Article 1 - Objet et champ d'application

1. La présente directive :

(a) impose aux États membres l'obligation de prendre des mesures spécifiques visant à garantir que les services essentiels au maintien des fonctions sociétales vitales ou des activités économiques relevant de l'article 114 du TFUE sont fournis sans entrave dans le marché intérieur, en particulier l'obligation d'identifier les entités critiques et de les aider à respecter les obligations qui leur sont imposées ;

(b) fixe des obligations pour les entités critiques afin d'améliorer leur résilience et leur capacité à fournir les services visés au point a) dans le marché intérieur ;

(c) établit des règles :

(i) sur la surveillance des entités critiques ;

(ii) sur l'exécution ;

(iii) pour l'identification des entités critiques d'importance européenne particulière et pour des missions consultatives visant à évaluer les mesures que ces entités ont mises en place pour satisfaire à leurs obligations au titre du chapitre III ;

(d) établit des procédures communes pour la coopération et l'établissement de rapports sur l'application de la présente directive ;

(e) définit des mesures visant à atteindre un niveau élevé de résilience des entités critiques afin d'assurer la fourniture des services essentiels dans l'Union et d'améliorer le fonctionnement du marché intérieur.

2. La présente directive ne s'applique pas aux questions couvertes par la directive (UE) 2022/2555, sans préjudice de l'article 8 de la présente directive. À la lumière de la relation entre la sécurité physique et la protection de l'environnement, la présente directive s'applique. cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; d'entités critiques, les États membres veillent à ce que la présente directive et la directive (UE) 2022/2555 soient mises en œuvre de manière coordonnée.

3. Lorsque des dispositions d'actes juridiques sectoriels de l'Union imposent aux entités critiques de prendre des mesures pour renforcer leur résilience et que ces exigences sont reconnues par les États membres comme étant au moins équivalentes aux obligations correspondantes prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris les dispositions relatives à la surveillance et à l'exécution prévues au chapitre VI, ne s'appliquent pas.

4. Sans préjudice de l'article 346 du TFUE, les informations confidentielles en vertu des règles de l'Union ou des règles nationales, telles que les règles relatives au secret des affaires, ne sont échangées avec la Commission et les autres autorités compétentes conformément à la présente directive que lorsque cet échange est nécessaire à l'application de la présente directive. Les informations échangées sont limitées à celles qui sont pertinentes et proportionnées à l'objectif de cet échange. L'échange d'informations préserve la confidentialité de ces informations ainsi que la sécurité et les intérêts commerciaux des entités critiques, tout en respectant la sécurité des États membres.

5. La présente directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité et de la défense nationales et de leur pouvoir de sauvegarder d'autres fonctions essentielles de l'État, y compris la garantie de l'intégrité territoriale de l'État et le maintien de l'ordre public.

6. La présente directive ne s'applique pas aux entités de l'administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la recherche, la détection et la poursuite d'infractions pénales.

7. Les États membres peuvent décider que l'article 11 et les chapitres III, IV et VI ne s'appliquent pas, en tout ou en partie, aux entités critiques spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la recherche, la détection et la poursuite d'infractions pénales, ou qui fournissent des services exclusivement aux entités de l'administration publique visées au paragraphe 6 du présent article.

8. Les obligations prévues par la présente directive n'impliquent pas la fourniture d'informations dont la divulgation serait contraire aux intérêts essentiels de la sécurité nationale, de la sécurité publique ou de la défense des États membres.

9. La présente directive est sans préjudice du droit de l'Union en matière de protection des données à caractère personnel, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil et la directive 2002/58/CE du Parlement européen et du Conseil.