Article premier Objet et champ d’application

1. impose aux États membres l’obligation d’adopter des mesures spécifiques visant à garantir que les services qui sont essentiels au maintien de fonctions sociétales ou d’activités économiques vitales, dans le champ d’application de l’article 114 du traité sur le fonctionnement de l’Union européenne, soient fournis sans entrave dans le marché intérieur, en particulier l’obligation de recenser les entités critiques et l’obligation d’ aider les entités critiques à s’acquitter des obligations qui leur incombent;

2. impose aux entités critiques des obligations visant à renforcer leur résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; et leur capacité à fournir les services visés au point a) dans le marché intérieur;

3. établit des règles relatives:

   1. à la supervision des entités critiques;

   2. à l’exécution des règles;

   3. au recensement des entités critiques d’importance européenne particulière, ainsi qu’aux missions de conseil pour évaluer les mesures que ces entités ont mises en place pour satisfaire aux obligations qui leur incombent en vertu du chapitre III;

4. établit des procédures communes en matière de coopération et d’établissement de rapports sur l’application de la présente directive;

5. prévoit des mesures visant à atteindre un niveau élevé de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques afin de garantir la fourniture de services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; dans l’Union et d’améliorer le fonctionnement du marché intérieur.

La présente directive ne s’applique pas aux questions couvertes par la directive (UE) 2022/2555, sans préjudice de l’article 8 de la présente directive. La sécurité physique et la cybersécurité des entités critiques étant liées, les États membres veillent à ce que la présente directive et la directive (UE) 2022/2555 soient mises en œuvre de manière coordonnée.

Lorsque des dispositions d’actes juridiques sectoriels de l’Union exigent des entités critiques qu’elles adoptent des mesures pour renforcer leur résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir;, et lorsque ces exigences sont reconnues par les États membres comme étant au moins équivalentes aux obligations correspondantes prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris les dispositions relatives à la supervision et à l’exécution prévues au chapitre VI, ne s’appliquent pas.

Sans préjudice de l’article 346 du traité sur le fonctionnement de l’Union européenne, les informations qui sont confidentielles en application de règles de l’Union ou de règles nationales, telles que les règles relatives au secret des affaires, ne peuvent faire l’objet d’un échange avec la Commission et d’autres autorités concernées conformément à la présente directive que si cet échange est nécessaire à l’application de la présente directive. Les informations échangées se limitent à ce qui est nécessaire et proportionné à l’objectif de cet échange. L’échange d’informations préserve la confidentialité desdites informations ainsi que la sécurité et les intérêts commerciaux des entités critiques, tout en respectant la sécurité des États membres.

La présente directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de la défense et de leur pouvoir de garantir d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer l’intégrité territoriale de l’État et le maintien de l’ordre public.

La présente directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière.

Les États membres peuvent décider que l’article 11 et les chapitres III, IV et VI, en tout ou en partie, ne s’appliquent pas à certaines entités critiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière, ou qui fournissent des services exclusivement aux entités de l’administration publique visées au paragraphe 6 du présent article.

Les obligations prévues dans la présente directive n’impliquent pas la fourniture d’informations dont la divulgation serait contraire aux intérêts essentiels des États membres en matière de sécurité nationale, de sécurité publique ou de défense.

La présente directive est sans préjudice du droit de l’Union relatif à la protection des données à caractère personnel, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil(²⁸)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1). et la directive 2002/58/CE du Parlement européen et du Conseil(²⁹)Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37)..