Source: OJ L 333, 27.12.2022, pp. 164–198Current language: FR
- Resilience of critical entities
Basic legislative acts
- CER directive
Article 4 Stratégie pour la résilience des entités critiques
À la suite d’une consultation qui est, dans la mesure du possible en pratique, ouverte aux parties prenantes concernées, chaque État membre adopte, au plus tard le 17 janvier 2026, une stratégie visant à renforcer la résilience des entités critiques (ci-après dénommée «stratégie»). La stratégie définit des objectifs stratégiques et des mesures politiques, en s’appuyant sur des stratégies nationales et sectorielles, des plans ou des documents similaires pertinents existants, en vue d’atteindre et de maintenir un niveau élevé de résilience des entités critiques et de couvrir au moins les secteurs figurant à l’annexe.
Chaque stratégie contient au moins les éléments suivants:
les objectifs stratégiques et les priorités aux fins de renforcer la résilience globale des entités critiques, compte tenu des dépendances et des interdépendances transfrontières et transsectorielles;
un cadre de gouvernance permettant d’atteindre les objectifs stratégiques et les priorités, y compris une description des rôles et des responsabilités des différentes autorités, entités critiques et autres parties participant à la mise en œuvre de la stratégie;
une description des mesures nécessaires pour renforcer la résilience globale des entités critiques, y compris une description de l’évaluation des risques visée à l’article 5;
une description du processus par lequel les entités critiques sont recensées;
une description du processus de soutien aux entités critiques conformément au présent chapitre, y compris les mesures visant à renforcer la coopération entre le secteur public, d’une part, et le secteur privé et les entités publiques et privées, d’autre part;
une liste des principales autorités et parties prenantes concernées, autres que les entités critiques, participant à la mise en œuvre de la stratégie;
un cadre d’action pour la coordination entre les autorités compétentes en vertu de la présente directive (ci-après dénommées «autorités compétentes») et les autorités compétentes en vertu de la directive (UE) 2022/2555 aux fins du partage d’informations sur les risques, menaces et incidents en matière de cybersécurité ainsi que sur les risques, menaces et incidents non liés à la cybersécurité, et de l’exercice des tâches de supervision;
une description des mesures déjà en place visant à faciliter la mise en œuvre des obligations prévues au chapitre III de la présente directive par les petites et moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE de la Commission(31)Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36). que les États membres concernés ont recensées en tant qu’entités critiques.
À la suite d’une consultation qui est, dans la mesure du possible en pratique, ouverte aux parties prenantes concernées, les États membres mettent à jour leur stratégie au moins tous les quatre ans.
Les États membres communiquent leur stratégie et leurs mises à jour substantielles à la Commission dans un délai de trois mois à compter de leur adoption.
Relevant recitals
Considérant 13 Strategy for resilience of critical entities
Afin de garantir une approche globale de la résilience des entités critiques, chaque État membre devrait disposer d’une stratégie pour renforcer la résilience des entités critiques (ci-après dénommée «stratégie»). La stratégie devrait définir les objectifs stratégiques et les mesures politiques à mettre en œuvre. Dans un souci de cohérence et d’efficacité, la stratégie devrait être conçue de manière à intégrer harmonieusement les politiques existantes, en s’appuyant, chaque fois que cela est possible, sur des stratégies nationales et sectorielles, des plans ou des documents similaires existants pertinents. Afin de mettre en place une approche globale, les États membres devraient veiller à ce que leur stratégie prévoie un cadre d’action pour une coordination renforcée entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 dans le contexte du partage d’informations sur les risques, menaces et incidents en matière de cybersécurité et les risques, menaces et incidents non liés à la cybersécurité, et dans le contexte de l’exercice des tâches de supervision. Lorsqu’ils mettent en place leur stratégie, les États membres devraient tenir dûment compte de la nature hybride des menaces pesant sur les entités critiques.
Considérant 14 Communication of strategies to the European Commission
Les États membres devraient communiquer leur stratégie et les mises à jour substantielles de celle-ci à la Commission, notamment pour permettre à cette dernière d’évaluer la bonne application de la présente directive en ce qui concerne les approches stratégiques à l’égard de la résilience des entités critiques à l’échelon national. Les stratégies pourraient être communiquées en tant qu’informations classifiées. La Commission devrait établir un rapport de synthèse sur les stratégies communiquées par les États membres, qui servirait de base aux échanges visant à recenser les bonnes pratiques et les questions d’intérêt commun dans le cadre d’un groupe sur la résilience des entités critiques. Les informations agrégées figurant dans le rapport de synthèse, qu’elles soient classifiées ou non, étant par nature sensibles, la Commission devrait gérer le rapport de synthèse en étant dûment consciente de la question de la sécurité des entités critiques, des États membres et de l’Union. Le rapport de synthèse et les stratégies devraient être protégés contre les actes illicites ou malveillants et ne devraient être accessibles qu’aux personnes autorisées afin d’atteindre les objectifs de la présente directive. La communication des stratégies et de leurs mises à jour substantielles devrait également aider la Commission à comprendre l’évolution des approches à l’égard de la résilience des entités critiques et à alimenter le suivi de l’impact et de la valeur ajoutée de la présente directive, que la Commission doit réexaminer périodiquement.
Considérant 24 Relation to requirements and competent authorities under the NIS 2 directive
Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 devraient coopérer et échanger des informations sur les risques, menaces et incidents en matière de cybersécurité ainsi que sur les risques, menaces et incidents non liés à la cybersécurité affectant les entités critiques, et sur les mesures pertinentes prises par les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 Il importe que les États membres veillent à ce que les exigences prévues par la présente directive et la directive (UE) 2022/2555 soient mises en œuvre de manière complémentaire et à ce que les entités critiques ne soient pas soumises à une charge administrative supérieure à ce qui est nécessaire pour atteindre les objectifs de la présente directive et de ladite directive.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.