Source: OJ L 333, 27.12.2022, pp. 164–198Current language: FR
- Resilience of critical entities
Basic legislative acts
- CER directive
Article 12 Évaluation des risques par les entités critiques
Nonobstant le délai énoncé à l’article 6, paragraphe 3, deuxième alinéa, les États membres veillent à ce que les entités critiques procèdent à une évaluation des risques dans un délai de neuf mois suivant la réception de la notification visée à l’article 6, paragraphe 3, selon les besoins par la suite et au moins tous les quatre ans, sur la base des évaluations des risques d’États membres et d’autres sources d’informations pertinentes, afin d’évaluer tous les risques pertinents qui pourraient perturber la fourniture de leur services essentiels (ci-après dénommée «évaluation des risques d’entité critique»).
Les évaluations des risques d’entités critiques rendent compte de tous les risques naturels et d’origine humaine pertinents, susceptibles d’entraîner un incident, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides et autres menaces antagonistes, lesquelles comprennent les infractions terroristes prévues par la directive (UE) 2017/541. Une évaluation des risques d’entité critique tient compte de la mesure dans laquelle d’autres secteurs figurant à l’annexe dépendent du service essentiel fourni par l’entité critique et de la mesure dans laquelle cette entité critique dépend des services essentiels fournis par d’autres entités de ces autres secteurs, y compris s’il y a lieu, dans les États membres voisins et les pays tiers.
Lorsqu’une entité critique a réalisé d’autres évaluations des risques ou établi des documents en vertu d’obligations prévues dans d’autres actes juridiques qui sont pertinents pour son évaluation des risques d’entité critique, elle peut utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans le présent article. Dans l’exercice de ses fonctions de supervision, l’autorité compétente peut déclarer qu’une évaluation des risques existante réalisée par une entité critique qui porte sur les risques et le degré de dépendance visés au premier alinéa du présent paragraphe respecte, en tout ou en partie, les obligations prévues par le présent article.
Relevant recitals
Considérant 20 All-hazards approach of the NIS 2 directive
La directive (UE) 2022/2555 impose aux entités appartenant au secteur des infrastructures numériques qui pourraient être recensées en tant qu’entités critiques en vertu de la présente directive de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information et de signaler les cybermenaces et les incidents importants. Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information peuvent avoir des origines différentes, la directive (UE) 2022/2555 applique une approche tous risques qui inclut la résilience des réseaux et des systèmes d’information ainsi que des composants et environnements physiques de ces systèmes.
Les exigences établies par la directive (UE) 2022/2555 à cet égard étant au moins équivalentes aux obligations correspondantes établies par la présente directive, les obligations établies à l’article 11 et aux chapitres III, IV et VI de la présente directive ne devraient pas s’appliquer aux entités appartenant au secteur des infrastructures numériques de manière à éviter tout double emploi et des charges administratives inutiles. Toutefois, compte tenu de l’importance des services fournis par les entités appartenant au secteur des infrastructures numériques à des entités critiques appartenant à tous les autres secteurs, les États membres devraient recenser, sur la base des critères et selon la procédure prévus dans la présente directive, les entités appartenant au secteur des infrastructures numériques en tant qu’entités critiques. Par conséquent, les stratégies, les évaluations des risques d’États membres et les mesures de soutien énoncées au chapitre II de la présente directive devraient s’appliquer. Les États membres devraient pouvoir adopter ou maintenir des dispositions de droit national afin d’atteindre un niveau de résilience plus élevé pour ces entités critiques, à condition que ces dispositions soient compatibles avec le droit de l’Union applicable.
Considérant 28 Use of existing risk assessments
Les entités critiques devraient avoir une connaissance approfondie des risques pertinents auxquels elles sont exposées et être tenues de les analyser. À cette fin, elles devraient procéder à des évaluations des risques chaque fois que cela s’avère nécessaire compte tenu de leurs circonstances particulières et de l’évolution de ces risques et, en tout cas, tous les quatre ans, afin d’évaluer tous les risques pertinents qui pourraient perturber la fourniture de leurs services essentiels (ci-après dénommée «évaluation des risques d’entité critique»). Lorsque les entités critiques ont procédé à d’autres évaluations des risques ou établi des documents en vertu d’obligations prévues par d’autres actes juridiques qui sont pertinents pour leur évaluation des risques d’entité critique, elles devraient pouvoir utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans la présente directive en ce qui concerne les évaluations des risques d’entités critiques. Une autorité compétente devrait pouvoir déclarer qu’une évaluation des risques existante réalisée par une entité critique qui porte sur les risques pertinents et le degré pertinent de dépendance respecte, en tout ou en partie, les obligations prévues par la présente directive.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.