LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
Vu la proposition de la Commission européenne,
Après transmission du projet d'acte législatif aux parlements nationaux,
Vu l'avis du Comité économique et social européen,
Vu l'avis du Comité des régions,
Agissant conformément à la procédure législative ordinaire,
Considérant que
(1) Les entités critiques, en tant que prestataires de services essentiels, jouent un rôle indispensable dans le maintien des fonctions sociétales vitales ou des activités économiques dans le marché intérieur, dans une économie de l'Union de plus en plus interdépendante. Il est donc essentiel d'établir un cadre de l'Union visant à la fois à renforcer la résilience des entités critiques dans le marché intérieur en établissant des règles minimales harmonisées et à les aider au moyen de mesures de soutien et de surveillance cohérentes et spécifiques.
(2) La directive 2008/114/CE du Conseil (4) prévoit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l'énergie et des transports dont l'arrêt ou la destruction aurait un impact transfrontalier significatif sur au moins deux États membres. Cette directive se concentre exclusivement sur la protection de ces infrastructures. Toutefois, l'évaluation de la directive 2008/114/CE réalisée en 2019 a révélé qu'en raison de la nature de plus en plus interconnectée et transfrontalière des opérations utilisant des infrastructures critiques, les mesures de protection relatives aux actifs individuels ne suffisent pas à elles seules à empêcher toutes les perturbations. Il est donc nécessaire de réorienter l'approche pour faire en sorte que les risques soient mieux pris en compte, que le rôle et les obligations des entités critiques en tant que fournisseurs de services essentiels au fonctionnement du marché intérieur soient mieux définis et cohérents, et que des règles de l'Union soient adoptées pour renforcer la résilience des entités critiques. Les entités critiques devraient être en mesure de renforcer leur capacité à prévenir les incidents susceptibles de perturber la fourniture de services essentiels, à s'en protéger, à y répondre, à y résister, à les atténuer, à les absorber, à s'en accommoder et à s'en remettre.
(3) Si un certain nombre de mesures prises au niveau de l'Union, telles que le programme européen de protection des infrastructures critiques, et au niveau national visent à soutenir la protection des infrastructures critiques dans l'Union, il convient de faire davantage pour mieux équiper les entités exploitant ces infrastructures afin qu'elles puissent faire face aux risques qui pèsent sur leurs activités et qui pourraient entraîner l'interruption de la fourniture de services essentiels. Il convient également de mieux équiper ces entités en raison de l'existence d'un paysage de menaces dynamique, qui comprend des menaces hybrides et terroristes en constante évolution et des interdépendances croissantes entre les infrastructures et les secteurs. En outre, il y a une augmentation des menaces physiques. risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) en raison des catastrophes naturelles et du changement climatique, qui intensifie la fréquence et l'ampleur des phénomènes météorologiques extrêmes et entraîne des changements à long terme des conditions climatiques moyennes susceptibles de réduire la capacité, l'efficacité et la durée de vie de certains types d'infrastructures si des mesures d'adaptation au climat ne sont pas mises en place. En outre, le marché intérieur se caractérise par une fragmentation en ce qui concerne l'identification des entités critiques, car les secteurs et les catégories d'entités concernés ne sont pas reconnus comme critiques de manière cohérente dans tous les États membres. La présente directive devrait donc atteindre un solide niveau d'harmonisation en ce qui concerne les secteurs et les catégories d'entités entrant dans son champ d'application.
(4) Si certains secteurs de l'économie, tels que les secteurs de l'énergie et des transports, sont déjà régis par des actes juridiques sectoriels de l'Union, ces actes juridiques contiennent des dispositions qui ne concernent que certains aspects de la résilience des entités opérant dans ces secteurs. Afin de traiter de manière globale la résilience des entités qui sont essentielles au bon fonctionnement du marché intérieur, la présente directive crée un cadre général qui traite de la résilience des entités critiques face à tous les risques, qu'ils soient naturels ou d'origine humaine, accidentels ou intentionnels.
(5) Les interdépendances croissantes entre les infrastructures et les secteurs sont le résultat d'un réseau de plus en plus transfrontalier et interdépendant de fourniture de services utilisant des infrastructures clés dans l'ensemble de l'Union dans les secteurs de l'énergie, des transports, de la banque, de l'eau potable, des eaux usées, de la production, de la transformation et de la distribution de denrées alimentaires, de la santé, de l'espace, de l'infrastructure des marchés financiers et de l'infrastructure numérique, ainsi que dans certains aspects du secteur de l'administration publique. Le secteur spatial relève du champ d'application de la présente directive en ce qui concerne la fourniture de certains services qui dépendent d'infrastructures terrestres détenues, gérées et exploitées soit par les États membres, soit par des parties privées ; par conséquent, les infrastructures détenues, gérées ou exploitées par l'Union ou en son nom dans le cadre de son programme spatial ne relèvent pas du champ d'application de la présente directive.
En ce qui concerne le secteur de l'énergie et, en particulier, les méthodes de production et de transport d'électricité (en ce qui concerne la fourniture d'électricité), il est entendu que, lorsque cela est jugé approprié, la production d'électricité peut inclure les éléments de transport d'électricité des centrales nucléaires, mais exclut les éléments spécifiquement nucléaires couverts par les traités et le droit de l'Union, y compris les actes juridiques pertinents de l'Union concernant l'énergie nucléaire. Le processus d'identification des entités critiques dans le secteur alimentaire devrait refléter de manière adéquate la nature du marché intérieur dans ce secteur et les règles étendues de l'Union relatives aux principes généraux et aux prescriptions générales de la législation alimentaire et de la sécurité alimentaire. Par conséquent, afin de garantir une approche proportionnée et de refléter correctement le rôle et l'importance de ces entités au niveau national, les entités critiques ne devraient être recensées que parmi les entreprises du secteur alimentaire, à but lucratif ou non, publiques ou privées, qui exercent exclusivement des activités de logistique et de distribution en gros, ainsi que de production et de transformation industrielles à grande échelle, et qui détiennent une part de marché significative, comme cela a été observé au niveau national. Ces interdépendances signifient que toute perturbation des services essentiels, même limitée dans un premier temps à une seule entité, est susceptible d'avoir des conséquences négatives sur la sécurité des consommateurs. entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) ou d'un secteur, peut avoir des effets en cascade plus larges, ce qui peut avoir un impact négatif profond et à long terme sur la fourniture de services dans l'ensemble du marché intérieur. Des crises majeures, telles que la pandémie de COVID-19, ont montré l'importance de l'impact sur le marché intérieur. vulnérabilitéVulnérabilité Faiblesse, susceptibilité ou défaut des produits ou services TIC pouvant être exploités par une cybermenace. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) de nos sociétés de plus en plus interdépendantes face à des risques à fort impact et à faible probabilité.
(6) Les entités participant à la fourniture de services essentiels sont de plus en plus soumises à des exigences divergentes imposées par les législations nationales. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités entraîne non seulement des niveaux de résilience différents, mais risque également d'avoir une incidence négative sur le maintien des fonctions sociétales vitales ou des activités économiques dans l'ensemble de l'Union et d'entraver le bon fonctionnement du marché intérieur. Les investisseurs et les entreprises peuvent se fier à des entités critiques qui sont résilientes, et la fiabilité et la confiance sont les pierres angulaires d'un marché intérieur qui fonctionne bien. Des types d'entités similaires sont considérés comme critiques dans certains États membres, mais pas dans d'autres, et ceux qui sont identifiés comme critiques sont soumis à des exigences divergentes dans les différents États membres. Il en résulte une charge administrative supplémentaire et inutile pour les entreprises qui exercent des activités transfrontalières, en particulier pour celles qui sont actives dans des États membres où les exigences sont plus strictes. Un cadre de l'Union aurait donc également pour effet d'uniformiser les règles du jeu pour les entités critiques dans l'ensemble de l'Union.
(7) Il est nécessaire d'établir des règles minimales harmonisées pour garantir la fourniture de services essentiels dans le marché intérieur, renforcer la résilience des entités critiques et améliorer la coopération transfrontalière entre les autorités compétentes. Il est important que ces règles soient à l'épreuve du temps en termes de conception et de mise en œuvre, tout en permettant la flexibilité nécessaire. Il est également essentiel d'améliorer la capacité des entités critiques à fournir des services essentiels face à un ensemble diversifié de risques.
(8) Afin d'atteindre un niveau élevé de résilience, les États membres devraient recenser les entités critiques qui seront soumises à des exigences et à une surveillance spécifiques et qui bénéficieront d'un soutien et d'orientations particulières face à tous les risques pertinents.
(9) Compte tenu de l'importance des cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; pour la résilience des entités critiques et dans un souci de cohérence, il convient d'assurer, dans la mesure du possible, une approche cohérente entre la présente directive et la directive (UE) 2022/2555 du Parlement européen et du Conseil (5). Compte tenu de la fréquence plus élevée et des caractéristiques particulières des cyberrisques, la directive (UE) 2022/2555 impose des exigences globales à un grand nombre d'entités pour garantir leur cybersécurité. Étant donné que la cybersécurité est suffisamment traitée dans la directive (UE) 2022/2555, les matières couvertes par cette directive devraient être exclues du champ d'application de la présente directive, sans préjudice du régime particulier applicable aux entités du secteur de l'infrastructure numérique.
(10) Lorsque des dispositions d'actes juridiques sectoriels de l'Union imposent aux entités critiques de prendre des mesures pour renforcer leur résilience et que ces exigences sont reconnues par les États membres comme étant au moins équivalentes aux obligations correspondantes prévues par la présente directive, les dispositions pertinentes de la présente directive ne devraient pas s'appliquer, afin d'éviter les doubles emplois et les charges inutiles. Dans ce cas, les dispositions pertinentes de ces actes juridiques de l'Union devraient s'appliquer. Lorsque les dispositions pertinentes de la présente directive ne s'appliquent pas, les dispositions relatives à la surveillance et à l'exécution prévues par la présente directive ne devraient pas non plus s'appliquer.
(11) La présente directive ne porte pas atteinte à la compétence des États membres et de leurs autorités en termes d'autonomie administrative, ni à leur responsabilité en matière de sauvegarde de la sécurité et de la défense nationales, ni à leur pouvoir de sauvegarder d'autres fonctions essentielles de l'État, notamment en ce qui concerne la sécurité publique, l'intégrité territoriale et le maintien de l'ordre public. L'exclusion des entités de l'administration publique du champ d'application de la présente directive devrait s'appliquer aux entités dont les activités sont principalement exercées dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la recherche, la détection et la poursuite d'infractions pénales. Toutefois, les entités de l'administration publique dont les activités ne sont que marginalement liées à ces domaines devraient relever du champ d'application de la présente directive. Aux fins de la présente directive, les entités dotées de compétences réglementaires ne sont pas considérées comme exerçant des activités dans le domaine de l'application de la loi et ne sont donc pas exclues pour ce motif du champ d'application de la présente directive. Les entités de l'administration publique qui sont établies conjointement avec un pays tiers conformément à un accord international sont exclues du champ d'application de la présente directive. La présente directive ne s'applique pas aux missions diplomatiques et consulaires des États membres dans les pays tiers.
Certaines entités critiques exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la recherche, la détection et la poursuite d'infractions pénales, ou fournissent des services exclusivement à des entités de l'administration publique qui exercent des activités principalement dans ces domaines. Compte tenu de leur responsabilité en matière de sauvegarde de la sécurité et de la défense nationales, les États membres devraient pouvoir décider que les obligations imposées aux entités critiques par la présente directive ne s'appliquent pas, en tout ou en partie, à ces entités critiques si les services qu'elles fournissent ou les activités qu'elles exercent sont principalement liés aux domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la recherche, la détection et la poursuite d'infractions pénales. Les entités critiques dont les services ou les activités ne sont que marginalement liés à ces domaines devraient relever du champ d'application de la présente directive. Aucun État membre ne devrait être tenu de fournir des informations dont la divulgation serait contraire aux intérêts essentiels de sa sécurité nationale. Les règles nationales ou de l'Union relatives à la protection des informations classifiées et aux accords de non-divulgation sont pertinentes.
(12) Afin de ne pas compromettre la sécurité nationale ou la sécurité et les intérêts commerciaux des entités critiques, il convient d'accéder aux informations sensibles, de les échanger et de les traiter avec prudence, en accordant une attention particulière aux canaux de transmission et aux capacités de stockage utilisés.
(13) Afin de garantir une approche globale de la résilience des entités critiques, il convient que chaque État membre mette en place une stratégie de renforcement de la résilience des entités critiques (la "stratégie"). La stratégie devrait définir les objectifs stratégiques et les mesures à mettre en œuvre. Dans un souci de cohérence et d'efficacité, la stratégie devrait être conçue de manière à intégrer harmonieusement les politiques existantes, en s'appuyant, dans la mesure du possible, sur les stratégies, plans ou documents similaires nationaux et sectoriels pertinents existants. Afin de parvenir à une approche globale, les États membres devraient veiller à ce que leurs stratégies prévoient un cadre politique pour une coordination renforcée entre les autorités compétentes au titre de la présente directive et les autorités compétentes au titre de la directive (UE) 2022/2555 dans le contexte du partage d'informations sur les risques de cybersécurité, les cybermenaces et les cyberincidents, ainsi que sur les risques, menaces et incidents non liés à la cybernétique, et dans le contexte de l'exercice des missions de surveillance. Lors de la mise en place de leurs stratégies, les États membres devraient tenir dûment compte de la nature hybride des menaces pesant sur les entités critiques.
(14) Les États membres devraient communiquer leurs stratégies et leurs mises à jour substantielles à la Commission, notamment pour permettre à celle-ci d'évaluer l'application correcte de la présente directive en ce qui concerne les approches politiques de la résilience des entités critiques au niveau national. Le cas échéant, les stratégies pourraient être communiquées en tant qu'informations classifiées. La Commission devrait établir un rapport de synthèse des stratégies communiquées par les États membres, qui servira de base aux échanges visant à recenser les meilleures pratiques et les questions d'intérêt commun dans le cadre d'un groupe sur la résilience des entités critiques. En raison de la nature sensible des informations agrégées figurant dans le rapport de synthèse, qu'elles soient classifiées ou non, la Commission devrait gérer le rapport de synthèse avec le niveau de sensibilisation approprié en ce qui concerne la sécurité des entités critiques, des États membres et de l'Union. Le rapport de synthèse et les stratégies devraient être protégés contre toute action illégale ou malveillante et n'être accessibles qu'aux personnes autorisées afin d'atteindre les objectifs de la présente directive. La communication des stratégies et de leurs mises à jour substantielles devrait également aider la Commission à comprendre l'évolution des approches en matière de résilience des entités critiques et contribuer au suivi de l'impact et de la valeur ajoutée de la présente directive, que la Commission doit réexaminer périodiquement.
(15) Les mesures prises par les États membres pour recenser les entités critiques et contribuer à assurer leur résilience devraient suivre une approche fondée sur les risques et axée sur les entités les plus importantes pour l'accomplissement de fonctions sociétales ou d'activités économiques vitales. Afin de garantir cette approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation des risques naturels et anthropiques pertinents, y compris ceux de nature transsectorielle ou transfrontalière, qui pourraient affecter la fourniture de services essentiels, notamment les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies et les menaces hybrides ou autres menaces antagonistes, y compris les infractions terroristes, l'infiltration criminelle et le sabotage ("évaluation des risques par l'État membre"). Lorsqu'ils procèdent à l'évaluation des risques, les États membres devraient tenir compte d'autres évaluations des risques générales ou sectorielles effectuées en vertu d'autres actes juridiques de l'Union et devraient examiner dans quelle mesure les secteurs dépendent les uns des autres, y compris des secteurs d'autres États membres et de pays tiers. Les résultats des évaluations des risques effectuées par les États membres devraient être utilisés pour recenser les entités critiques et aider ces entités à satisfaire à leurs exigences en matière de résilience. La présente directive ne s'applique qu'aux États membres et aux entités critiques qui exercent leurs activités dans l'Union. Néanmoins, l'expertise et les connaissances acquises par les autorités compétentes, notamment grâce aux évaluations des risques, et par la Commission, notamment grâce à diverses formes de soutien et de coopération, pourraient être utilisées, le cas échéant et conformément aux instruments juridiques applicables, au profit de pays tiers, en particulier ceux qui se trouvent dans le voisinage direct de l'Union, en alimentant la coopération existante en matière de résilience.
(16) Afin de garantir que toutes les entités concernées sont soumises aux exigences de résilience de la présente directive et de réduire les divergences à cet égard, il importe d'établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l'ensemble de l'Union, tout en permettant aux États membres de refléter de manière adéquate le rôle et l'importance de ces entités au niveau national. En appliquant les critères définis dans la présente directive, chaque État membre devrait recenser les entités qui fournissent un ou plusieurs services essentiels et qui exploitent et possèdent des infrastructures critiques situées sur son territoire. Une entité devrait être considérée comme opérant sur le territoire d'un État membre dans lequel elle mène des activités nécessaires au(x) service(s) essentiel(s) en question et dans lequel se trouve l'infrastructure critique de cette entité, qui est utilisée pour fournir ce(s) service(s). Lorsqu'aucune entité ne remplit ces critères dans un État membre, cet État membre ne devrait pas être tenu de recenser une entité critique dans le secteur ou le sous-secteur correspondant. Dans un souci d'efficacité, d'efficience, de cohérence et de sécurité juridique, il convient d'établir des règles appropriées en ce qui concerne la notification aux entités qu'elles ont été identifiées comme entités critiques.
(17) Les États membres doivent soumettre à la Commission, d'une manière qui réponde aux objectifs de la présente directive, une liste des services essentiels, le nombre d'entités critiques recensées pour chacun des secteurs et sous-secteurs énumérés à l'annexe et pour le ou les services essentiels que chaque entité fournit et, le cas échéant, les seuils. Les seuils doivent pouvoir être présentés en tant que tels ou sous une forme agrégée, ce qui signifie que les informations peuvent être moyennées par zone géographique, par année, par secteur, par sous-secteur ou par d'autres moyens, et peuvent inclure des informations sur l'éventail des indicateurs fournis.
(18) Il convient d'établir des critères pour déterminer l'importance d'un effet perturbateur produit par une incidentIncident Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2). Ces critères devraient s'appuyer sur les critères énoncés dans la directive (UE) 2016/1148 du Parlement européen et du Conseil (6) afin de tirer parti des efforts déployés par les États membres pour identifier les opérateurs de services essentiels tels que définis dans ladite directive et de l'expérience acquise à cet égard. Des crises majeures, telles que la pandémie de COVID-19, ont montré l'importance d'assurer la sécurité de la chaîne d'approvisionnement et ont mis en évidence l'impact économique et sociétal négatif que son interruption peut avoir dans un grand nombre de secteurs et par-delà les frontières. Par conséquent, les États membres devraient également tenir compte des effets sur la chaîne d'approvisionnement, dans la mesure du possible, lorsqu'ils déterminent dans quelle mesure d'autres secteurs et sous-secteurs dépendent du service essentiel fourni par une entité critique.
(19) Conformément au droit de l'Union et au droit national applicables, y compris le règlement (UE) 2019/452 du Parlement européen et du Conseil (7), qui établit un cadre pour le filtrage des investissements directs étrangers dans l'Union, il convient de prendre acte de la menace potentielle que représente la propriété étrangère d'infrastructures critiques au sein de l'Union, car les services, l'économie ainsi que la libre circulation et la sécurité des citoyens de l'Union dépendent du bon fonctionnement des infrastructures critiques.
(20) La directive (UE) 2022/2555 exige que les entités appartenant au secteur de l'infrastructure numérique, qui pourraient être considérées comme des entités critiques au titre de la présente directive, prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur l'infrastructure numérique. sécurité des réseaux et des systèmes d'informationSécurité des réseaux et des systèmes d'information La capacité des réseaux et des systèmes d'information à résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par ces réseaux et systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) et de notifier les incidents importants et les cybermenaces. Étant donné que les menaces pour la sécurité des réseaux et des systèmes d'information peuvent avoir différentes origines, la directive (UE) 2022/2555 applique une approche tous risques qui inclut la résilience des réseaux et des systèmes d'information, ainsi que les composants physiques et l'environnement de ces systèmes.
Étant donné que les exigences fixées dans la directive (UE) 2022/2555 à cet égard sont au moins équivalentes aux obligations correspondantes prévues par la présente directive, les obligations prévues à l'article 11 et aux chapitres III, IV et VI de la présente directive ne devraient pas s'appliquer aux entités appartenant au secteur de l'infrastructure numérique afin d'éviter les doubles emplois et les charges administratives inutiles. Toutefois, compte tenu de l'importance des services fournis par les entités appartenant au secteur de l'infrastructure numérique aux entités critiques appartenant à tous les autres secteurs, les États membres devraient identifier, sur la base des critères et selon la procédure prévus par la présente directive, les entités appartenant au secteur de l'infrastructure numérique en tant qu'entités critiques. En conséquence, les stratégies, les évaluations des risques par les États membres et les mesures de soutien prévues au chapitre II de la présente directive devraient s'appliquer. Les États membres devraient pouvoir adopter ou maintenir des dispositions de droit national pour atteindre un niveau de résilience plus élevé pour ces entités critiques, à condition que ces dispositions soient compatibles avec le droit de l'Union applicable.
(21) Le droit de l'Union relatif aux services financiers impose aux entités financières des exigences exhaustives en matière de gestion de tous les risques auxquels elles sont confrontées, y compris les risques opérationnels, et d'assurance de la continuité des activités. Ce droit comprend les règlements (UE) n° 648/2012 (8), (UE) n° 575/2013 (9) et (UE) n° 600/2014 (10) du Parlement européen et du Conseil, ainsi que les directives 2013/36/UE (11) et 2014/65/UE (12) du Parlement européen et du Conseil. Ce cadre juridique est complété par le règlement (UE) 2022/2554 du Parlement européen et du Conseil (13), qui définit les exigences applicables aux entités financières en matière de gestion des risques liés aux technologies de l'information et de la communication (TIC), y compris en ce qui concerne la protection de l'infrastructure physique des TIC. Étant donné que la résilience de ces entités est donc couverte de manière globale, l'article 11 et les chapitres III, IV et VI de la présente directive ne devraient pas s'appliquer à ces entités afin d'éviter les doubles emplois et les charges administratives inutiles.
Toutefois, compte tenu de l'importance des services fournis par les entités du secteur financier aux entités critiques appartenant à tous les autres secteurs, les États membres devraient identifier, sur la base des critères et selon la procédure prévus par la présente directive, les entités du secteur financier en tant qu'entités critiques. En conséquence, les stratégies, les évaluations des risques par les États membres et les mesures de soutien prévues au chapitre II de la présente directive devraient s'appliquer. Les États membres devraient pouvoir adopter ou maintenir des dispositions de droit national visant à atteindre un niveau de résilience plus élevé pour ces entités critiques, à condition que ces dispositions soient compatibles avec le droit de l'Union applicable.
(22) Les États membres devraient désigner ou établir des autorités compétentes pour superviser l'application et, le cas échéant, faire respecter les règles de la présente directive, et veiller à ce que ces autorités soient dotées de pouvoirs et de ressources suffisants. Compte tenu des différences entre les structures de gouvernance nationales, afin de préserver les dispositifs sectoriels existants ou les organes de surveillance et de réglementation de l'Union, et afin d'éviter les doubles emplois, les États membres devraient pouvoir désigner ou établir plus d'une autorité compétente. Lorsque les États membres désignent ou établissent plus d'une autorité compétente, ils devraient délimiter clairement les tâches respectives des autorités concernées et veiller à ce qu'elles coopèrent de manière harmonieuse et efficace. Toutes les autorités compétentes devraient également coopérer de manière plus générale avec d'autres autorités compétentes, tant au niveau de l'Union qu'au niveau national.
(23) Afin de faciliter la coopération et la communication transfrontalières et de permettre la mise en œuvre effective de la présente directive, chaque État membre devrait, sans préjudice des exigences des actes juridiques sectoriels de l'Union, désigner un point de contact unique chargé de coordonner les questions liées à la résilience des entités critiques et à la coopération transfrontalière au niveau de l'Union ("point de contact unique"), le cas échéant au sein d'une autorité compétente. Chaque point de contact unique devrait assurer la liaison et coordonner la communication, le cas échéant, avec les autorités compétentes de son État membre, avec les points de contact uniques des autres États membres et avec le groupe sur la résilience des entités critiques.
(24) Il convient que les autorités compétentes au titre de la présente directive et les autorités compétentes au titre de la directive (UE) 2022/2555 coopèrent et échangent des informations sur les risques de cybersécurité, les cybermenaces et les cyberincidents, ainsi que sur les risques, menaces et incidents non liés au cyberespace qui affectent les entités critiques, et sur les mesures pertinentes prises par les autorités compétentes au titre de la présente directive et les autorités compétentes au titre de la directive (UE) 2022/2555. Il importe que les États membres veillent à ce que les exigences prévues par la présente directive et par la directive (UE) 2022/2555 soient mises en œuvre de manière complémentaire et à ce que les entités critiques ne soient pas soumises à une charge administrative allant au-delà de ce qui est nécessaire pour atteindre les objectifs de la présente directive et de ladite directive.
(25) Il convient que les États membres aident les entités critiques, y compris celles qui remplissent les conditions requises pour être considérées comme des petites ou moyennes entreprises, à renforcer leur résilience, conformément aux obligations qui leur incombent en vertu de la présente directive, sans préjudice de la responsabilité juridique qui incombe aux entités critiques d'assurer cette conformité et, ce faisant, en évitant une charge administrative excessive. Les États membres pourraient notamment élaborer des documents d'orientation et des méthodes, soutenir l'organisation d'exercices visant à tester la résilience des entités critiques et fournir des conseils et une formation au personnel des entités critiques. Lorsque cela est nécessaire et justifié par des objectifs d'intérêt public, les États membres pourraient fournir des ressources financières et devraient faciliter le partage volontaire d'informations et l'échange de bonnes pratiques entre les entités critiques, sans préjudice de l'application des règles de concurrence établies dans le traité sur le fonctionnement de l'Union européenne (TFUE).
(26) Afin de renforcer la résilience des entités critiques recensées par les États membres et de réduire la charge administrative pesant sur ces entités critiques, il convient que les autorités compétentes se consultent, le cas échéant, afin de veiller à ce que la présente directive soit appliquée de manière cohérente. Ces consultations devraient être engagées à la demande de toute autorité compétente intéressée et viser à garantir une approche convergente en ce qui concerne les entités critiques interconnectées qui utilisent des infrastructures critiques physiquement reliées entre deux États membres ou plus, qui appartiennent aux mêmes groupes ou structures d'entreprise, ou qui ont été recensées dans un État membre et qui fournissent des services essentiels à d'autres États membres ou dans d'autres États membres.
(27) Lorsque des dispositions du droit de l'Union ou du droit national exigent des entités critiques qu'elles évaluent les risques pertinents aux fins de la présente directive et qu'elles prennent des mesures pour assurer leur propre résilience, ces exigences devraient être dûment prises en compte aux fins de la surveillance du respect de la présente directive par les entités critiques.
(28) Les entités critiques devraient avoir une compréhension globale des risques pertinents auxquels elles sont exposées et avoir l'obligation d'analyser ces risques. À cette fin, elles devraient procéder à des évaluations des risques chaque fois que cela est nécessaire compte tenu de leur situation particulière et de l'évolution de ces risques et, en tout état de cause, tous les quatre ans, afin d'évaluer tous les risques pertinents qui pourraient perturber la fourniture de leurs services essentiels ("évaluation des risques de l'entité critique"). Lorsque les entités critiques ont procédé à d'autres évaluations des risques ou établi des documents conformément aux obligations prévues dans d'autres actes juridiques qui sont pertinents pour leur évaluation des risques de l'entité critique, elles devraient pouvoir utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans la présente directive en ce qui concerne les évaluations des risques de l'entité critique. Une autorité compétente devrait pouvoir déclarer qu'une évaluation des risques existante effectuée par une entité critique et portant sur les risques pertinents et l'étendue pertinente de la dépendance est conforme, en tout ou en partie, aux obligations prévues par la présente directive.
(29) Il convient que les entités critiques prennent des mesures techniques, organisationnelles et de sécurité appropriées et proportionnées aux risques auxquels elles sont confrontées afin de prévenir un incident, de s'en protéger, d'y répondre, d'y résister, de l'atténuer, de l'absorber, de s'en accommoder et de s'en remettre. Si les entités critiques doivent prendre ces mesures conformément à la présente directive, les détails et l'étendue de ces mesures doivent refléter de manière appropriée et proportionnée les différents risques que chaque entité critique a recensés dans le cadre de son évaluation des risques pour les entités critiques et les spécificités de cette entité. Afin de promouvoir une approche cohérente de l'Union, la Commission devrait, après avoir consulté le groupe "Résilience des entités critiques", adopter des lignes directrices non contraignantes pour préciser ces mesures techniques, organisationnelles et de sécurité. Les États membres devraient veiller à ce que chaque entité critique désigne un officier de liaison ou un équivalent comme point de contact avec les autorités compétentes.
(30) Dans un souci d'efficacité et de responsabilité, il convient que les entités critiques décrivent les mesures qu'elles prennent, avec un niveau de détail permettant d'atteindre suffisamment les objectifs d'efficacité et de responsabilité, compte tenu des risques recensés, dans un plan de résilience ou dans un ou plusieurs documents équivalents à un plan de résilience, et qu'elles appliquent ce plan dans la pratique. Lorsqu'une entité critique a déjà pris des mesures techniques, de sécurité et d'organisation et établi des documents en vertu d'autres actes juridiques qui sont pertinents pour les mesures de renforcement de la résilience au titre de la présente directive, elle devrait pouvoir, afin d'éviter les doubles emplois, utiliser ces mesures et documents pour satisfaire aux exigences relatives aux mesures de résilience au titre de la présente directive. Afin d'éviter les doubles emplois, une autorité compétente devrait pouvoir déclarer que les mesures de résilience existantes prises par une entité critique qui répondent à son obligation de prendre des mesures techniques, de sécurité et d'organisation en vertu de la présente directive sont conformes, en tout ou en partie, aux exigences de la présente directive.
(31) Les règlements (CE) n° 725/2004 (14) et (CE) n° 300/2008 (15) du Parlement européen et du Conseil et la directive 2005/65/CE du Parlement européen et du Conseil (16) établissent des exigences applicables aux entités des secteurs de l'aviation et du transport maritime afin de prévenir les incidents causés par des actes illicites et de résister à ces incidents et d'en atténuer les conséquences. Bien que les mesures requises en vertu de la présente directive soient plus larges en termes de risques traités et de types de mesures à prendre, les entités critiques de ces secteurs devraient refléter dans leur plan de résilience ou dans des documents équivalents les mesures prises en vertu de ces autres actes juridiques de l'Union. Les entités critiques doivent également prendre en considération la directive 2008/96/CE du Parlement européen et du Conseil (17), qui introduit une évaluation des routes à l'échelle du réseau pour cartographier le risque d'accident et une inspection ciblée de la sécurité routière pour identifier les conditions dangereuses, les défauts et les problèmes qui augmentent le risque d'accidents et de blessures, sur la base de visites sur place de routes ou de tronçons de routes existants. Assurer la protection et la résilience des entités critiques est de la plus haute importance pour le secteur ferroviaire et, lors de la mise en œuvre de mesures de résilience au titre de la présente directive, les entités critiques sont encouragées à se référer à des lignes directrices non contraignantes et à des documents de bonnes pratiques élaborés dans le cadre de chantiers sectoriels, tels que la plateforme de l'UE sur la sécurité des voyageurs ferroviaires créée par la décision 2018/C 232/03 de la Commission (18).
(32) Le risque que des employés d'entités critiques ou leurs sous-traitants abusent, par exemple, de leurs droits d'accès au sein de l'organisation de l'entité critique pour nuire et causer des dommages est de plus en plus préoccupant. Les États membres devraient donc préciser les conditions dans lesquelles les entités critiques sont autorisées, dans des cas dûment motivés et compte tenu des évaluations des risques effectuées par les États membres, à présenter des demandes de vérification des antécédents de personnes appartenant à des catégories spécifiques de leur personnel. Il convient de veiller à ce que les autorités compétentes évaluent ces demandes dans un délai raisonnable et les traitent conformément à la législation et aux procédures nationales ainsi qu'au droit de l'Union pertinent et applicable, y compris en matière de protection des données à caractère personnel. Afin de corroborer l'identité d'une personne faisant l'objet d'une vérification des antécédents, il convient que les États membres exigent une preuve d'identité, telle qu'un passeport, une carte d'identité nationale ou une forme d'identification numérique, conformément au droit applicable.
Les vérifications des antécédents devraient inclure une vérification du casier judiciaire de la personne concernée. Les États membres devraient utiliser le système européen d'information sur les casiers judiciaires conformément aux procédures définies dans la décision-cadre 2009/315/JAI du Conseil (19) et, le cas échéant, le règlement (UE) 2019/816 du Parlement européen et du Conseil (20) afin d'obtenir des informations sur les casiers judiciaires détenus par d'autres États membres. Les États membres pourraient également, lorsque cela est pertinent et applicable, s'appuyer sur le système d'information Schengen de deuxième génération (SIS II) établi par le règlement (UE) 2018/1862 du Parlement européen et du Conseil (21), le renseignement et toute autre information objective disponible qui pourrait être nécessaire pour déterminer l'aptitude de la personne concernée à occuper le poste pour lequel l'entité critique a demandé une vérification de ses antécédents.
(33) Il convient de mettre en place un mécanisme de notification de certains incidents afin de permettre aux autorités compétentes de réagir rapidement et de manière adéquate aux incidents et d'avoir une vue d'ensemble de l'impact, de la nature, de la cause et des conséquences éventuelles des incidents auxquels les entités critiques sont confrontées. Les entités critiques devraient notifier, sans retard injustifié, aux autorités compétentes les incidents qui perturbent ou risquent de perturber de manière significative la fourniture de services essentiels. Sauf si elles sont dans l'impossibilité opérationnelle de le faire, les entités critiques doivent présenter une première notification au plus tard 24 heures après avoir pris connaissance d'un incident. La notification initiale ne doit contenir que les informations strictement nécessaires pour que l'autorité compétente soit informée de l'incident et que l'entité critique puisse demander de l'aide, le cas échéant. Cette notification doit indiquer, dans la mesure du possible, la cause présumée de l'incident. Les États membres doivent veiller à ce que l'obligation de présenter cette notification initiale ne détourne pas les ressources de l'entité critique des activités liées aux éléments suivants traitement des incidentsTraitement des incidents Toute action et procédure visant à prévenir, détecter, analyser et contenir un incident, ou à y répondre et à s'en remettre. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)La notification initiale doit être suivie, le cas échéant, d'un rapport détaillé au plus tard un mois après l'incident. La notification initiale doit être suivie, le cas échéant, d'un rapport détaillé au plus tard un mois après l'incident. Le rapport détaillé doit compléter la notification initiale et fournir un aperçu plus complet de l'incident.
(34) La normalisation doit rester un processus essentiellement axé sur le marché. Toutefois, il peut toujours y avoir des situations dans lesquelles il est approprié d'exiger la conformité à des normes spécifiques. Les États membres devraient, lorsque cela est utile, encourager l'utilisation des normes et spécifications techniques européennes et internationales relatives aux mesures de sécurité et de résilience applicables aux entités critiques.
(35) Si les entités critiques opèrent généralement dans le cadre d'un réseau de plus en plus interconnecté de fourniture de services et d'infrastructures et fournissent souvent des services essentiels dans plus d'un État membre, certaines d'entre elles revêtent une importance particulière pour l'Union et son marché intérieur parce qu'elles fournissent des services essentiels à ou dans six États membres ou plus et pourraient donc bénéficier d'un soutien spécifique au niveau de l'Union. Il convient donc d'établir des règles relatives aux missions consultatives concernant ces entités critiques revêtant une importance particulière pour l'Europe. Ces règles sont sans préjudice des règles relatives à la surveillance et à l'exécution énoncées dans la présente directive.
(36) Sur demande motivée de la Commission ou d'un ou plusieurs États membres auxquels ou dans lesquels le service essentiel est fourni, lorsque des informations supplémentaires sont nécessaires pour pouvoir conseiller une entité critique dans le respect des obligations qui lui incombent en vertu de la présente directive ou pour évaluer la conformité d'une entité critique revêtant une importance particulière sur le plan européen avec ces obligations, l'État membre qui a identifié une entité critique revêtant une importance particulière sur le plan européen comme étant une entité critique doit fournir à la Commission certaines informations telles que définies dans la présente directive. En accord avec l'État membre qui a identifié l'entité critique revêtant une importance particulière au niveau européen comme une entité critique, la Commission devrait pouvoir organiser une mission consultative afin d'évaluer les mesures mises en place par cette entité. Afin de garantir le bon déroulement de ces missions consultatives, il convient d'établir des règles complémentaires, notamment en ce qui concerne l'organisation et la conduite des missions consultatives, les mesures de suivi à prendre et les obligations incombant aux entités critiques revêtant une importance particulière pour l'Europe concernées. Sans préjudice de la nécessité pour l'État membre dans lequel la mission de conseil est menée et pour l'entité critique concernée de se conformer aux règles énoncées dans la présente directive, la mission de conseil devrait être menée conformément aux modalités prévues par la législation de cet État membre, par exemple en ce qui concerne les conditions précises à remplir pour obtenir l'accès aux locaux ou aux documents pertinents et les voies de recours judiciaires. L'expertise spécifique requise pour ces missions consultatives pourrait, le cas échéant, être demandée par l'intermédiaire du Centre de coordination des interventions d'urgence établi par la décision n° 1313/2013/UE du Parlement européen et du Conseil (22).
(37) Afin d'aider la Commission et de faciliter la coopération entre les États membres ainsi que l'échange d'informations, y compris les meilleures pratiques, sur les questions relatives à la présente directive, un groupe sur la résilience des entités critiques devrait être créé en tant que groupe d'experts de la Commission. Les États membres devraient s'efforcer de veiller à ce que les représentants désignés de leurs autorités compétentes au sein du groupe de résilience des entités critiques coopèrent effectivement et efficacement, y compris en désignant des représentants titulaires d'une habilitation de sécurité, le cas échéant. Le groupe de résilience des entités critiques devrait commencer à s'acquitter de ses tâches dès que possible, afin de disposer de moyens supplémentaires pour assurer une coopération appropriée pendant la période de transposition de la présente directive. Le groupe sur la résilience des entités critiques devrait interagir avec d'autres groupes de travail d'experts sectoriels compétents.
(38) Le groupe sur la résilience des entités critiques devrait coopérer avec le groupe de coopération établi en vertu de la directive (UE) 2022/2555 en vue de soutenir un cadre global pour la résilience cybernétique et non cybernétique des entités critiques. Le groupe sur la résilience des entités critiques et le groupe de coopération institué par la directive (UE) 2022/2555 devraient engager un dialogue régulier afin de promouvoir la coopération entre les autorités compétentes au titre de la présente directive et les autorités compétentes au titre de la directive (UE) 2022/2555 et de faciliter l'échange d'informations, en particulier sur des sujets présentant un intérêt pour les deux groupes.
(39) Afin d'atteindre les objectifs de la présente directive et sans préjudice de la responsabilité juridique des États membres et des entités critiques de veiller au respect de leurs obligations respectives qui y sont énoncées, la Commission devrait, lorsqu'elle le juge approprié, apporter son soutien aux autorités compétentes et aux entités critiques dans le but de faciliter le respect de leurs obligations respectives. Lorsqu'elle aide les États membres et les entités critiques à s'acquitter des obligations qui leur incombent en vertu de la présente directive, la Commission devrait s'appuyer sur les structures et les outils existants, tels que ceux du mécanisme de protection civile de l'Union, établi par la décision n° 1313/2013/UE, et le réseau européen de référence pour la protection des infrastructures critiques. En outre, elle devrait informer les États membres des ressources disponibles au niveau de l'Union, telles que celles du Fonds pour la sécurité intérieure, établi par le règlement (UE) 2021/1149 du Parlement européen et du Conseil (23), d'Horizon Europe, établi par le règlement (UE) 2021/695 du Parlement européen et du Conseil (24), ou d'autres instruments pertinents pour la résilience des entités critiques.
(40) Les États membres doivent veiller à ce que leurs autorités compétentes disposent de certains pouvoirs spécifiques pour appliquer et faire respecter correctement la présente directive en ce qui concerne les entités critiques, lorsque ces entités relèvent de leur juridiction, comme le prévoit la présente directive. Ces pouvoirs devraient comprendre, en particulier, le pouvoir de mener des inspections et des audits, le pouvoir de superviser, le pouvoir d'exiger des entités critiques qu'elles fournissent des informations et des preuves concernant les mesures qu'elles ont prises pour se conformer à leurs obligations et, le cas échéant, le pouvoir d'émettre des injonctions pour remédier aux infractions constatées. Lorsqu'ils émettent de telles injonctions, les États membres ne devraient pas exiger de mesures allant au-delà de ce qui est nécessaire et proportionné pour assurer la conformité de l'entité critique concernée, compte tenu, notamment, de la gravité de l'infraction et de la capacité économique de l'entité critique concernée. D'une manière plus générale, ces pouvoirs devraient être assortis de garanties appropriées et efficaces à préciser dans le droit national conformément à la Charte des droits fondamentaux de l'Union européenne. Lorsqu'elles évaluent le respect, par une entité critique, des obligations qui lui incombent en vertu de la présente directive, les autorités compétentes en vertu de la présente directive devraient pouvoir demander aux autorités compétentes en vertu de la directive (UE) 2022/2555 d'exercer leurs pouvoirs de surveillance et d'exécution à l'égard d'une entité relevant de ladite directive qui a été identifiée comme une entité critique en vertu de la présente directive. Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 devraient coopérer et échanger des informations à cette fin.
(41) Afin d'appliquer la présente directive de manière efficace et cohérente, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l'article 290 du TFUE afin de compléter la présente directive en établissant une liste des services essentiels. Cette liste devrait être utilisée par les autorités compétentes aux fins de la réalisation des évaluations des risques par les États membres et de l'identification des entités critiques conformément à la présente directive. Compte tenu de l'approche d'harmonisation minimale de la présente directive, cette liste n'est pas exhaustive et les États membres pourraient la compléter par d'autres services essentiels au niveau national afin de tenir compte des spécificités nationales dans la fourniture des services essentiels. Il est particulièrement important que la Commission procède à des consultations appropriées au cours de ses travaux préparatoires, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes énoncés dans l'accord interinstitutionnel du 13 avril 2016 "Mieux légiférer" (25). En particulier, pour assurer une participation égale à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents en même temps que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d'experts de la Commission chargés de la préparation des actes délégués.
(42) Afin d'assurer des conditions uniformes d'exécution de la présente directive, il convient de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil (26).
(43) Étant donné que les objectifs de la présente directive, à savoir garantir que les services essentiels au maintien des fonctions sociétales vitales ou des activités économiques sont fournis sans entrave dans le marché intérieur et renforcer la résilience des entités critiques fournissant ces services, ne peuvent pas être réalisés de manière suffisante par les États membres, mais peuvent plutôt, en raison des effets de l'action, être mieux réalisés au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article 5, la présente directive n'excède pas ce qui est nécessaire pour atteindre ces objectifs.
(44) Le contrôleur européen de la protection des données a été consulté conformément à l'article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (27) et a rendu un avis le 11 août 2021.
(45) Il convient donc d'abroger la directive 2008/114/CE,
ONT ADOPTÉ CETTE DIRECTIVE :