Source: OJ L 333, 27.12.2022, pp. 164–198

Article 13 Mesures de résilience des entités critiques

1. Les États membres veillent à ce que les entités critiques prennent des mesures techniques, des mesures de sécurité et des mesures organisationnelles appropriées et proportionnées pour garantir leur résilience, sur la base des informations pertinentes fournies par les États membres concernant l’évaluation des risques d’État membre et les résultats de l’évaluation des risques d’entité critique, y compris des mesures nécessaires pour:
  1. prévenir la survenance d’incidents, en tenant dûment compte de mesures de réduction des risques de catastrophe et d’adaptation au changement climatique;
  2. assurer une protection physique adéquate de leurs locaux et infrastructures critiques, en prenant dûment en considération, par exemple, des clôtures, des barrières, des outils et procédures de surveillance des enceintes, et des équipements de détection et de contrôle des accès;
  3. réagir et résister aux conséquences des incidents et les atténuer, en prenant dûment en considération la mise en œuvre de procédures et protocoles de gestion des risques et des crises et de procédures d’alerte;
  4. se rétablir d’incidents, en prenant dûment en considération des mesures assurant la continuité des activités et la détermination d’autres chaînes d’approvisionnement, afin de reprendre la fourniture du service essentiel;
  5. assurer une gestion adéquate de la sécurité liée au personnel, en prenant dûment en considération des mesures telles que la définition des catégories de personnel qui exerce des fonctions critiques, l’établissement de droits d’accès aux locaux, aux infrastructures critiques et aux informations sensibles, la mise en place de procédures de vérification des antécédents conformément à l’article 14, la désignation des catégories de personnes tenues de faire l’objet de telles vérifications des antécédents et la définition d’exigences et de qualifications appropriées en matière de formation;
  6. sensibiliser le personnel concerné aux mesures visées aux points a) à e), en tenant dûment compte des séances de formation, du matériel d’information et des exercices.
2. Aux fins du premier alinéa, point e), les États membres veillent à ce que les entités critiques tiennent compte du personnel des prestataires de services extérieurs lorsqu’ils définissent les catégories de personnel qui exerce des fonctions critiques.
1. Les États membres veillent à ce que les entités critiques aient mis en place et appliquent un plan de résilience ou un ou plusieurs documents équivalents, qui décrivent les mesures prises en application du paragraphe 1. Lorsque les entités critiques ont élaboré des documents ou pris des mesures en vertu d’obligations prévues dans d’autres actes juridiques qui sont pertinents pour les mesures visées au paragraphe 1, elles peuvent utiliser ces documents et mesures pour satisfaire aux exigences énoncées dans le présent article. Dans l’exercice de ses fonctions de supervision, l’autorité compétente peut déclarer que des mesures existantes de renforcement de la résilience prises par une entité critique qui portent, de manière appropriée et proportionnée, sur les mesures techniques, les mesures de sécurité et les mesures organisationnelles visées au paragraphe 1 respectent, en tout ou en partie, les obligations prévues par le présent article.
1. Les États membres veillent à ce que chaque entité critique désigne un agent de liaison ou une personne ayant une fonction équivalente en tant que point de contact avec les autorités compétentes.
1. À la demande de l’État membre qui a déterminé l’entité critique et avec l’accord de l’entité critique concernée, la Commission organise des missions de conseil, conformément aux modalités prévues à l’article 18, paragraphes 6, 8 et 9, afin de conseiller l’entité critique concernée en vue du respect des obligations qui lui incombent en vertu du chapitre III. La mission de conseil communique ses conclusions à la Commission, audit État membre et à l’entité critique concernée.
1. Après consultation du groupe sur la résilience des entités critiques visé à l’article 19, la Commission adopte des lignes directrices non contraignantes afin de préciser davantage les mesures techniques, les mesures de sécurité et les mesures organisationnelles qui peuvent être prises en vertu du paragraphe 1 du présent article.
1. La Commission adopte des actes d’exécution afin d’établir les spécifications techniques et méthodologiques nécessaires relatives à l’application des mesures visées au paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 24, paragraphe 2.

Relevant recitals

Considérant 4 All-hazards approach

Si certains secteurs de l’économie, tels que les secteurs de l’énergie et des transports, sont déjà réglementés par des actes juridiques sectoriels de l’Union, ces actes juridiques contiennent des dispositions qui portent uniquement sur certains aspects de la résilience des entités actives dans ces secteurs. Afin de traiter de manière globale la résilience des entités qui sont critiques pour le bon fonctionnement du marché intérieur, la présente directive crée un cadre général applicable à la résilience des entités critiques en ce qui concerne tous les risques, qu’ils soient naturels ou d’origine humaine, accidentels ou intentionnels.

Considérant 7 Comprehensive and future-proof minimum rules

Il est nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture de services essentiels dans le marché intérieur, de renforcer la résilience des entités critiques et d’améliorer la coopération transfrontière entre les autorités compétentes. Il importe que ces règles soient à l’épreuve du temps en ce qui concerne leur conception et leur mise en œuvre, tout en offrant la souplesse nécessaire. Il est également crucial d’améliorer la capacité des entités critiques à fournir des services essentiels face à un ensemble diversifié de risques.

Considérant 29 Liason officer and guidelines on common measures

Les entités critiques devraient adopter des mesures techniques, des mesures de sécurité et des mesures organisationnelles appropriées et proportionnées aux risques auxquels elles sont confrontées, de manière à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en remettre. Bien que les entités critiques soient tenues de prendre ces mesures conformément à la présente directive, les détails et la portée de ces mesures devraient refléter de manière appropriée et proportionnée les différents risques que chaque entité critique a recensés dans le cadre de son évaluation des risques d’entité critique et les spécificités de cette entité. Pour favoriser une approche cohérente de l’Union, la Commission devrait, après consultation du groupe sur la résilience des entités critiques, adopter des lignes directrices non contraignantes afin de préciser davantage ces mesures techniques, ces mesures de sécurité et ces mesures organisationnelles. Les États membres devraient veiller à ce que chaque entité critique désigne un agent de liaison ou une personne ayant une fonction équivalente en tant que point de contact avec les autorités compétentes.

Considérant 30 Resilience plan

Dans un souci d’efficacité et de responsabilité, les entités critiques devraient décrire les mesures qu’elles prennent avec un niveau de détail suffisant pour atteindre les objectifs d’efficacité et de responsabilité, eu égard aux risques identifiés, dans un plan de résilience ou dans un ou plusieurs documents équivalents, et appliquer ce plan dans la pratique. Lorsqu’une entité critique a déjà pris des mesures techniques, des mesures de sécurité et des mesures organisationnelles et établi des documents en vertu d’autres actes juridiques qui sont pertinents aux fins des mesures de renforcement de la résilience au titre de la présente directive, elle devrait pouvoir, afin d’éviter les doubles emplois, utiliser ces mesures et documents pour satisfaire aux exigences en ce qui concerne les mesures de résilience au titre de la présente directive. Afin d’éviter les doubles emplois, une autorité compétente devrait pouvoir déclarer comme conformes, en tout ou en partie, aux exigences de la présente directive des mesures de résilience existantes prises par une entité critique qui répondent à son obligation de prendre des mesures techniques, des mesures de sécurité et des mesures organisationnelles.

Considérant 36 Advisory missions

Sur demande motivée de la Commission ou d’un ou de plusieurs États membres auxquels ou dans lesquels le service essentiel est fourni, lorsque des informations supplémentaires sont nécessaires pour pouvoir conseiller une entité critique en vue du respect de ses obligations au titre de la présente directive ou pour évaluer le respect de ces obligations par une entité critique d’importance européenne particulière, l’État membre qui a désigné une entité critique d’importance européenne particulière en tant qu’entité critique devrait fournir certaines informations à la Commission, conformément à la présente directive. En accord avec l’État membre qui a désigné l’entité critique d’importance européenne particulière en tant qu’entité critique, la Commission devrait pouvoir organiser une mission de conseil afin d’évaluer les mesures mises en place par cette entité. Afin de garantir la bonne exécution de ces missions de conseil, il convient d’établir des règles complémentaires, notamment en ce qui concerne l’organisation et le déroulement des missions de conseil, les actions de suivi à entreprendre et les obligations incombant aux entités critiques d’importance européenne particulière concernées. Sans préjudice de la nécessité pour l’État membre dans lequel la mission de conseil est menée et pour l’entité critique concernée de respecter les règles prévues par la présente directive, les missions de conseil devraient être menées sous réserve des règles détaillées du droit dudit État membre, par exemple en ce qui concerne les conditions précises à remplir pour obtenir l’accès aux locaux ou aux documents pertinents et les voies de recours juridictionnel. L’expertise spécifique requise pour de telles missions de conseil pourrait, selon les besoins, être demandée par l’intermédiaire du centre de coordination de la réaction d’urgence institué par la décision n^o 1313/2013/UE du Parlement européen et du Conseil(²²)Décision n^o 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013 relative au mécanisme de protection civile de l’Union (JO L 347 du 20.12.2013, p. 924)..

Considérant 42 Implementing powers of the European Commission

Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées conformément au règlement (UE) n^o 182/2011 du Parlement européen et du Conseil(²⁶)Règlement (UE) n^o 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13)..

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.