Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil

JOUE L333 du 27 décembre 2022

Ce texte oblige :

* les Etats membres à adopter des mesures spécifiques visant à garantir que les services des entités critiques (à savoir les services nécessaires au maintien de fonctions sociétales ou d’activités économiques vitales) soient fournies sans entrave dans le marché intérieur ;
* les entités critiques à respecter des obligations visant à renforcer leur résilience et leur capacité à fournir leurs services dans le marché intérieur.

Il établit également des règles relatives à la supervision des entités critiques, au recensement des entités critiques d’importance européenne particulière, ainsi qu’aux missions de conseil pour évaluer les mesures que ces entités ont mises en place pour satisfaire aux obligations qui leur incombent et à l’établissement de procédures communes en matière de coopération et d’établissement de rapports sur l’application du texte.

Il ne s’applique pas au domaine de la cybersécurité qui est couvert par la 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.

L’approche retenue par le texte consiste dans une obligation de recensement des entités critiques, d’évaluation des risques et la définition de mesures visant en particulier :

* à prévenir la survenance d’incidents, en tenant dûment compte de mesures de réduction des risques de catastrophe et d’adaptation au changement climatique ;
* à assurer une protection physique adéquate de leurs locaux et infrastructures critiques, en prenant dûment en considération, par exemple, des clôtures, des barrières, des outils et procédures de surveillance des enceintes, et des équipements de détection et de contrôle des accès ;
* à réagir et résister aux conséquences des incidents et les atténuer, en prenant dûment en considération la mise en œuvre de procédures et protocoles de gestion des risques et des crises et de procédures d’alerte ;
* à se rétablir d’incidents, en prenant dûment en considération des mesures assurant la continuité des activités et la détermination d’autres chaînes d’approvisionnement, afin de reprendre la fourniture du service essentiel ;
* à assurer une gestion adéquate de la sécurité liée au personnel, en prenant dûment en considération des mesures telles que la définition des catégories de personnel qui exerce des fonctions critiques, l’établissement de droits d’accès aux locaux, aux infrastructures critiques et aux informations sensibles, la mise en place de procédures de vérification des antécédents, et la définition d’exigences et de qualifications appropriées en matière de formation ;
* sensibiliser le personnel concerné à ces mesures.

Ces dispositions doivent être transposées par les Etats membres au plus tard le 17 octobre 2024 et appliquées à partir du 18 octobre 2024. A compter de cette dernière date, la directive 2008/114/CE 2008/114/CE du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection est abrogée.