Article premier Objet et champ d’application

La directive 2008/114/CE(⁴)Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75). du Conseil établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l’énergie et des transports dont la perturbation ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l’évaluation de la directive 2008/114/CE réalisée en 2019 a montré qu’en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. Par conséquent, il est nécessaire de réorienter l’approche en vue de faire en sorte que les risques soient mieux pris en compte, que le rôle et les obligations des entités critiques, en tant que fournisseurs de services essentiels au fonctionnement du marché intérieur, soient mieux définis et cohérents, et que des règles de l’Union soient adoptées afin de renforcer la résilience des entités critiques. Les entités critiques devraient être en mesure de renforcer leur capacité à prévenir les incidents susceptibles de perturber la fourniture de services essentiels, à s’en protéger, à y réagir, à y résister, à les atténuer, à les absorber, à s’y adapter et à s’en remettre.

Si un certain nombre de mesures prises au niveau de l’Union, telles que le programme européen de protection des infrastructures critiques, et au niveau national visent à soutenir la protection des infrastructures critiques dans l’Union, il convient d’en faire davantage pour que les entités qui exploitent ces infrastructures soient mieux équipées pour faire face aux risques pesant sur leurs activités qui pourraient entraîner une perturbation de la fourniture de services essentiels. Il convient aussi d’en faire davantage pour mieux équiper ces entités, car les menaces forment un paysage dynamique, qui comprend des menaces hybrides et terroristes en évolution, et des interdépendances croissantes entre les infrastructures et les secteurs. En outre, il existe un risque physique accru lié aux catastrophes naturelles et au changement climatique, qui augmente la fréquence et l’ampleur des phénomènes météorologiques extrêmes et entraîne des changements à long terme des conditions climatiques moyennes, susceptibles de réduire la capacité, l’efficacité et la durée de vie de certains types d’infrastructures si des mesures d’adaptation au changement climatique ne sont pas mises en place. De plus, le marché intérieur est caractérisé par une fragmentation en ce qui concerne le recensement des entités critiques, les secteurs et les catégories d’entités concernés n’étant pas systématiquement reconnus comme critiques dans tous les États membres. La présente directive devrait donc instaurer un niveau élevé d’harmonisation en ce qui concerne les secteurs et les catégories d’entités relevant de son champ d’application.

Si certains secteurs de l’économie, tels que les secteurs de l’énergie et des transports, sont déjà réglementés par des actes juridiques sectoriels de l’Union, ces actes juridiques contiennent des dispositions qui portent uniquement sur certains aspects de la résilience des entités actives dans ces secteurs. Afin de traiter de manière globale la résilience des entités qui sont critiques pour le bon fonctionnement du marché intérieur, la présente directive crée un cadre général applicable à la résilience des entités critiques en ce qui concerne tous les risques, qu’ils soient naturels ou d’origine humaine, accidentels ou intentionnels.

Les interdépendances croissantes entre les infrastructures et les secteurs sont le résultat d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures clés dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, de l’eau potable, des eaux usées, de la production, de la transformation et de la distribution de denrées alimentaires, de la santé, de l’espace, des infrastructures du marché financier et des infrastructures numériques, et de certains aspects du secteur de l’administration publique. Le secteur spatial relève du champ d’application de la présente directive pour ce qui est de la fourniture de certains services qui dépendent d’infrastructures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées; par conséquent, les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de son programme spatial ne relèvent pas du champ d’application de la présente directive.

En ce qui concerne le secteur de l’énergie, et plus particulièrement les procédés de production et de transport de l’électricité (en ce qui concerne la fourniture d’électricité), il est entendu que, lorsque cela est jugé approprié, la production d’électricité peut englober les éléments des centrales nucléaires servant au transport de l’électricité, tout en excluant les éléments strictement nucléaires, qui relèvent du droit de l’Union, y compris les actes juridiques pertinents de l’Union concernant l’énergie nucléaire, et des traités. Le processus de recensement des entités critiques dans le secteur alimentaire devrait refléter de manière adéquate la nature du marché intérieur dans ce secteur et les règles étendues de l’Union relatives aux principes généraux et aux prescriptions générales de la législation alimentaire et à ceux en matière de sécurité des denrées alimentaires. Par conséquent, afin de garantir une approche proportionnée et de tenir dûment compte du rôle et de l’importance de ces entités au niveau national, il convient de ne recenser parmi les entreprises du secteur alimentaire que les entités critiques, qu’elles soient à but lucratif ou non et qu’elles soient publiques ou privées, qui se consacrent exclusivement à la logistique, à la distribution en gros, ainsi qu’à la production et à la transformation industrielles à grande échelle et détenant une part de marché importante, comme observé au niveau national. Ces interdépendances signifient que toute perturbation de services essentiels, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement une incidence négative à long terme et de grande ampleur sur la fourniture de services dans l’ensemble du marché intérieur. Les crises majeures, telles que la pandémie de COVID-19, ont mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques à faible probabilité de survenance, mais à fort impact.

Les entités participant à la fourniture de services essentiels sont de plus en plus soumises à des exigences divergentes imposées par le droit national. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités non seulement entraîne des niveaux de résilience différents mais risque également d’avoir une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, et entrave le bon fonctionnement du marché intérieur. Les investisseurs et les entreprises peuvent se fier et faire confiance aux entités critiques qui sont résilientes, et la fiabilité et la confiance constituent la clé de voûte d’un marché intérieur performant. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont recensés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte une charge administrative supplémentaire et inutile pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. Un cadre de l’Union aurait donc également pour effet de créer des conditions équitables pour les entités critiques dans toute l’Union.

Il est nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture de services essentiels dans le marché intérieur, de renforcer la résilience des entités critiques et d’améliorer la coopération transfrontière entre les autorités compétentes. Il importe que ces règles soient à l’épreuve du temps en ce qui concerne leur conception et leur mise en œuvre, tout en offrant la souplesse nécessaire. Il est également crucial d’améliorer la capacité des entités critiques à fournir des services essentiels face à un ensemble diversifié de risques.

Afin d’atteindre un niveau élevé de résilience, les États membres devraient recenser les entités critiques qui seront soumises à des exigences et à une supervision spécifiques, et qui bénéficieront d’un soutien et de conseils particuliers face à tous les risques pertinents.

Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques et dans un souci d’uniformité, il convient de veiller à une approche cohérente, chaque fois que cela est possible, entre la présente directive et la directive (UE) 2022/2555 du Parlement européen et du Conseil(⁵)Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n^o 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (voir page 80 du présent Journal officiel).. Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques en matière de cybersécurité, la directive (UE) 2022/2555 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est suffisamment traitée dans la directive (UE)2022/2555, les questions qu’elle couvre devraient être exclues du champ d’application de ladite directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques.

Lorsque des dispositions d’actes juridiques sectoriels de l’Union exigent des entités critiques qu’elles prennent des mesures pour renforcer leur résilience et lorsque ces exigences sont reconnues par les États membres comme étant au moins équivalentes aux obligations correspondantes prévues par la présente directive, les dispositions pertinentes de la présente directive ne devraient pas s’appliquer, de manière à éviter tout double emploi et une charge inutile. Dans un tel cas, les dispositions pertinentes de ces actes juridiques de l’Union devraient s’appliquer. Lorsque les dispositions pertinentes de la présente directive ne s’appliquent pas, les dispositions relatives à la supervision et à l’exécution des règles prévues par la présente directive ne devraient pas non plus s’appliquer.

La présente directive n’affecte pas la compétence des États membres et de leurs autorités pour ce qui est de l’autonomie administrative ou la responsabilité qui leur incombe en matière de sauvegarde de la sécurité nationale et de la défense ou leur pouvoir de garantir d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer la sécurité publique, l’intégrité territoriale et le maintien de l’ordre public. L’exclusion des entités de l’administration publique du champ d’application de la présente directive devrait s’appliquer aux entités qui exercent leurs activités principalement dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière. Toutefois, les entités de l’administration publique dont les activités ne sont que marginalement liées à ces domaines devraient relever du champ d’application de la présente directive. Aux fins de la présente directive, les entités disposant de compétences réglementaires ne sont pas considérées comme exerçant des activités dans le domaine de l’application de la loi et elles ne sont, par conséquent, pas exclues du champ d’application de la présente directive pour ce motif. Les entités de l’administration publique qui sont établies conjointement avec un pays tiers conformément à un accord international sont exclues du champ d’application de la présente directive. La présente directive ne s’applique pas aux missions diplomatiques et consulaires des États membres dans les pays tiers.

Certaines entités critiques exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière, ou fournissent des services exclusivement à des entités de l’administration publique qui exercent des activités principalement dans ces domaines. Compte tenu de la responsabilité qui incombe aux États membres en matière de sauvegarde de la sécurité nationale et de la défense, les États membres devraient pouvoir décider que les obligations incombant aux entités critiques prévues dans la présente directive ne s’appliquent pas, en tout ou en partie, auxdites entités critiques si les services qu’elles fournissent ou les activités qu’elles exercent sont principalement liés aux domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière. Les entités critiques dont les services ou les activités ne sont que marginalement liés à ces domaines devraient relever du champ d’application de la présente directive. Aucun État membre ne devrait être tenu de fournir des informations dont la divulgation serait contraire aux intérêts essentiels de sa sécurité nationale. Les règles de l’Union ou les règles nationales visant à protéger les informations classifiées et les accords de non-divulgation sont pertinents à cet égard.

Le droit de l’Union relatif aux services financiers impose aux entités financières des exigences étendues visant à ce que tous les risques auxquels elles sont confrontées soient gérés, y compris les risques opérationnels, et à garantir la continuité des activités. Ce droit comprend les règlements (UE) n^o 648/2012(⁸)Règlement (UE) n^o 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1)., (UE) n^o 575/2013(⁹)Règlement (UE) n^o 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) n^o 648/2012 (JO L 176 du 27.6.2013, p. 1). et (UE) n^o 600/2014(¹⁰)Règlement (UE) n^o 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) n^o 648/2012 (JO L 173 du 12.6.2014, p. 84). du Parlement européen et du Conseil et les directive 2013/36/UE(¹¹)Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338). et 2014/65/UE(¹²)Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349). du Parlement européen et du Conseil. Ce cadre juridique est complété par le règlement (UE) 2022/2554 du Parlement européen et du Conseil(¹³)Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 (voir page 1 du présent Journal officiel)., qui fixe des exigences applicables aux entités financières en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC), y compris en matière de protection des infrastructures physiques des TIC. Étant donné que la résilience de ces entités est dès lors entièrement couverte, l’article 11 et les chapitres III, IV et VI de la présente directive ne devraient pas s’appliquer à ces entités, afin d’éviter des doubles emplois et des charges administratives inutiles.

Toutefois, compte tenu de l’importance des services fournis par les entités du secteur financier à des entités critiques appartenant à tous les autres secteurs, les États membres devraient recenser, sur la base des critères et selon la procédure prévus dans la présente directive, les entités du secteur financier en tant qu’entités critiques. Par conséquent, les stratégies, les évaluations des risques d’États membres et les mesures de soutien énoncées au chapitre II de la présente directive devraient s’appliquer. Les États membres devraient pouvoir adopter ou maintenir des dispositions de droit national afin d’atteindre un niveau de résilience plus élevé pour ces entités critiques, à condition que ces dispositions soient compatibles avec le droit de l’Union applicable.

Les règlements (CE) n^o 725/2004(¹⁴)Règlement (CE) n^o 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l’amélioration de la sûreté des navires et des installations portuaires (JO L 129 du 29.4.2004, p. 6). et (CE) n^o 300/2008(¹⁵)Règlement (CE) n^o 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) n^o 2320/2002 (JO L 97 du 9.4.2008, p. 72). du Parlement européen et du Conseil et la directive 2005/65/CE du Parlement européen et du Conseil(¹⁶)Directive 2005/65/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à l’amélioration de la sûreté des ports (JO L 310 du 25.11.2005, p. 28). définissent des exigences applicables aux entités des secteurs de l’aviation et du transport maritime afin de prévenir les incidents causés par des actes illicites, d’y résister et d’en atténuer les conséquences. Bien que les mesures requises par la présente directive soient plus larges en ce qui concerne les risques pris en compte et les types de mesures devant être prises, les entités critiques de ces secteurs devraient prendre en considération dans leur plan de résilience ou dans des documents équivalents les mesures prises en application de ces autres actes juridiques de l’Union. Les entités critiques doivent également prendre en considération la directive 2008/96/CE du Parlement européen et du Conseil(¹⁷)Directive 2008/96/CE du Parlement européen et du Conseil du 19 novembre 2008 concernant la gestion de la sécurité des infrastructures routières (JO L 319 du 29.11.2008, p. 59)., qui instaure une évaluation de l’ensemble du réseau routier pour cartographier les risques d’accidents et une inspection de sécurité routière ciblée, afin de déterminer les conditions dangereuses, les défauts et les problèmes qui augmentent le risque d’accidents et de blessures, sur la base de visites sur place de routes existantes ou de tronçons de route existants. Veiller à la protection et à la résilience des entités critiques est de la plus haute importance pour le secteur ferroviaire et, lorsqu’elles mettent en œuvre des mesures de résilience au titre de la présente directive, les entités critiques sont encouragées à se référer aux lignes directrices non contraignantes et aux documents de bonnes pratiques élaborés dans le cadre de groupes de travail sectoriels, tels que la plateforme de l’Union européenne en matière de sûreté des voyageurs ferroviaires créée par la décision 2018/C 232/03 de la Commission(¹⁸)Décision de la Commission du 29 juin 2018 portant création de la plateforme de l’Union européenne en matière de sûreté des voyageurs ferroviaires 2018/C 232/03 (JO C 232 du 3.7.2018, p. 10)..