Article 13 Mesures de résilience des entités critiques

1. prévenir la survenance d’incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit;, en tenant dûment compte de mesures de réduction des risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; de catastrophe et d’adaptation au changement climatique;

2. assurer une protection physique adéquate de leurs locaux et infrastructures critiques, un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel;, en prenant dûment en considération, par exemple, des clôtures, des barrières, des outils et procédures de surveillance des enceintes, et des équipements de détection et de contrôle des accès;

3. réagir et résister aux conséquences des incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; et les atténuer, en prenant dûment en considération la mise en œuvre de procédures et protocoles de gestion des risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; et des crises et de procédures d’alerte;

4. se rétablir d’incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit;, en prenant dûment en considération des mesures assurant la continuité des activités et la détermination d’autres chaînes d’approvisionnement, afin de reprendre la fourniture du service essentiel, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement;;

5. assurer une gestion adéquate de la sécurité liée au personnel, en prenant dûment en considération des mesures telles que la définition des catégories de personnel qui exerce des fonctions critiques, l’établissement de droits d’accès aux locaux, aux infrastructures critiques, un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel; et aux informations sensibles, la mise en place de procédures de vérification des antécédents conformément à l’article 14, la désignation des catégories de personnes tenues de faire l’objet de telles vérifications des antécédents et la définition d’exigences et de qualifications appropriées en matière de formation;

6. sensibiliser le personnel concerné aux mesures visées aux points a) à e), en tenant dûment compte des séances de formation, du matériel d’information et des exercices.

Aux fins du premier alinéa, point e), les États membres veillent à ce que les entités critiques tiennent compte du personnel des prestataires de services extérieurs lorsqu’ils définissent les catégories de personnel qui exerce des fonctions critiques.

Les États membres veillent à ce que les entités critiques aient mis en place et appliquent un plan de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; ou un ou plusieurs documents équivalents, qui décrivent les mesures prises en application du paragraphe 1. Lorsque les entités critiques ont élaboré des documents ou pris des mesures en vertu d’obligations prévues dans d’autres actes juridiques qui sont pertinents pour les mesures visées au paragraphe 1, elles peuvent utiliser ces documents et mesures pour satisfaire aux exigences énoncées dans le présent article. Dans l’exercice de ses fonctions de supervision, l’autorité compétente peut déclarer que des mesures existantes de renforcement de la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; prises par une entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; qui portent, de manière appropriée et proportionnée, sur les mesures techniques, les mesures de sécurité et les mesures organisationnelles visées au paragraphe 1 respectent, en tout ou en partie, les obligations prévues par le présent article.

Les États membres veillent à ce que chaque entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; désigne un agent de liaison ou une personne ayant une fonction équivalente en tant que point de contact avec les autorités compétentes.

À la demande de l’État membre qui a déterminé l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; et avec l’accord de l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; concernée, la Commission organise des missions de conseil, conformément aux modalités prévues à l’article 18, paragraphes 6, 8 et 9, afin de conseiller l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; concernée en vue du respect des obligations qui lui incombent en vertu du chapitre III. La mission de conseil communique ses conclusions à la Commission, audit État membre et à l’entité critique, une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe; concernée.

Après consultation du groupe sur la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques visé à l’article 19, la Commission adopte des lignes directrices non contraignantes afin de préciser davantage les mesures techniques, les mesures de sécurité et les mesures organisationnelles qui peuvent être prises en vertu du paragraphe 1 du présent article.

La Commission adopte des actes d’exécution afin d’établir les spécifications techniques, une spécification technique au sens de l’article 2, point 4), du règlement (UE) no 1025/2012; et méthodologiques nécessaires relatives à l’application des mesures visées au paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 24, paragraphe 2.