CER directive

Si certains secteurs de l’économie, tels que les secteurs de l’énergie et des transports, sont déjà réglementés par des actes juridiques sectoriels de l’Union, ces actes juridiques contiennent des dispositions qui portent uniquement sur certains aspects de la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités actives dans ces secteurs. Afin de traiter de manière globale la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités qui sont critiques pour le bon fonctionnement du marché intérieur, la présente directive crée un cadre général applicable à la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques en ce qui concerne tous les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;, qu’ils soient naturels ou d’origine humaine, accidentels ou intentionnels.

Les interdépendances croissantes entre les infrastructures et les secteurs sont le résultat d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures clés dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, de l’eau potable, des eaux usées, de la production, de la transformation et de la distribution de denrées alimentaires, de la santé, de l’espace, des infrastructures du marché financier et des infrastructures numériques, et de certains aspects du secteur de l’administration publique. Le secteur spatial relève du champ d’application de la présente directive pour ce qui est de la fourniture de certains services qui dépendent d’infrastructures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées; par conséquent, les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de son programme spatial ne relèvent pas du champ d’application de la présente directive.

Les entités participant à la fourniture de services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; sont de plus en plus soumises à des exigences divergentes imposées par le droit national. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités non seulement entraîne des niveaux de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; différents mais risque, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; également d’avoir une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, et entrave le bon fonctionnement du marché intérieur. Les investisseurs et les entreprises peuvent se fier et faire confiance aux entités critiques qui sont résilientes, et la fiabilité et la confiance constituent la clé de voûte d’un marché intérieur performant. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont recensés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte une charge administrative supplémentaire et inutile pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. Un cadre de l’Union aurait donc également pour effet de créer des conditions équitables pour les entités critiques dans toute l’Union.

Il est nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture de services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; dans le marché intérieur, de renforcer la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques et d’améliorer la coopération transfrontière entre les autorités compétentes. Il importe que ces règles soient à l’épreuve du temps en ce qui concerne leur conception et leur mise en œuvre, tout en offrant la souplesse nécessaire. Il est également crucial d’améliorer la capacité des entités critiques à fournir des services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; face à un ensemble diversifié de risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;.

Afin d’atteindre un niveau élevé de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir;, les États membres devraient recenser les entités critiques qui seront soumises à des exigences et à une supervision spécifiques, et qui bénéficieront d’un soutien et de conseils particuliers face à tous les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; pertinents.

Compte tenu de l’importance de la cybersécurité pour la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques et dans un souci d’uniformité, il convient de veiller à une approche cohérente, chaque fois que cela est possible, entre la présente directive et la directive (UE) 2022/2555 du Parlement européen et du Conseil(⁵)Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n^o 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (voir page 80 du présent Journal officiel).. Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; en matière de cybersécurité, la directive (UE) 2022/2555 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est suffisamment traitée dans la directive (UE)2022/2555, les questions qu’elle couvre devraient être exclues du champ d’application de ladite directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques.

Lorsque des dispositions d’actes juridiques sectoriels de l’Union exigent des entités critiques qu’elles prennent des mesures pour renforcer leur résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; et lorsque ces exigences sont reconnues par les États membres comme étant au moins équivalentes aux obligations correspondantes prévues par la présente directive, les dispositions pertinentes de la présente directive ne devraient pas s’appliquer, de manière à éviter tout double emploi et une charge inutile. Dans un tel cas, les dispositions pertinentes de ces actes juridiques de l’Union devraient s’appliquer. Lorsque les dispositions pertinentes de la présente directive ne s’appliquent pas, les dispositions relatives à la supervision et à l’exécution des règles prévues par la présente directive ne devraient pas non plus s’appliquer.

La présente directive n’affecte pas la compétence des États membres et de leurs autorités pour ce qui est de l’autonomie administrative ou la responsabilité qui leur incombe en matière de sauvegarde de la sécurité nationale et de la défense ou leur pouvoir de garantir d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer la sécurité publique, l’intégrité territoriale et le maintien de l’ordre public. L’exclusion des entités de l’administration publique du champ d’application de la présente directive devrait s’appliquer aux entités qui exercent leurs activités principalement dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière. Toutefois, les entités de l’administration publique dont les activités ne sont que marginalement liées à ces domaines devraient relever du champ d’application de la présente directive. Aux fins de la présente directive, les entités disposant de compétences réglementaires ne sont pas considérées comme exerçant des activités dans le domaine de l’application de la loi et elles ne sont, par conséquent, pas exclues du champ d’application de la présente directive pour ce motif. Les entités de l’administration publique qui sont établies conjointement avec un pays tiers conformément à un accord international sont exclues du champ d’application de la présente directive. La présente directive ne s’applique pas aux missions diplomatiques et consulaires des États membres dans les pays tiers.

Afin de ne pas compromettre la sécurité nationale ou la sécurité et les intérêts commerciaux des entités critiques, les informations sensibles devraient être consultées, échangées et traitées avec prudence et en accordant une attention particulière aux canaux de transmission et aux capacités de stockage utilisés.

Afin de garantir une approche globale de la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques, chaque État membre devrait disposer d’une stratégie pour renforcer la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques (ci-après dénommée «stratégie»). La stratégie devrait définir les objectifs stratégiques et les mesures politiques à mettre en œuvre. Dans un souci de cohérence et d’efficacité, la stratégie devrait être conçue de manière à intégrer harmonieusement les politiques existantes, en s’appuyant, chaque fois que cela est possible, sur des stratégies nationales et sectorielles, des plans ou des documents similaires existants pertinents. Afin de mettre en place une approche globale, les États membres devraient veiller à ce que leur stratégie prévoie un cadre d’action pour une coordination renforcée entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 dans le contexte du partage d’informations sur les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;, menaces et incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; en matière de cybersécurité et les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;, menaces et incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; non liés à la cybersécurité, et dans le contexte de l’exercice des tâches de supervision. Lorsqu’ils mettent en place leur stratégie, les États membres devraient tenir dûment compte de la nature hybride des menaces pesant sur les entités critiques.

Les États membres devraient communiquer leur stratégie et les mises à jour substantielles de celle-ci à la Commission, notamment pour permettre à cette dernière d’évaluer la bonne application de la présente directive en ce qui concerne les approches stratégiques à l’égard de la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques à l’échelon national. Les stratégies pourraient être communiquées en tant qu’informations classifiées. La Commission devrait établir un rapport de synthèse sur les stratégies communiquées par les États membres, qui servirait de base aux échanges visant à recenser les bonnes pratiques et les questions d’intérêt commun dans le cadre d’un groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques. Les informations agrégées figurant dans le rapport de synthèse, qu’elles soient classifiées ou non, étant par nature sensibles, la Commission devrait gérer le rapport de synthèse en étant dûment consciente de la question de la sécurité des entités critiques, des États membres et de l’Union. Le rapport de synthèse et les stratégies devraient être protégés contre les actes illicites ou malveillants et ne devraient être accessibles qu’aux personnes autorisées afin d’atteindre les objectifs de la présente directive. La communication des stratégies et de leurs mises à jour substantielles devrait également aider la Commission à comprendre l’évolution des approches à l’égard de la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques et à alimenter le suivi de l’impact et de la valeur ajoutée de la présente directive, que la Commission doit réexaminer périodiquement.

Les mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; devraient suivre une approche fondée sur les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; qui se concentre sur les entités les plus importantes pour l’exercice de fonctions sociétales ou d’activités économiques vitales. Afin de garantir une telle approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; naturels et d’origine humaine pertinents, y compris les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; de nature transsectorielle ou transfrontière, pouvant affecter la fourniture de services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement;, y compris les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies et les menaces hybrides ou autres menaces antagonistes, lesquelles comprennent les infractions terroristes, l’infiltration par les réseaux criminels et le sabotage (ci-après dénommée «évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’État membre»). Lorsqu’ils procèdent à une telle évaluation, les États membres devraient tenir compte d’autres évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; générales ou sectorielles effectuées en vertu d’autres actes juridiques de l’Union et examiner la mesure dans laquelle les secteurs dépendent les uns des autres, y compris de secteurs d’autres États membres et de pays tiers. Les résultats de l’évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’État membre devraient être utilisés aux fins de recenser les entités critiques et d’aider ces entités à satisfaire aux exigences auxquelles elles sont soumises en matière de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir;. La présente directive ne s’applique qu’aux États membres et aux entités critiques qui exercent leurs activités au sein de l’Union. Néanmoins, l’expertise et les connaissances générées par les autorités compétentes, notamment au moyen d’évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident;, et par la Commission, notamment au moyen de diverses formes de soutien et de coopération, pourraient être utilisées, le cas échéant et conformément aux instruments juridiques applicables, dans l’intérêt des pays tiers, notamment ceux qui se trouvent dans le voisinage direct de l’Union, en alimentant la coopération existante en matière de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir;.

Afin de garantir que toutes les entités concernées sont soumises aux exigences en matière de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; de la présente directive et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir suffisamment compte du rôle et de l’importance de ces entités à l’échelon national. Lorsqu’il applique les critères établis dans la présente directive, chaque État membre devrait recenser les entités qui fournissent un ou plusieurs services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; et qui exploitent et possèdent des infrastructures critiques, un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel; situées sur son territoire. Une entité devrait être considérée comme exerçant des activités sur le territoire de l’État membre dans lequel elle exerce les activités nécessaires pour le ou les services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; en question et dans lequel se trouve l’infrastructure critique, un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel; de cette entité, qui est utilisée pour fournir ce ou ces services. Lorsqu’aucune entité ne remplit ces critères dans un État membre, cet État membre ne devrait pas être tenu de recenser des entités critiques dans le secteur ou sous-secteur correspondant. Dans un souci d’efficacité, d’efficience, de cohérence et de sécurité juridique, il convient d’établir des règles appropriées en ce qui concerne la notification des entités qui ont été recensées en tant qu’entités critiques.

Les États membres devraient communiquer à la Commission, selon des modalités qui répondent aux objectifs de la présente directive, une liste des services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement;, le nombre d’entités critiques recensées pour chacun des secteurs et sous-secteurs figurant en annexe et pour le ou les services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; fournis par chaque entité et, s’ils sont appliqués, les seuils. Il devrait être possible de présenter les seuils tels quels ou sous une forme agrégée, c’est-à-dire que les informations peuvent prendre la forme de moyennes par zone géographique, par année, par secteur, par sous-secteur, ou par tout autre critère, et peuvent comporter des données sur la portée des indicateurs fournis.

Des critères devraient être fixés afin de déterminer l’importance de l’effet perturbateur causé par un incident, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit;. Ces critères devraient se fonder sur les critères énoncés dans la directive (UE) 2016/1148 du Parlement européen et du Conseil(⁶)Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1). afin de tirer parti des efforts déployés par les États membres pour recenser les opérateurs de services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; tels qu’ils sont définis dans ladite directive et de l’expérience acquise à cet égard. Des crises majeures, telles que la pandémie de COVID-19, ont mis en lumière l’importance de garantir la sécurité de la chaîne d’approvisionnement et ont montré comment sa perturbation peut avoir des incidences économiques et sociétales négatives dans un grand nombre de secteurs et au-delà des frontières. Par conséquent, les États membres devraient également tenir compte des effets sur la chaîne d’approvisionnement, dans la mesure du possible, lorsqu’ils déterminent la mesure dans laquelle d’autres secteurs et sous-secteurs dépendent du service essentiel, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; fourni par une entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe;.

Conformément au droit de l’Union et au droit national applicables, y compris le règlement (UE) 2019/452 du Parlement européen et du Conseil(⁷)Règlement (UE) 2019/452 du Parlement européen et du Conseil du 19 mars 2019 établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union (JO L 79 I du 21.3.2019, p. 1)., qui établit un cadre pour le filtrage des investissements directs étrangers dans l’Union, il convient de reconnaître la menace potentielle que représente la participation étrangère dans des infrastructures critiques, un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel; au sein de l’Union, parce que les services, l’économie, la liberté de circulation et la sécurité des citoyens de l’Union dépendent du bon fonctionnement des infrastructures critiques, un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel;.

La directive (UE) 2022/2555 impose aux entités appartenant au secteur des infrastructures numériques qui pourraient être recensées en tant qu’entités critiques en vertu de la présente directive de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; qui menacent la sécurité des réseaux et des systèmes d’information et de signaler les cybermenaces et les incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; importants. Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information peuvent avoir des origines différentes, la directive (UE) 2022/2555 applique une approche tous risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; qui inclut la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des réseaux et des systèmes d’information ainsi que des composants et environnements physiques de ces systèmes.

Le droit de l’Union relatif aux services financiers impose aux entités financières des exigences étendues visant à ce que tous les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; auxquels elles sont confrontées soient gérés, y compris les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; opérationnels, et à garantir la continuité des activités. Ce droit comprend les règlements (UE) n^o 648/2012(⁸)Règlement (UE) n^o 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1)., (UE) n^o 575/2013(⁹)Règlement (UE) n^o 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) n^o 648/2012 (JO L 176 du 27.6.2013, p. 1). et (UE) n^o 600/2014(¹⁰)Règlement (UE) n^o 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) n^o 648/2012 (JO L 173 du 12.6.2014, p. 84). du Parlement européen et du Conseil et les directive 2013/36/UE(¹¹)Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338). et 2014/65/UE(¹²)Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349). du Parlement européen et du Conseil. Ce cadre juridique est complété par le règlement (UE) 2022/2554 du Parlement européen et du Conseil(¹³)Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 (voir page 1 du présent Journal officiel)., qui fixe des exigences applicables aux entités financières en matière de gestion des risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; liés aux technologies de l’information et de la communication (TIC), y compris en matière de protection des infrastructures physiques des TIC. Étant donné que la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; de ces entités est dès lors entièrement couverte, l’article 11 et les chapitres III, IV et VI de la présente directive ne devraient pas s’appliquer à ces entités, afin d’éviter des doubles emplois et des charges administratives inutiles.

Les États membres devraient désigner ou mettre en place des autorités chargées de surveiller l’application des règles de la présente directive et, si nécessaire, de les faire respecter, et veiller à ce que ces autorités disposent des pouvoirs et des ressources adéquats. Compte tenu des différences entre les structures de gouvernance nationales, afin de préserver les dispositifs sectoriels existants ou les organismes de surveillance et de réglementation de l’Union, et afin d’éviter les doubles emplois, les États membres devraient pouvoir désigner ou mettre en place plus d’une autorité compétente. Lorsque les États membres désignent ou mettent en place plusieurs autorités compétentes, ils devraient définir clairement les tâches respectives des autorités concernées et veiller à ce qu’elles coopèrent de manière harmonieuse et efficace. Toutes les autorités compétentes devraient également coopérer plus généralement avec d’autres autorités concernées, tant au niveau de l’Union qu’au niveau national.

Afin de faciliter la coopération et la communication transfrontières et de permettre la mise en œuvre effective de la présente directive, et sans préjudice des exigences posées par des actes juridiques sectoriels de l’Union, chaque État membre devrait désigner un point de contact unique chargé de coordonner les questions liées à la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques et à la coopération transfrontière au niveau de l’Union (ci-après dénommé «point de contact unique»), s’il y a lieu au sein d’une autorité compétente. Il convient que chaque point de contact unique assure la coordination de la communication et la liaison, s’il y a lieu, avec les autorités compétentes de son État membre, avec les points de contact uniques des autres États membres et avec le groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques.

Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 devraient coopérer et échanger des informations sur les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;, menaces et incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; en matière de cybersécurité ainsi que sur les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;, menaces et incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; non liés à la cybersécurité affectant les entités critiques, et sur les mesures pertinentes prises par les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 Il importe que les États membres veillent à ce que les exigences prévues par la présente directive et la directive (UE) 2022/2555 soient mises en œuvre de manière complémentaire et à ce que les entités critiques ne soient pas soumises à une charge administrative supérieure à ce qui est nécessaire pour atteindre les objectifs de la présente directive et de ladite directive.

Les États membres devraient aider les entités critiques, y compris celles qui sont qualifiées de petites ou moyennes entreprises, à renforcer leur résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir;, dans le respect des obligations qui incombent aux États membres en vertu de la présente directive, sans préjudice de la propre responsabilité juridique qui incombe aux entités critiques de garantir le respect de ces obligations et, ce faisant, éviter d’imposer une charge administrative excessive. En particulier, les États membres pourraient élaborer des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques et dispenser des formations et fournir des conseils au personnel des entités critiques. Lorsque cela est nécessaire et justifié par des objectifs d’intérêt public, les États membres pourraient fournir des ressources financières et devraient faciliter le partage volontaire d’informations et l’échange de bonne pratiques entre les entités critiques, sans préjudice de l’application des règles de concurrence prévues par le traité sur le fonctionnement de l’Union européenne.

En vue de renforcer la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques recensées par les États membres et afin de réduire la charge administrative qui pèse sur ces entités critiques, les autorités compétentes devraient se consulter, chaque fois que cela est approprié, aux fins d’assurer l’application cohérente de la présente directive. Ces consultations devraient être engagées à la demande de toute autorité compétente concernée, et viser à assurer une approche convergente en ce qui concerne les entités critiques interconnectées qui utilisent des infrastructures critiques, un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel; physiquement connectées entre deux ou plusieurs États membres, qui appartiennent aux mêmes groupes ou structures d’entreprise, ou qui ont été recensées dans un État membre et qui fournissent des services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; à ou dans d’autres États membres.

Lorsque des dispositions du droit de l’Union ou du droit national exigent que les entités critiques évaluent les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; pertinents aux fins de la présente directive et qu’elles prennent des mesures pour garantir leur propre résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir;, ces exigences devraient être suffisamment prises en considération aux fins de surveiller le respect de la présente directive par les entités critiques.

Les entités critiques devraient avoir une connaissance approfondie des risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; pertinents auxquels elles sont exposées et être tenues de les analyser. À cette fin, elles devraient procéder à des évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; chaque fois que cela s’avère nécessaire compte tenu de leurs circonstances particulières et de l’évolution de ces risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; et, en tout cas, tous les quatre ans, afin d’évaluer tous les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; pertinents qui pourraient perturber la fourniture de leurs services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; (ci-après dénommée «évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe;»). Lorsque les entités critiques ont procédé à d’autres évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; ou établi des documents en vertu d’obligations prévues par d’autres actes juridiques qui sont pertinents pour leur évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe;, elles devraient pouvoir utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans la présente directive en ce qui concerne les évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’entités critiques. Une autorité compétente devrait pouvoir déclarer qu’une évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; existante réalisée par une entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; qui porte sur les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; pertinents et le degré pertinent de dépendance respecte, en tout ou en partie, les obligations prévues par la présente directive.

Les entités critiques devraient adopter des mesures techniques, des mesures de sécurité et des mesures organisationnelles appropriées et proportionnées aux risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; auxquels elles sont confrontées, de manière à prévenir tout incident, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit;, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en remettre. Bien que les entités critiques soient tenues de prendre ces mesures conformément à la présente directive, les détails et la portée de ces mesures devraient refléter de manière appropriée et proportionnée les différents risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; que chaque entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; a recensés dans le cadre de son évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; et les spécificités de cette entité. Pour favoriser une approche cohérente de l’Union, la Commission devrait, après consultation du groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques, adopter des lignes directrices non contraignantes afin de préciser davantage ces mesures techniques, ces mesures de sécurité et ces mesures organisationnelles. Les États membres devraient veiller à ce que chaque entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; désigne un agent de liaison ou une personne ayant une fonction équivalente en tant que point de contact avec les autorités compétentes.

Dans un souci d’efficacité et de responsabilité, les entités critiques devraient décrire les mesures qu’elles prennent avec un niveau de détail suffisant pour atteindre les objectifs d’efficacité et de responsabilité, eu égard aux risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; identifiés, dans un plan de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; ou dans un ou plusieurs documents équivalents, et appliquer ce plan dans la pratique. Lorsqu’une entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; a déjà pris des mesures techniques, des mesures de sécurité et des mesures organisationnelles et établi des documents en vertu d’autres actes juridiques qui sont pertinents aux fins des mesures de renforcement de la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; au titre de la présente directive, elle devrait pouvoir, afin d’éviter les doubles emplois, utiliser ces mesures et documents pour satisfaire aux exigences en ce qui concerne les mesures de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; au titre de la présente directive. Afin d’éviter les doubles emplois, une autorité compétente devrait pouvoir déclarer comme conformes, en tout ou en partie, aux exigences de la présente directive des mesures de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; existantes prises par une entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; qui répondent à son obligation de prendre des mesures techniques, des mesures de sécurité et des mesures organisationnelles.

Les règlements (CE) n^o 725/2004(¹⁴)Règlement (CE) n^o 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l’amélioration de la sûreté des navires et des installations portuaires (JO L 129 du 29.4.2004, p. 6). et (CE) n^o 300/2008(¹⁵)Règlement (CE) n^o 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) n^o 2320/2002 (JO L 97 du 9.4.2008, p. 72). du Parlement européen et du Conseil et la directive 2005/65/CE du Parlement européen et du Conseil(¹⁶)Directive 2005/65/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à l’amélioration de la sûreté des ports (JO L 310 du 25.11.2005, p. 28). définissent des exigences applicables aux entités des secteurs de l’aviation et du transport maritime afin de prévenir les incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; causés par des actes illicites, d’y résister et d’en atténuer les conséquences. Bien que les mesures requises par la présente directive soient plus larges en ce qui concerne les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; pris en compte et les types de mesures devant être prises, les entités critiques de ces secteurs devraient prendre en considération dans leur plan de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; ou dans des documents équivalents les mesures prises en application de ces autres actes juridiques de l’Union. Les entités critiques doivent également prendre en considération la directive 2008/96/CE du Parlement européen et du Conseil(¹⁷)Directive 2008/96/CE du Parlement européen et du Conseil du 19 novembre 2008 concernant la gestion de la sécurité des infrastructures routières (JO L 319 du 29.11.2008, p. 59)., qui instaure une évaluation de l’ensemble du réseau routier pour cartographier les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; d’accidents et une inspection de sécurité routière ciblée, afin de déterminer les conditions dangereuses, les défauts et les problèmes qui augmentent le risque, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; d’accidents et de blessures, sur la base de visites sur place de routes existantes ou de tronçons de route existants. Veiller à la protection et à la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques est de la plus haute importance pour le secteur ferroviaire et, lorsqu’elles mettent en œuvre des mesures de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; au titre de la présente directive, les entités critiques sont encouragées à se référer aux lignes directrices non contraignantes et aux documents de bonnes pratiques élaborés dans le cadre de groupes de travail sectoriels, tels que la plateforme de l’Union européenne en matière de sûreté des voyageurs ferroviaires créée par la décision 2018/C 232/03 de la Commission(¹⁸)Décision de la Commission du 29 juin 2018 portant création de la plateforme de l’Union européenne en matière de sûreté des voyageurs ferroviaires 2018/C 232/03 (JO C 232 du 3.7.2018, p. 10)..

Le risque, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; que des membres du personnel des entités critiques ou de leurs contractants utilisent de manière abusive, par exemple leurs droits d’accès au sein de l’organisation de l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; pour nuire et causer un préjudice est de plus en plus préoccupant. Les États membres devraient par conséquent préciser les conditions dans lesquelles les entités critiques sont autorisées, dans des cas dûment motivés et compte tenu des évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’États membres, à présenter des demandes de vérification des antécédents des personnes appartenant à des catégories spécifiques de leur personnel. Il convient de veiller à ce que les autorités concernées évaluent ces demandes dans un délai raisonnable et les traitent conformément au droit national et aux procédures nationales, et au droit de l’Union pertinent et applicable, y compris en matière de protection des données à caractère personnel. Afin de confirmer l’identité d’une personne faisant l’objet d’une vérification des antécédents, il convient que les États membres exigent une preuve de son identité, comme un passeport, une carte d’identité nationale ou une forme d’identification numérique, conformément au droit applicable.

Il convient de mettre en place un mécanisme de notification de certains incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; afin de permettre aux autorités compétentes de réagir rapidement et de manière adéquate aux incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; et de disposer d’une vue d’ensemble complète de l’impact, de la nature, de la cause et des conséquences éventuelles d’incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; auxquels les entités critiques sont confrontées. Les entités critiques devraient notifier sans retard injustifié aux autorités compétentes les incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement;. À moins qu’elles n’en soient empêchées sur le plan opérationnel, les entités critiques devraient présenter une notification initiale au plus tard vingt-quatre heures après avoir pris connaissance d’un incident, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit;. La notification initiale ne devrait inclure que les informations strictement nécessaires pour porter l’incident, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; à la connaissance de l’autorité compétente et permettre à l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; de demander une assistance, si nécessaire. Une telle notification devrait indiquer, lorsque cela est possible, la cause présumée de l’incident, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit;. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; des activités liées à la gestion de l’incident, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit;, qui devraient être prioritaires. La notification initiale devrait être suivie, s’il y a lieu, d’un rapport détaillé au plus tard un mois après l’incident, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit;. Le rapport détaillé devrait compléter la notification initiale et fournir une vue d’ensemble plus complète de l’incident, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit;.

Il convient que la normalisation demeure un processus essentiellement conduit par le marché. Toutefois, il pourrait être approprié dans certaines situations d’exiger le respect de certaines normes, une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(30) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).;. Les États membres devraient, lorsque cela est utile, promouvoir l’utilisation de normes, une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(30) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; européennes et internationales et de spécifications techniques, une spécification technique au sens de l’article 2, point 4), du règlement (UE) no 1025/2012; pertinentes pour les mesures de sécurité et les mesures de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; applicables aux entités critiques.

Si les entités critiques exercent généralement leurs activités dans le cadre d’un réseau de fourniture de services et d’infrastructures de plus en plus interconnecté et fournissent souvent des services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; dans plus d’un État membre, certaines de ces entités critiques revêtent une importance particulière pour l’Union et son marché intérieur car elles fournissent des services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; à ou dans six États membres ou plus, et pourraient donc bénéficier d’un soutien spécifique au niveau de l’Union. Il y a donc lieu d’établir des règles relatives aux missions de conseil destinées à ces entités critiques d’importance européenne particulière. Ces règles sont sans préjudice des dispositions relatives à la supervision et à l’exécution des règles énoncées dans la présente directive.

Sur demande motivée de la Commission ou d’un ou de plusieurs États membres auxquels ou dans lesquels le service essentiel, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; est fourni, lorsque des informations supplémentaires sont nécessaires pour pouvoir conseiller une entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; en vue du respect de ses obligations au titre de la présente directive ou pour évaluer le respect de ces obligations par une entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; d’importance européenne particulière, l’État membre qui a désigné une entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; d’importance européenne particulière en tant qu’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; devrait fournir certaines informations à la Commission, conformément à la présente directive. En accord avec l’État membre qui a désigné l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; d’importance européenne particulière en tant qu’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe;, la Commission devrait pouvoir organiser une mission de conseil afin d’évaluer les mesures mises en place par cette entité. Afin de garantir la bonne exécution de ces missions de conseil, il convient d’établir des règles complémentaires, notamment en ce qui concerne l’organisation et le déroulement des missions de conseil, les actions de suivi à entreprendre et les obligations incombant aux entités critiques d’importance européenne particulière concernées. Sans préjudice de la nécessité pour l’État membre dans lequel la mission de conseil est menée et pour l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; concernée de respecter les règles prévues par la présente directive, les missions de conseil devraient être menées sous réserve des règles détaillées du droit dudit État membre, par exemple en ce qui concerne les conditions précises à remplir pour obtenir l’accès aux locaux ou aux documents pertinents et les voies de recours juridictionnel. L’expertise spécifique requise pour de telles missions de conseil pourrait, selon les besoins, être demandée par l’intermédiaire du centre de coordination de la réaction d’urgence institué par la décision n^o 1313/2013/UE du Parlement européen et du Conseil(²²)Décision n^o 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013 relative au mécanisme de protection civile de l’Union (JO L 347 du 20.12.2013, p. 924)..

Afin de soutenir la Commission et de faciliter la coopération entre les États membres et l’échange d’informations, y compris des bonnes pratiques, sur les questions liées à la présente directive, il convient de créer un groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques, en tant que groupe d’experts de la Commission. Les États membres devraient s’efforcer de veiller à ce que les représentants désignés de leurs autorités compétentes au sein du groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques coopèrent de manière efficace et efficiente, y compris en désignant des représentants qui disposent d’une habilitation de sécurité, s’il y a lieu. Le groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques devrait commencer à s’acquitter de ses tâches dès que possible, de manière à mettre à disposition des moyens supplémentaires pour une coopération appropriée pendant la période de transposition de la présente directive. Le groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques devrait interagir avec d’autres groupes de travail d’experts sectoriels pertinents.

Le groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques devrait coopérer avec le groupe de coopération créé par la directive (UE) 2022/2555 afin de soutenir un cadre global pour la cyberrésilience et la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; non liée à la cybersécurité des entités critiques. Le groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques et le groupe de coopération institué par la directive (UE) 2022/2555 devraient entretenir un dialogue régulier afin de promouvoir la coopération entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 et de faciliter l’échange d’informations, notamment sur des sujets présentant un intérêt pour les deux groupes.

Afin d’atteindre les objectifs de la présente directive, et sans préjudice de la responsabilité juridique qui incombe aux États membres et aux entités critiques de veiller au respect de leurs obligations respectives qui y sont énoncées, la Commission devrait, lorsqu’elle le juge approprié, soutenir les autorités compétentes et les entités critiques afin de faciliter le respect par celles-ci de leurs obligations respectives. Lorsqu’elle apporte un soutien aux États membres et aux entités critiques dans la mise en œuvre des obligations prévues dans la présente directive, la Commission devrait s’appuyer sur les structures et outils existants, tels que ceux relevant du mécanisme de protection civile de l’Union, établi par la décision n^o 1313/2013/UE, et du réseau européen de référence pour la protection des infrastructures critiques, un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel;. En outre, elle devrait informer les États membres des ressources disponibles au niveau de l’Union, par exemple au sein du Fonds pour la sécurité intérieure, établi par le règlement (UE) 2021/1149 du Parlement européen et du Conseil(²³)Règlement (UE) 2021/1149 du Parlement européen et du Conseil du 7 juillet 2021 établissant le Fonds pour la sécurité intérieure (JO L 251 du 15.7.2021, p. 94)., d’Horizon Europe, établi par le règlement (UE) 2021/695 du Parlement européen et du Conseil(²⁴)Règlement (UE) 2021/695 du Parlement européen et du Conseil du 28 avril 2021 portant établissement du programme-cadre pour la recherche et l’innovation «Horizon Europe» et définissant ses règles de participation et de diffusion, et abrogeant les règlements (UE) n^o 1290/2013 et (UE) n^o 1291/2013 (JO L 170 du 12.5.2021, p. 1)., ou d’autres instruments pertinents pour la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques.

Les États membres devraient veiller à ce que leurs autorités compétentes disposent de certains pouvoirs spécifiques pour assurer la bonne application et l’exécution de la présente directive à l’égard des entités critiques, lorsque ces entités relèvent de leur compétence comme il est précisé dans la présente directive. Ces pouvoirs devraient comprendre notamment le pouvoir d’effectuer des inspections et des audits, le pouvoir de superviser, le pouvoir d’exiger des entités critiques qu’elles fournissent des informations et des éléments de preuve concernant les mesures qu’elles ont prises pour respecter leurs obligations et, lorsque c’est nécessaire, le pouvoir d’adresser des injonctions afin qu’il soit remédié aux violations constatées. Lorsqu’ils adressent de telles injonctions, les États membres ne devraient pas exiger de mesures allant au-delà de ce qui est nécessaire et proportionné pour garantir le respect par l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; concernée des obligations qui lui incombent, compte tenu, notamment, de la gravité de la violation et de la capacité économique de l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; concernée. Plus généralement, ces pouvoirs devraient s’accompagner de garanties appropriées et effectives, devant être précisées dans le droit national conformément à la Charte des droits fondamentaux de l’Union européenne. Lorsqu’elles évaluent le respect par les entités critiques des obligations que leur impose la présente directive, les autorités compétentes en vertu de la présente directive devraient pouvoir demander aux autorités compétentes en vertu de la directive (UE) 2022/2555 d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’une entité relevant de ladite directive qui a été désignée en tant qu’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; en vertu de la présente directive. Les autorités compétentes en vertu de la directive (UE) 2022/2555 devraient coopérer et échanger des informations à cette fin.

Afin que la présente directive soit appliquée de manière effective et cohérente, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en vue de compléter la présente directive en dressant une liste des services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement;. Cette liste devrait être utilisée par les autorités compétentes aux fins de la réalisation d’évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’États membres et du recensement des entités critiques en vertu de la présente directive. Compte tenu de l’approche fondée sur une harmonisation minimale suivie par la présente directive, cette liste n’est pas exhaustive et les États membres pourraient la compléter en y ajoutant d’autres services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; au niveau national afin de tenir compte des spécificités nationales en ce qui concerne la fourniture de services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement;. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»(²⁵)JO L 123 du 12.5.2016, p. 1.. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées conformément au règlement (UE) n^o 182/2011 du Parlement européen et du Conseil(²⁶)Règlement (UE) n^o 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13)..

Étant donné que les objectifs de la présente directive, à savoir garantir que les services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; au maintien de fonctions sociétales ou d’activités économiques vitales soient fournis sans entrave dans le marché intérieur et améliorer la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques qui fournissent de tels services, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent en raison des effets de l’action l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(²⁷)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39). et a rendu un avis le 11 août 2021.

Il convient donc d’abroger la directive 2008/114/CE,