Pourquoi une directive sur la résilience des entités critiques ?

Une évaluation, réalisée en 2019, de la directive de 2008 a mis en évidence la nécessité d’actualiser et de renforcer les règles existantes, à la lumière des nouveaux défis auxquels l’Union européenne est confrontée, tels que la montée en puissance de l’économie numérique, les effets croissants du changement climatique ou encore des tensions politiques donnant lieu à des menaces sur des infrastructures critiques. Ces tensions s’étant aggravées ces dernières années et s’illustrant notamment par des actes de sabotage commis contre le gazoduc Nord Stream en mer Baltique ou encore des menaces terroristes.

La directive « REC » vise à réduire les vulnérabilités et à renforcer la résilience physique des entités critiques, qui sont définies par ladite directive (en annexe) et qui, plus généralement « fournissent des services indispensables pour maintenir les fonctions sociétales vitales, les activités économiques, la santé et la sécurité publiques ainsi que l’environnement ».

Cette directive sur les entités critiques s’inscrit dans la volonté européenne d’assurer un niveau plus élevé de sécurité et de renforcer l’harmonisation des mesures et la coopération entre Etats membres – et avec les institutions européennes. C’est dans ce cadre que s’inscrivent également :

• La Directive dite « NIS 2 », concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, qui vise à répondre aux mêmes préoccupations en ce qui concerne la dimension cyber ;

• Le Règlement dit « DORA », sur la résilience opérationnelle numérique du secteur financier.

« La sécurité physique et la cybersécurité des entités critiques étant liées, les États membres veillent à ce que la présente directive [Directive REC] et la directive (UE) 2022/2555 [Directive NIS 2] soient mises en œuvre de manière coordonnée ». (article 1, 2. Directive REC)

Parallèlement à la directive « REC », une recommandation relative à une approche coordonnée à l’échelle de l’Union pour renforcer la résilience des infrastructures critiques a été adoptée. La recommandation invite les États membres à mettre à jour leur évaluation des risques afin de tenir compte des menaces actuelles et les encourage à effectuer des tests de résistance sur les entités qui exploitent des infrastructures critiques, en accordant la priorité au secteur de l’énergie. Elle invite également les États membres à élaborer, en coopération avec la Commission européenne, un schéma directeur pour une réponse coordonnée en cas de perturbations des infrastructures critiques ayant une dimension transfrontière.

Quelles sont les entités concernées par la Directive sur la résilience des entités critiques ?

Les entités critiques seront désignées par les États membres dans les trois ans suivant l’adoption de la directive. Ces dernières devront fournir un ou plusieurs services essentiels, se trouver sur le territoire de l’État membre qui les désigne et il faudra également déterminer qu’un incident perturberait les services essentiels fournis par l’entité. Enfin, les entités critiques pourront être désignées dans les secteurs suivants :

L’article 17 de la directive prévoit également la création du statut d’ « entité critique d’importance européenne particulière » qui concernera les entités fournissant des services essentiels dans au moins six États membres. La Commission européenne établira la liste des entités critiques d’importance européenne particulière sur notification des États membres.

Obligations pour les entités critiques

Les entités considérées comme critiques sont soumises à un certain nombre d‘obligations, en particulier :

• la notification à l‘État membre concerné de tout incident perturbant les services essentiels fournis par l‘entité en question ;
• l‘organisation de contrôles et de tests afin d‘éprouver les mécanismes de réponse aux attaques des entités ;
• l‘évaluation des risques potentiels par les entités dans un délai de neuf mois après la notification par l‘État membre concerné ;
• la prise de mesures en amont afin de « prévenir la survenance d‘incidents » sous le contrôle de l‘État membre concerné : protection physique des locaux, création de protocoles de gestion des risques, gestion adéquate du personnel…
• la vérification des antécédents des membres du personnel ;
• l‘établissement de normes par les États membres encadrant l‘usage de certaines technologies par les entités critiques.

Calendrier

La Directive REC devra être transposée dans les États membres au plus tard le 17 octobre 2024, et remplacera la directive de 2008 (qui sera abrogée avec effet au 18 octobre 2024).

La Directive REC fera l’objet d’un rapport et d’un réexamen : « Au plus tard le 17 juillet 2027, la Commission présentera au Parlement européen et au Conseil un rapport évaluant la mesure dans laquelle chaque État membre a pris les dispositions nécessaires pour se conformer à la présente directive » (article 25, Directive REC).

Dans le cadre de ce réexamen, la Commission se concentrera, en particulier, sur la valeur ajoutée de ce texte, son impact en vue de garantir la résilience des entités critiques ; et déterminera si l’annexe de la directive relative au champ d’application devrait être modifiée.  

Mathias Avocats vous accompagne dans le cadre de votre mise en conformité avec ces nouvelles réglementations.

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !