautement complexe, ce qui peut avoir des effets négatifs sur la cohérence générale de l’identification des OES.
Le tableau 4 offre un exemple de cette diversité d’approches. Il montre que les seuils choisis par les États membres dans le secteur des infrastructures numériques ne diffèrent pas seulement d’un point de vue quantitatif (par exemple, les fournisseurs de services DNS allemands sont identifiés comme des OES s’ils gèrent au moins 250 000 domaines tandis que le seuil est fixé à seulement 100 000 domaines en Pologne) mais également qualitatif (par exemple, le «nombre de systèmes autonomes connectés» en opposition à la «part de marché»).
La cohérence des seuils quantitatifs ne suffit pas à garantir une cohérence totale entre les approches nationales. Les seuils n’étant, dans certains États membres, qu’un des critères d’identification des OES, les résultats du processus d’identification pourraient toujours être très différents, même en présence de seuils similaires. Par exemple, certains États membres utilisent des systèmes de notation complexes dans lesquels plusieurs facteurs alimentent une même formule 12 . De tels facteurs peuvent par exemple inclure la dépendance d’une entité à des réseaux et à des systèmes d’information ou certains facteurs visés à l’article 6, paragraphe 1, de la directive SRI. En outre, certains États membres n’utilisent aucun seuil ou en utilisent uniquement dans la phase préliminaire de l’évaluation. Ces observations valent non seulement pour le secteur de l’infrastructure numérique mais aussi pour tous les secteurs figurant à l’annexe II.
Il peut être compliqué d’établir le seuil approprié, notamment dans les secteurs caractérisés par l’existence de nombreux petits opérateurs. Parmi les exemples de cette diversité, citons les nombreux équipements de santé à petite échelle (cliniques ou services d’urgence médicale), qui offrent un service essentiel à un nombre d’utilisateurs relativement faible mais dont l’indisponibilité, due à un incident de cybersécurité, pourrait causer le décès d'un patient. Les cas de figure où le fonctionnement des chaînes d’approvisionnement dépend de services fournis par les opérateurs qui représentent un maillon certes petit mais néanmoins essentiel de la chaîne (par exemple dans les secteurs comme la logistique 13 ) peuvent représenter un autre problème. Un État membre étudie l’utilisation des critères liés à l’importance ou au caractère critique du service fourni afin d’y trouver une éventuelle solution.
|
Pays |
Points d’échange internet (IXP) |
Fournisseurs de DNS |
Registres de domaine de premier niveau |
|
Utilisation de seuils majoritairement sectoriels |
|||
|
AT |
systèmes autonomes connectés
|
Résolutions DNS: 88 000 utilisateurs;
|
50 000 domaines |
|
DE |
systèmes autonomes connectés
|
Résolutions DNS: 100 000 utilisateurs; DNS faisant autorité: 250 000 domaines |
(service non identifié) |
|
DK |
volume moyen quotidien de données> 200 Gbit/s |
Résolutions DNS: 100 000 utilisateurs; DNS faisant autorité: 100 000 domaines |
500 000 domaines |
|
EE |
(service non identifié) |
(service non identifié) |
Registre de DPN du pays |
|
FI |
(service non identifié) |
(service non identifié) |
Registres de DPN du pays et d’une région |
|
FR |
(pas de seuil officiel) |
(pas de seuil officiel) |
(pas de seuil officiel) |
|
HR |
membres connectés > 15 |
Service DNS pour le DPN du pays |
Registre de DPN du pays |
|
IE |
(seuil inconnu) |
Résolutions DNS: 100 m demandes/24 h; DNS faisant autorité: 50 000 domaines |
Registre de DPN du pays |
|
MT |
25 % de part de marché |
Résolutions DNS: 78 000 demandes/jour; DNS faisant autorité: 7 800 domaines |
750 000 demandes/jour |
|
PL |
systèmes autonomes connectés
|
DNS faisant autorité: 100 000 domaines |
Registres DPN pour au moins 100 000 abonnés |
|
SE |
(service non identifié) |
Résolutions DNS: 100 000 utilisateurs; DNS faisant autorité: 25 000 domaines |
250 000 domaines |
|
SK |
Système autonome qui connecte au moins deux autres systèmes autonomes avec 2 Gbps |
Résolutions DNS: 3 m demandes/24 h; DNS faisant autorité: > 1 000 domaines |
Registre des DPN |
|
UK |
Part de marché > 50 % ou
|
Résolutions DNS: 2 000 000 clients/jour;
|
Registres DPN ≥ 2 milliards de demandes/jour |
|
Utilisation des seuils transsectoriels |
|||
|
CY |
50 000 utilisateurs, ou
|
50 000 utilisateurs, ou
|
50 000 utilisateurs, ou
|
|
LT |
habitants > 145 000 |
habitants > 145 000 |
habitants > 145 000 |
|
LU |
100 % de part de marché |
13 500 contrats |
100 % de part de marché |
Tableau 4: seuils choisis par 16 États membres dans le secteur de l’infrastructure numérique
2.4Nombre d’opérateurs identifiés
Les listes de services essentiels et les seuils sont les déterminants les plus importants aux fins d’une identification cohérente des OES. Dans les sections précédentes, il a été montré que, dans les deux cas, les États membres ont appliqué les dispositions de la directive SRI de diverses façons, ce qui pourrait laisser présager un problème de cohérence en ce qui concerne l’identification ultérieure des OES. La présente section sera consacrée à la comparaison du nombre d’opérateurs identifiés dans les secteurs et sous-secteurs visés à l’annexe II dans les États membres.
Figure 3: OES identifiés par les États membres dans tous les secteurs visés à l’annexe II (par 100 000 habitants, valeurs aberrantes et données manquantes omises par souci de clarté)
Le nombre total d'OES communiqués à la Commission par les États membres varie de 20 à 10 897 avec une moyenne de 633 OES par État membre (les chiffres pour l’ensemble des États membres figurent à la section 4.2 de l’annexe du présent rapport). De manière générale, il existe une relation évidente entre la taille d’un pays et le nombre d’opérateurs identifiés. Cependant, cet élément ne suffit pas à expliquer les grandes différences entre les chiffres communiqués par les États membres. Afin de rendre compte de la relation entre la taille et la population, la figure 3 compare les nombres d’OES identifiés dans les États membres pour 100 000 habitants. Elle suggère que les approches adoptées par les États membres pour identifier les opérateurs ont donné des résultats très différents.
Une étude plus approfondie des secteurs et des sous-secteurs révèle des différences considérables entre les États membres concernant les chiffres obtenus dans tous les secteurs visés à l’annexe II (figure 4). Par exemple, dans le secteur de l’énergie, le nombre d’OES va de 0,3 à 29 opérateurs par million d’habitants. Dans le secteur bancaire, il va de 0,07 à 51 opérateurs par million d’habitants (sans tenir compte des États membres qui n’ont pas identifié un seul OES dans ce secteur).
Figure 4: nombre d’OES identifiés par 25 États membres dans chaque secteur et sous-secteur (par million d’habitants sur une échelle logarithmique, valeurs aberrantes omises par souci de clarté). Chaque valeur représente le nombre d’OES identifiés par un État membre dans le (sous-)secteur respectif 14 .
2.5Application de la directive dans d’autres secteurs que ceux visés à l’annexe II
Une étude des données communiquées révèle que 11 des 28 États membres ont identifié des services essentiels dans des secteurs qui ne relèvent pas du champ d’application de l’annexe II de la directive. Sur ces 11 États membres, 7 ont identifié un total de 157 OES qui fournissent des services non couverts par les types d’entités visées à l’annexe II.
|
Secteur supplémentaire |
Exemples d’entités |
Nombre d’États membres |
|
Infrastructures d’information |
Centres de données, fermes de serveurs |
5 |
|
Services financiers (entités qui ne figurent pas à l’annexe II) |
Compagnies d’assurance et de réassurance |
4 |
|
Services publics |
Services électroniques pour les citoyens |
4 |
|
Chaleur |
Producteurs et fournisseurs de chaleur |
3 |
|
Eaux résiduaires |
Installations de collecte et de traitement |
3 |
|
Logistique |
Services postaux |
2 |
|
Alimentation |
Producteurs, plateformes de négociation |
2 |
|
Environnement |
Élimination des déchets dangereux |
2 |
|
Services de sécurité nationale/d’urgence |
112, gestion de crise |
2 |
|
Industrie chimique |
Fournisseurs et producteurs de substances chimiques |
2 |
|
Services sociaux |
Entités chargées des prestations sociales |
1 |
|
Enseignement |
Autorités chargées des examens nationaux |
1 |
|
Restauration collective |
Gestion de la distribution |
1 |
|
Eau |
Structures hydrauliques |
1 |
Tableau 5: secteurs choisis par les États membres en plus de ceux énumérés à l’annexe II
Les infrastructures d’information (identifiées par cinq États membres), les services financiers fournis par des entités qui ne figurent pas à l’annexe II (identifiés par quatre États membres) et les services publics (identifiés par quatre États membres) sont les catégories les plus répandues (tableau Table 5 ).
La cyber-résilience étant essentielle au fonctionnement de l’économie et de l’ensemble de la société, plusieurs États membres ont décidé de profiter de l’occasion pour couvrir d’autres secteurs que ceux de l’annexe II. Le fait que plusieurs États membres aient choisi d'étendre l'application de la directive SRI à d'autres secteurs amène à se demander si le champ d’application actuel de l’annexe II est bien adapté pour remplir l’objectif consistant à protéger tous les opérateurs de l’Union qui revêtent une importance critique pour la société et l’économie.
2.6La procédure de consultation transfrontalière
Conformément à l’article 5, paragraphe 4, de la directive SRI, les États membres sont tenus de se consulter mutuellement avant de prendre à une décision finale concernant l’identification des opérateurs qui fournissent des services dans plus d’un État membre. En juillet 2018, le groupe de coopération a publié un document de référence destiné à aider les États membres à organiser des consultations transfrontalières adaptées 15 .
D’après les informations reçues, très rares sont les autorités nationales ayant décidé de contacter leurs homologues dans d’autres États membres et deux États membres seulement ont pris contact avec d’autres États membres de manière exhaustive. En outre, seuls quelques-uns ont indiqué avoir sollicité d’autres autorités de façon moins systématique. Malgré l’extrême importance des services transfrontaliers dans le marché intérieur, la plupart des États membres ayant contacté d’autres États membres l’ont uniquement fait pour un nombre très limité d’opérateurs. Même si l'utilisation de la procédure par les États membres est limitée, de nombreuses autorités nationales se sont montrées intéressées par le processus de consultation transfrontalière et estiment qu’il s’agit d’un élément important du cadre d’identification SRI. En fait, plusieurs États membres s’inquiètent qu’en l’absence de consultation transfrontalière efficace, les opérateurs soient contraints de tenir compte d’une multitude d’exigences réglementaires différentes ou soient désavantagés par rapport à d’autres OES sur le marché qui feraient l’objet d’une réglementation moins stricte.
Avec l’aide des autorités nationales, la Commission a recensé plusieurs raisons qui expliquent pourquoi, jusqu’à présent, les États membres n’utilisent pas la procédure de consultation comme prévu:
·nombre d’entre eux ont eu besoin de plus de temps que prévu pour identifier leurs OES. Les premiers pays à avoir terminé n’ont donc pas été en mesure de consulter ces pays;
·le manque de canaux sécurisés pour transmettre les informations: certains États membres se sont montrés réticents à l’idée de communiquer avec leurs homologues car ils considèrent que les noms des opérateurs sont des informations classifiées;
·le nombre considérable de dépendances transfrontalières existantes, qui nécessitait de contacter un nombre considérable d’États membres concernés, notamment dans le cas des opérateurs paneuropéens;
·l'absence de conception commune des objectifs et de la portée de l’exercice de consultation transfrontalière: tandis que certains États membres estiment qu’il s’agit tout au plus d’un outil servant à s’échanger des informations sur les identifications d’OES avec une incidence transfrontalière, d’autres considèrent qu’il vise à harmoniser les seuils et les exigences réglementaires. Le considérant 24 de la directive suggère qu’il s’agit avant tout d’une procédure destinée à évaluer conjointement le caractère critique d’un opérateur aux fins du processus d’identification;
·un autre problème se pose lorsqu’un État membre est contacté par deux autres États membres à propos du même opérateur. Dans ce cas de figure, l’État membre en question pourrait ne pas être en mesure d’aligner ses règles sur celles des deux États membres en même temps. Le considérant 24 envisage à cet effet des consultations multilatérales. Il importe que les États membres recourent à cette possibilité afin de garantir la cohérence.
2.7Prise en compte du principe de la lex specialis dans le processus d’identification
La Commission a constaté un certain degré d’incohérence parmi les États membres quant à la mise en œuvre du principe de la lex specialis, ce qui a donné lieu à une application inégale de la directive. Ainsi, d'une part, des OES ont été identifiés lorsque des règles sectorielles s’appliquent et, d'autre part, l’identification des OES est insuffisante dans certains secteurs visés à l’annexe II.
L’article 1er, paragraphe 3, dispose que la directive SRI ne s’applique pas aux entreprises soumises aux exigences de la directive 2002/21/CE 16 . Cependant, certains États membres semblent avoir identifié des OES qui fournissent des services devant normalement être réglementés par la directive 2002/21/CE, comme l’accès internet et les services téléphoniques.
De plus, conformément à l’article 1er, paragraphe 7, les dispositions de la directive SRI relatives aux exigences en matière de sécurité et de notification des incidents ne s’appliquent pas aux opérateurs qui sont déjà réglementés par des actes juridiques sectoriels de l’Union prévoyant des exigences dont l’effet est au moins équivalent.
Tandis que la plupart des États membres ont identifié des OES dans le secteur bancaire et le secteur des marchés financiers, quelques États membres n’ont pas identifié d’OES, affirmant que les opérateurs fournissent des services couverts par des leges speciales.
La Commission continue de collecter des informations détaillées sur l’application du principe de la lex specialis dans le cadre de la directive SRI. Elle procède actuellement à des vérifications approfondies des législations nationales et à des visites dans les pays afin d’évaluer le niveau actuel de transposition et de mise en œuvre, y compris concernant les dispositions relatives au principe de la lex specialis. Sur cette base, la Commission a l’intention de discuter plus avant du principe de la lex specialis au sein du groupe de coopération dans le but de parvenir à un meilleur alignement entre les États membres.
3.Conclusions
Le présent rapport évalue les approches adoptées par les États membres pour identifier les opérateurs de services essentiels (OES) au titre de la directive SRI. Il vise à évaluer le degré de cohérence entre les pratiques des États membres étant donné l’incidence potentielle du cadre actuel sur le fonctionnement du marché intérieur et sur la gestion des risques associés à la cyberdépendance.
L’analyse montre que la directive SRI a servi de catalyseur dans de nombreux États membres où elle a ouvert la voie à un réel changement du cadre institutionnel et réglementaire concernant la cybersécurité. En outre, l’obligation d’identifier les opérateurs de services essentiels a donné lieu à une évaluation globale des risques associés aux opérateurs dont les activités sont critiques et aux réseaux et aux systèmes d’information modernes dans presque tous les États membres. Ce résultat peut être considéré comme une réussite pour l’ensemble de l’Union européenne au regard des objectifs de la directive.
Aux fins du présent rapport, la Commission s’est penchée sur les méthodes d’identification nationales, sur les services considérés comme essentiels par les autorités nationales, sur les seuils d’identification et sur le nombre d’OES identifiés dans les divers secteurs visés dans la directive:
·les États membres ont élaboré diverses méthodes concernant l’approche générale de l’identification des OES (section 2.1) mais également la définition des services essentiels et l’établissement des seuils. Cette diversité peut avoir des répercussions négatives sur la mise en œuvre cohérente des dispositions de la directive SRI dans l’Union et éventuellement sur le bon fonctionnement du marché intérieur et la gestion efficace des cyberdépendances;
·en outre, il semble que les interprétations quant à la nature d’un service essentiel au titre de la directive SRI divergent selon les États membres, certains appliquant des degrés de granularité plus ou moins élevés (voir section 2.2). Il devient dès lors difficile de comparer les listes de services essentiels. De plus, le champ d’application de la directive risque d’être fragmenté, certains opérateurs étant soumis à des réglementations supplémentaires (parce qu’ils ont été identifiés par leur État membre respectif) tandis que d’autres, qui offrent des services similaires, sont exclus (parce qu’ils n’ont pas été identifiés). Pour réduire ces incohérences, des travaux supplémentaires fondés sur l’expérience des États membres pourraient déboucher sur une liste de services essentiels plus harmonisée;
·de plus, le présent rapport a constaté des incohérences considérables dans la façon dont les États membres appliquent les seuils (section 2.3). Un meilleur alignement des seuils au niveau de l’Union européenne pourrait permettre d’atténuer ce problème. Des groupes de travail sectoriels au sein du groupe de coopération pourraient par exemple s’atteler à cette tâche en tenant compte des spécificités nationales, telles que les exigences particulières des petits États membres;
·certains pays ont recouru à la possibilité d’identifier des services essentiels dans des secteurs ou sous-secteurs supplémentaires qui ne figurent pas à l’annexe II, ce qui montre bien que des secteurs autres que ceux pris en compte par la directive SRI sont potentiellement vulnérables à des cyber-incidents (section 2.5). L’identification d’OES dans des secteurs tels que les infrastructures d’information et les services financiers, qui ne figurent pas parmi les entités énumérées à l’annexe II et par les gouvernements, peut améliorer la cyber-résilience des organisations dans ces secteurs. Cependant, le marché intérieur et les conditions de concurrence équitables, censées être garanties par l’identification, pourraient en pâtir dans l’éventualité où seul un sous-ensemble d’États membres identifierait des OES dans lesdits secteurs.
Les nombreuses méthodes et bonnes pratiques élaborées par les autorités nationales sont particulièrement précieuses et devraient être prises en compte à l’avenir, par exemple dans les travaux du groupe de coopération et dans le processus d’identification continu des OES par les États membres. Toutefois, le niveau actuel de diversité pourrait avoir des répercussions négatives sur la réalisation des objectifs de la directive.
La Commission tire la conclusion préliminaire suivante: bien que la directive SRI ait enclenché un processus crucial d'augmentation et d'amélioration des pratiques de gestion du risque des opérateurs dans les secteurs critiques, l’identification des OES est encore considérablement fragmentée dans l’ensemble de l’Union. Cette situation s’explique en partie par la façon dont la directive est conçue et en partie par les différentes méthodes d’application utilisées par les États membres.
Les États membres devraient s’efforcer d’appliquer les dispositions de la directive SRI de façon aussi cohérente que possible en tirant pleinement parti des documents d’orientation préparés par la Commission et par le groupe de coopération. La Commission a ainsi identifié plusieurs mesures nationales qui pourraient contribuer à atténuer les problèmes mis en lumière dans le présent rapport:
·de nombreux États membres n’ont pas achevé le processus d’identification des OES dans les délais fixés par la directive. À la date de publication du présent rapport, 23 États membres avaient transmis l’ensemble des données requises au titre de l’article 5, paragraphe 7. Cinq autres États membres avaient fourni des informations partielles. La Commission engage vivement les autorités nationales chargées de l’identification à achever le processus le plus rapidement possible et à communiquer les informations nécessaires à la Commission dans les plus brefs délais;
·les autorités compétentes devraient régulièrement réviser leurs listes de services essentiels et s’assurer que tous les services essentiels existants ont été identifiés afin de réduire le «manque de cohérence» concernant les services essentiels dans le marché intérieur;
·il convient que les États membres coopèrent plus activement afin d’aligner les seuils lorsque cela est possible, notamment dans les secteurs où la dimension transfrontalière est très présente, comme les transports ou l’énergie. Pour ce faire, ils peuvent faire appel à la procédure de consultation transfrontalière prévue à l’article 5, paragraphe 4, de la directive SRI, mais aussi mieux tirer parti des structures existantes du groupe de coopération;
·les autorités nationales devraient se consulter mutuellement pour veiller à ce que les opérateurs transfrontaliers soient soumis aux mêmes exigences en matière de sécurité et de notification des incidents dans le marché intérieur. En outre, les États membres devraient contacter ces opérateurs pour collecter davantage d’informations sur les divergences réglementaires. L’amélioration de la cyber-résilience ne devrait pas se faire au prix d’une fragmentation réglementaire. Le cas échéant, les États membres devraient également ouvrir des discussions multilatérales, comme le prévoit le considérant 24 de la directive SRI.
Au-delà des mesures nationales, il existe un certain nombre de mesures qui pourraient éventuellement être appliquées au niveau de l’Union européenne et qui renforceraient le degré de cohérence. La Commission entamera des discussions afin de remédier au caractère inégal et parfois fragmenté de l’identification. Certaines mesures envisageables sont les suivantes:
·le rôle du groupe de coopération SRI devrait être renforcé afin de promouvoir une compréhension commune de la façon d’appliquer la directive de manière plus cohérente. À cet effet, la Commission proposera que le groupe de travail actuel consacré à l’identification des OES réexamine dans les plus brefs délais ses lignes directrices afin de mieux lutter contre les incohérences existantes. Le groupe de coopération devrait également se pencher sur la création de groupes de travail sectoriels supplémentaires 17 en vue d’améliorer la cohérence entre les États membres et sur l’utilisation d’un outil de communication sur mesure permettant d’améliorer la collaboration au sein du groupe;
·seuls quelques États membres utilisent actuellement la procédure de consultation transfrontalière concernant l’identification des opérateurs qui fournissent des services essentiels dans plus d’un État membre. Pour améliorer l’échange d’informations, le groupe de coopération devrait réexaminer son document de référence sur les modalités du processus de consultation dans les cas où il existe une incidence transfrontalière et s’accorder sur une interprétation cohérente du champ d’application, des objectifs et des procédures d’un tel exercice. Dans le même temps, la Commission cherchera des moyens de permettre un échange d’informations sécurisé entre les autorités compétentes;
·il semble qu’un certain niveau d’incohérence existe parmi les États membres dans la mise en œuvre des dispositions de la directive relatives au principe de la lex specialis. La Commission utilisera donc les structures du groupe de coopération pour examiner les cas dans lesquels le principe de la lex specialis pourrait ne pas être correctement appliqué.
Les mesures prises au niveau de l’Union européenne devraient garantir un cadre cohérent qui tienne compte aussi bien des activités sectorielles en envisageant des exigences spécifiques ou plus élevées en matière de cybersécurité que des autres réglementations européennes.
4.Annexes
4.1Vue d’ensemble des données disponibles par État membre
|
État membre |
Date de présentation |
Liste des services |
Nombre d’OES |
Seuils |
|
AT |
En retard |
Fourni |
MANQUANT |
Fourni |
|
BE |
En retard |
Fourni |
MANQUANT |
MANQUANT |
|
BG |
En retard |
Fourni |
Fourni |
Fourni |
|
CY |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
CZ |
En retard |
Fourni |
Fourni |
Fourni |
|
DE |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
DK |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
EE |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
EL |
En retard |
Fourni |
Fourni |
Fourni |
|
ES |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
FI |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
FR |
Dans les délais |
Fourni |
Fourni |
Pas de seuils officiels |
|
HR |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
HU |
Dans les délais |
Partiellement fourni |
Partiellement fourni |
Partiellement fourni |
|
IE |
En retard |
Fourni |
Fourni |
Fourni |
|
IT |
En retard |
Fourni |
Fourni |
Fourni |
|
LT |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
LU |
En retard |
Fourni |
Fourni |
Fourni |
|
LV |
En retard |
Fourni |
Fourni |
Fourni |
|
MT |
En retard |
Fourni |
Fourni |
Fourni |
|
NL |
En retard |
Fourni |
Fourni |
Fourni |
|
PL |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
PT |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
RO |
En retard |
Fourni |
Partiellement fourni |
MANQUANT |
|
SE |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
SI |
En retard |
Fourni |
MANQUANT |
Fourni |
|
SK |
Dans les délais |
Fourni |
Fourni |
Fourni |
|
UK |
Dans les délais |
Fourni |
Fourni |
Fourni |
4.2Nombre de services et d’OES identifiés par État membre
|
État membre |
OES identifiés |
Services visés à l’annexe II |
Services supplémentaires |
|
AT |
0 |
46 |
0 |
|
BE |
0 |
31 |
0 |
|
BG |
185 |
30 |
3 |
|
CY |
20 |
29 |
17 |
|
CZ |
50 |
31 |
12 |
|
DE |
573 |
15 |
12 |
|
DK |
128 |
39 |
0 |
|
EE |
137 |
18 |
6 |
|
EL |
67 |
30 |
0 |
|
ES |
132 |
55 |
18 |
|
FI |
10 897 18 |
20 |
0 |
|
FR |
127 |
70 |
20 |
|
HR |
85 |
49 |
2 |
|
HU |
42 |
12 |
0 |
|
IE |
64 |
26 |
0 |
|
IT |
553 |
37 |
0 |
|
LT |
22 |
37 |
0 |
|
LU |
49 |
21 |
0 |
|
LV |
66 |
18 |
0 |
|
MT |
36 |
29 |
2 |
|
NL |
42 |
12 |
0 |
|
PL |
142 |
87 |
0 |
|
PT |
1 250 |
26 |
0 |
|
RO |
86 |
77 |
0 |
|
SE |
326 |
27 |
0 |
|
SI |
0 |
34 |
2 |
|
SK |
273 |
28 |
7 |
|
UK |
470 |
34 |
0 |
4.3Services identifiés par État membre dans le sous-secteur de l’électricité
|
État membre |
Services identifiés |
|
AT |
̶Installations de production d’électricité ̶Systèmes de contrôle dans les installations de production ̶Réseaux de distribution ̶Réseaux de transport |
|
BE |
̶Entreprises de production, de transport et de distribution ̶Distribution d’électricité ̶Transport d’électricité |
|
BG |
̶Production d’électricité ̶Transport d’électricité ̶Fonctionnement, entretien et développement d’un réseau de transport d’électricité ̶Distribution d’électricité ̶Garantir le fonctionnement et l’entretien d’un réseau de distribution de l’énergie électrique ̶Marché de l’électricité |
|
CY |
̶Production / Approvisionnement ̶Distribution / Transport ̶Services du marché de l’électricité |
|
CZ |
̶Production d’électricité ̶Vente d’électricité ̶Exploitation du réseau de transport ̶Exploitation du réseau de distribution |
|
DE |
̶Alimentation électrique |
|
DK |
̶Transport d’électricité ̶Distribution d’électricité ̶Production d’électricité |
|
EE |
̶Alimentation en énergie électrique |
|
EL |
̶Alimentation en énergie électrique ̶Distribution d’électricité ̶Transport d’électricité |
|
ES |
̶Production d’électricité ̶Transport d’électricité ̶Distribution d’électricité ̶Centres d’exploitation et de contrôle des systèmes électriques |
|
FI |
̶Service de transport ̶Distribution d’électricité dans le réseau de distribution ̶Approvisionnement en électricité via les réseaux de distribution haute tension |
|
FR |
̶Vente ou revente d’électricité aux grossistes et aux consommateurs finaux ̶Distribution d’électricité ̶Transport d’électricité |
|
HR |
̶Production d’électricité ̶Transport d’électricité ̶Distribution d’électricité |
|
HU |
̶Électricité |
|
IE |
̶Gestionnaires de réseau de distribution ̶Entreprises d’électricité ̶Gestionnaires de réseau de transport |
|
IT |
̶Production ̶Échanges ̶Transport ̶Distribution |
|
LT |
̶Service de production d’électricité ̶Service de transport d’électricité ̶Service de distribution d’électricité ̶Service d’approvisionnement en électricité |
|
LU |
̶Alimentation en énergie électrique ̶Distribution d’électricité ̶Transport d’électricité |
|
LV |
̶Production d’électricité ̶Distribution d’électricité ̶Transport d’électricité |
|
MT |
̶Fourniture d’électricité aux consommateurs ̶Transport et/ou distribution d’électricité aux consommateurs ̶Production d’électricité aux consommateurs |
|
NL |
̶Transport et distribution d’électricité |
|
PL |
̶Production d’électricité ̶Transport d’électricité ̶Distribution d’électricité ̶Échanges d’électricité ̶Stockage d’électricité ̶Services d’assurance qualité et gestion des infrastructures énergétiques |
|
PT |
̶Gestionnaires de réseau de distribution ̶Gestionnaires de réseau de transport |
|
RO |
̶Production d’électricité ̶Fourniture d’électricité aux consommateurs ̶Exploitation des marchés de l’électricité centralisés ̶Transport d’électricité ̶Exploitation du dispositif d’alimentation en énergie ̶Distribution d’électricité |
|
SE |
̶GRT ̶GRD ̶Production ̶Commerce de gros |
|
SI |
̶Production d’électricité dans des centrales hydroélectriques ̶Production d’électricité dans des centrales thermiques et des centrales nucléaires ̶Transport d’électricité ̶Distribution d’électricité ̶Échanges d’électricité |
|
SK |
̶Entreprise d’électricité ̶Gestionnaire de réseau de transport ̶Gestionnaires de réseau de distribution |
|
UK |
̶Alimentation en énergie électrique ̶Transport d’électricité ̶Distribution d’électricité |
4.4Services identifiés par État membre dans le sous-secteur du transport ferroviaire
|
État membre |
Services identifiés |
|
AT |
̶Infrastructures ferroviaires ̶Transport ferroviaire de marchandises ̶Transport ferroviaire de voyageurs ̶Gares ferroviaires |
|
BE |
̶Gestionnaires d’infrastructure ̶Entreprises ferroviaires |
|
BG |
̶Fourniture, entretien et gestion d’installations de service ̶Transport ferroviaire par transporteurs ferroviaires ̶Conseils en matière de transport ferroviaire |
|
CY |
Pas d’identification dans ce sous-secteur |
|
CZ |
̶Exploitation ferroviaire ̶Exploitation de transport ferroviaire ou installation de service |
|
DE |
̶Chemin de fer |
|
DK |
̶Gestion de l’infrastructure ferroviaire ̶Transport ferroviaire |
|
EE |
̶Gestionnaire de l’infrastructure ferroviaire ̶Service de transport ferroviaire |
|
EL |
̶Gestion de l’infrastructure ferroviaire ̶Services ferroviaires |
|
ES |
̶Gestion de service ferroviaire ̶Gestion de transport ferroviaire ̶Services de réseau ferroviaire ̶Gestion des informations et des télécommunications ferroviaires |
|
FI |
̶Gestion de l’infrastructure publique ̶Services de gestion de la circulation |
|
FR |
̶Services ferroviaires ̶Contrôle et gestion de la circulation ferroviaire ̶Entretien de l’infrastructure ̶Marchandises et matières dangereuses ̶Transport de voyageurs ̶Entretien du matériel roulant ̶Métros, tramways et autres services de métro léger (y compris services souterrains) |
|
HR |
̶Gestion et maintien des infrastructures ferroviaires, y compris gestion de la circulation et sous-système de contrôle-commande et de signalisation ̶Services de transport ferroviaire de marchandises et/ou de voyageurs ̶Gestion des installations de service et fourniture de services dans les installations de service ̶Fourniture de services supplémentaires nécessaires au transport ferroviaire de marchandises ou de voyageurs |
|
HU |
Pas d’identification dans ce sous-secteur |
|
IE |
̶Gestionnaires d’infrastructure ̶Entreprises ferroviaires |
|
IT |
Pas d’identification dans ce sous-secteur |
|
LT |
̶Transport ferroviaire de voyageurs et de bagages ̶Service ferroviaire de marchandises ̶Service de développement, de gestion et d’entretien de l’infrastructure ferroviaire |
|
LU |
̶Gestion de l’infrastructure ferroviaire ̶Transport ferroviaire de marchandises et de voyageurs |
|
LV |
Sans objet |
|
MT |
Sans objet |
|
NL |
Pas d’identification dans ce sous-secteur |
|
PL |
̶Préparation des horaires des trains ̶Transport ferroviaire de voyageurs ̶Transport ferroviaire de marchandises |
|
PT |
̶Gestionnaires de l’infrastructure au sens de l’article 3, point 2), de la directive 2012/34/UE du Parlement européen et du Conseil ̶Entreprises ferroviaires au sens de l’article 3, point 1), de la directive 2012/34/UE, y compris les exploitants d’installations de services au sens de l’article 3, point 12), de la directive 2012/34/UE |
|
RO |
̶Contrôle et gestion de la circulation ̶Transport de marchandises ̶Transport de marchandises dangereuses ̶Transport de voyageurs ̶Métro, tramway et autres services de métro léger ̶Entretien de l’infrastructure ferroviaire ̶Entretien du matériel roulant |
|
SE |
̶Gestion des infrastructures ̶Transport de voyageurs ̶Transport de marchandises |
|
SI |
̶Transport ferroviaire interurbain de voyageurs ̶Transport ferroviaire de marchandises ̶Activités de service relatives au transport terrestre (exploitation des gares ferroviaires, etc.) |
|
SK |
̶Exploitants d’infrastructure ̶Entreprises ferroviaires |
|
UK |
̶Services ferroviaires ̶Services ferroviaires à grande vitesse ̶Métros, tramways et autres services de métro léger (y compris services souterrains) ̶Services ferroviaires internationaux |
JO L 194 du 19.7.2016, p. 1.
En septembre 2019, tous les 28 États membres avaient notifié une transposition complète.
Communication de la Commission au Parlement européen et au Conseil: Exploiter tout le potentiel de la directive SRI – Vers la mise en œuvre effective de la directive (UE) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, COM(2017) 476.
Le groupe de coopération SRI, composé d’États membres, de la Commission et de l’ENISA (Agence de l’Union européenne pour la cybersécurité), a créé un groupe de travail distinct de manière à échanger des informations et des bonnes pratiques relatives à l’identification des opérateurs entre les États membres.
Par exemple, en mai 2017, il a suffi d’une seule journée pour que WannaCry, un rançongiciel qui chiffre les fichiers, se propage dans plus de 150 pays et infecte environ 200 000 ordinateurs.
Selon le groupe de coopération SRI, l’ouverture du marché intérieur aux services peut entraîner des «risques et des dépendances transfrontaliers qui affectent fondamentalement la disponibilité, l’intégrité et la confidentialité de ces services».
Conformément à l’article 10, paragraphe 3, de la directive SRI, les États membres transmettent au groupe de coopération un rapport de synthèse annuel sur les notifications d’incidents reçues.
Exemples de facteurs transsectoriels: nombre d’utilisateurs tributaires d’un service ou encore part de marché d’une entité. Exemples de facteurs sectoriels: nombre de systèmes autonomes connectés à un point d’échange internet (IXP) ou nombre annuel de transactions d’une institution financière.
Autriche, Belgique, Grèce, Hongrie, Roumanie et Slovénie.
Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection. La directive vise à renforcer la protection des infrastructures critiques dans les secteurs de l’énergie et des transports.
Les valeurs identiques sont superposées, ce qui explique pourquoi les 28 valeurs ne sont pas représentées sur le graphique. Par exemple, 17 États membres ont identifié exactement trois services essentiels dans la catégorie infrastructures numériques.
Par exemple, un État membre a développé sept facteurs (quatre facteurs dits «dépendant de l’opérateur» et trois facteurs «dépendant de l’incidence») qui alimentent une même formule. Si la valeur finale du calcul dépasse un certain seuil, l’opérateur en question est reconnu comme un OES.
L’annexe II de la directive SRI ne mentionne pas le secteur de la logistique.
Les valeurs identiques sont superposées, ce qui explique pourquoi les 25 valeurs ne sont pas représentées sur le graphique. Par exemple, le Danemark et les Pays-Bas ont tous deux identifié 0,35 OES par million d’habitants dans le sous-secteur du transport aérien.
Identification of Operators of Essential Services – Reference document on modalities of the consultation process in cases with cross-border impact, CG Publication 07/2018.
Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques.
Des groupes de travail sur l’énergie et sur les infrastructures numériques ont été créés en juin 2018 et en juillet 2019.
La méthode d’identification retenue par la Finlande a conduit à l'identification d'un très grand nombre d’OES dans le secteur de la santé.