Source: OJ L 333, 27.12.2022, pp. 164–198Current language: FR
- Resilience of critical entities
Basic legislative acts
- CER directive
Article 15 Notification d’incidents
Les États membres veillent à ce que les entités critiques notifient sans retard injustifié à l’autorité compétente les incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels. Les États membres veillent à ce que, sauf à être dans l’incapacité de le faire pour des raisons opérationnelles, les entités critiques présentent une première notification au plus tard 24 heures après avoir pris connaissance d’un incident, suivie, s’il y a lieu, d’un rapport détaillé au plus tard un mois après. Afin de déterminer l’importance de la perturbation, les paramètres suivants sont, en particulier, pris en compte:
le nombre et la proportion d’utilisateurs affectés par la perturbation;
la durée de la perturbation;
la zone géographique concernée par la perturbation, en tenant compte de son éventuel isolement géographique.
Lorsqu’un incident a ou pourrait avoir un impact important sur la continuité de la fourniture de services essentiels à ou dans six États membres ou plus, les autorités compétentes des États membres affectés par l’incident notifient ledit incident à la Commission.
Les notifications visées au paragraphe 1, premier alinéa, comprennent toutes les informations disponibles nécessaires pour permettre à l’autorité compétente de comprendre la nature, la cause et les conséquences possibles de l’incident, y compris toute information disponible nécessaire pour déterminer tout impact transfrontière de l’incident. Ces notifications n’ont pas pour effet de soumettre les entités critiques à une responsabilité accrue.
Sur la base des informations fournies par une entité critique dans une notification visée au paragraphe 1, l’autorité compétente concernée, par l’intermédiaire du point de contact unique, informe le point de contact unique des autres États membres affectés lorsque l’incident a ou pourrait avoir un impact important sur les entités critiques et sur la continuité de la fourniture de services essentiels à ou dans un ou plusieurs autres États membres.
Les points de contact uniques qui envoient et reçoivent des informations en vertu du premier alinéa traitent ces informations, conformément au droit de l’Union ou au droit national, de manière à en respecter la confidentialité et à préserver la sécurité et les intérêts commerciaux de l’entité critique concernée.
Dès que possible après la réception d’une notification visée au paragraphe 1, l’autorité compétente concernée fournit à l’entité critique concernée des informations de suivi pertinentes, y compris des informations qui pourraient aider ladite entité critique à réagir efficacement à l’incident en question. Les États membres informent le public lorsqu’ils estiment qu’il serait dans l’intérêt général de le faire.
Relevant recitals
Considérant 33 Incident notification and reporting
Il convient de mettre en place un mécanisme de notification de certains incidents afin de permettre aux autorités compétentes de réagir rapidement et de manière adéquate aux incidents et de disposer d’une vue d’ensemble complète de l’impact, de la nature, de la cause et des conséquences éventuelles d’incidents auxquels les entités critiques sont confrontées. Les entités critiques devraient notifier sans retard injustifié aux autorités compétentes les incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels. À moins qu’elles n’en soient empêchées sur le plan opérationnel, les entités critiques devraient présenter une notification initiale au plus tard vingt-quatre heures après avoir pris connaissance d’un incident. La notification initiale ne devrait inclure que les informations strictement nécessaires pour porter l’incident à la connaissance de l’autorité compétente et permettre à l’entité critique de demander une assistance, si nécessaire. Une telle notification devrait indiquer, lorsque cela est possible, la cause présumée de l’incident. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité critique des activités liées à la gestion de l’incident, qui devraient être prioritaires. La notification initiale devrait être suivie, s’il y a lieu, d’un rapport détaillé au plus tard un mois après l’incident. Le rapport détaillé devrait compléter la notification initiale et fournir une vue d’ensemble plus complète de l’incident.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.