Article 5 Évaluation des risques par les États membres

La Commission est habilitée à adopter un acte délégué, conformément à l’article 23, au plus tard le 17 novembre 2023, afin de compléter la présente directive en établissant une liste non exhaustive de services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; dans les secteurs et les sous-secteurs figurant à l’annexe. Les autorités compétentes utilisent ladite liste des services essentiels, un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement; pour effectuer une évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; (ci-après dénommée «évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’État membre») au plus tard le 17 janvier 2026, puis selon les besoins, et au moins tous les quatre ans. Les autorités compétentes utilisent les évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’États membres aux fins de recenser les entités critiques conformément à l’article 6 et pour aider les entités critiques à adopter des mesures en vertu de l’article 13.

Les évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’États membres rendent compte des risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; naturels et d’origine humaine pertinents, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides ou autres menaces antagonistes, lesquelles comprennent les infractions terroristes prévues par la directive (UE) 2017/541 du Parlement européen et du Conseil(³²)Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6)..

1. l’évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; générale effectuée en vertu de l’article 6, paragraphe 1, de la décision n^o 1313/2013/UE;

2. d’autres évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; pertinentes effectuées conformément aux exigences des actes juridiques sectoriels pertinents de l’Union, y compris les règlements (UE) 2017/1938(³³)Règlement (UE) 2017/1938 du Parlement européen et du Conseil du 25 octobre 2017 concernant des mesures visant à garantir la sécurité de l’approvisionnement en gaz naturel et abrogeant le règlement (UE) n^o 994/2010 (JO L 280 du 28.10.2017, p. 1). et (UE) 2019/941(³⁴)Règlement (UE) 2019/941 du Parlement européen et du Conseil du 5 juin 2019 sur la préparation aux risques dans le secteur de l’électricité et abrogeant la directive 2005/89/CE (JO L 158 du 14.6.2019, p. 1). du Parlement européen et du Conseil, ainsi que les directives 2007/60/CE(³⁵)Directive 2007/60/CE du Parlement européen et du Conseil du 23 octobre 2007 relative à l’évaluation et à la gestion des risques d’inondation (JO L 288 du 6.11.2007, p. 27). et 2012/18/UE(³⁶)Directive 2012/18/UE du Parlement européen et du Conseil du 4 juillet 2012 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses, modifiant puis abrogeant la directive 96/82/CE du Conseil (JO L 197 du 24.7.2012, p. 1). du Parlement européen et du Conseil;

3. les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; pertinents découlant de la mesure dans laquelle les secteurs figurant à l’annexe dépendent les uns des autres, y compris de la mesure dans laquelle ils dépendent d’entités situées dans d’autres États membres et des pays tiers, et l’incidence qu’une perturbation importante dans un secteur peut avoir sur d’autres secteurs, y compris tout risque, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; importante pour les citoyens et le marché intérieur;

4. toute information sur les incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; notifiés conformément à l’article 15.

Aux fins du premier alinéa, point c), les États membres coopèrent avec les autorités compétentes d’autres États membres et les autorités compétentes de pays tiers, s’il y a lieu.

Les États membres mettent à la disposition des entités critiques qu’ils ont recensées conformément à l’article 6, s’il y a lieu par l’intermédiaire de leur point de contact unique, les éléments pertinents des évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’États membres. Les États membres veillent à ce que les informations fournies aux entités critiques aident ces dernières à réaliser leurs évaluations des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; en vertu de l’article 12, et à adopter des mesures pour garantir leur résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; en vertu de l’article 13.

Dans un délai de trois mois à compter de la réalisation d’une évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’État membre, l’État membre fournit à la Commission des informations pertinentes sur les types de risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; recensés suivant cette évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’État membre et les résultats de l’évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; d’État membre, par secteur et sous-secteur figurant à l’annexe.

La Commission, en coopération avec les États membres, élabore un modèle commun facultatif de rapport aux fins du respect du paragraphe 4.