Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Résilience des entités critiques : focus sur la directive dite « REC »
15 octobre 2024

La directive sur la résilience des entités critiques, dite directive « REC », a été adoptée le 14 décembre 2022, le même jour que le Règlement sur la résilience opérationnelle numérique du secteur financier (Digital operational resilience act, DORA).

Le texte prévoyait une transposition dans les États membres au plus tard le 17 octobre 2024 (article 26 de la Directive REC), même délai de transposition que la Directive NIS 2 (Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union européenne).

En France, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été présenté le 15 octobre 2024, en Conseil des Ministres.

Ce projet de loi, qui permet de transposer 3 Directives : NIS 2, REC et DORA, doit à présent être examiné et adopté par le législateur (Assemblée nationale et Sénat).

Pourquoi une directive sur la résilience des entités critiques ?

Une évaluation, réalisée en 2019, de la directive de 2008 a mis en évidence la nécessité d’actualiser et de renforcer les règles existantes, à la lumière des nouveaux défis auxquels l’Union européenne est confrontée, tels que la montée en puissance de l’économie numérique, les effets croissants du changement climatique ou encore des tensions politiques donnant lieu à des menaces sur des infrastructures critiques. Ces tensions s’étant aggravées ces dernières années et s’illustrant notamment par des actes de sabotage commis contre le gazoduc Nord Stream en mer Baltique ou encore des menaces terroristes.

La directive « REC » vise à réduire les vulnérabilités et à renforcer la résilience physique des entités critiques, qui sont définies par ladite directive (en annexe) et qui, plus généralement « fournissent des services indispensables pour maintenir les fonctions sociétales vitales, les activités économiques, la santé et la sécurité publiques ainsi que l’environnement ».

Une fois entrée en vigueur, la directive dite « REC » remplacera l’actuelle directive de 2008 portant sur le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection.

Cette directive sur les entités critiques s’inscrit dans la volonté européenne d’assurer un niveau plus élevé de sécurité et de renforcer l’harmonisation des mesures et la coopération entre États membres – et avec les institutions européennes. C’est dans ce cadre que s’inscrivent également :

« La sécurité physique et la cybersécurité des entités critiques étant liées, les États membres veillent à ce que la présente directive [Directive REC] et la directive (UE) 2022/2555 [Directive NIS 2] soient mises en œuvre de manière coordonnée ». (article 1, 2. Directive REC)

Parallèlement à la directive « REC », une recommandation relative à une approche coordonnée à l’échelle de l’Union pour renforcer la résilience des infrastructures critiques a été adoptée. La recommandation invite les États membres à mettre à jour leur évaluation des risques afin de tenir compte des menaces actuelles et les encourage à effectuer des tests de résistance sur les entités qui exploitent des infrastructures critiques, en accordant la priorité au secteur de l’énergie. Elle invite également les États membres à élaborer, en coopération avec la Commission européenne, un schéma directeur pour une réponse coordonnée en cas de perturbations des infrastructures critiques ayant une dimension transfrontière.

Quelles sont les entités concernées par la Directive sur la résilience des entités critiques ?

Les entités critiques seront désignées par les États membres dans les trois ans suivant l’adoption de la directive. Ces dernières devront fournir un ou plusieurs services essentiels, se trouver sur le territoire de l’État membre qui les désigne et il faudra également déterminer qu’un incident perturberait les services essentiels fournis par l’entité. Enfin, les entités critiques pourront être désignées dans les secteurs suivants :

L’article 17 de la directive prévoit également la création du statut d’ « entité critique d’importance européenne particulière » qui concernera les entités fournissant des services essentiels dans au moins six États membres. La Commission européenne établira la liste des entités critiques d’importance européenne particulière sur notification des États membres.

Obligations pour les entités critiques

Les entités considérées comme critiques sont soumises à un certain nombre d‘obligations, en particulier :

  • la notification à l‘État membre concerné de tout incident perturbant les services essentiels fournis par l‘entité en question ;
  • l‘organisation de contrôles et de tests afin d‘éprouver les mécanismes de réponse aux attaques des entités ;
  • l‘évaluation des risques potentiels par les entités dans un délai de neuf mois après la notification par l‘État membre concerné ;
  • la prise de mesures en amont afin de « prévenir la survenance d‘incidents » sous le contrôle de l‘État membre concerné : protection physique des locaux, création de protocoles de gestion des risques, gestion adéquate du personnel…
  • la vérification des antécédents des membres du personnel ;
  • l‘établissement de normes par les États membres encadrant l‘usage de certaines technologies par les entités critiques.

Calendrier

La Directive REC, une fori transposé en droit interne, remplacera la directive de 2008.

Comme susmentionné, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été présenté le 15 octobre 2024, en Conseil des Ministres. devra à présent être inscrit à l’ordre du jour de l’Assemblée nationale et du Sénat, pour examen et adoption. 

La Directive REC fera l’objet d’un rapport et d’un réexamen : « Au plus tard le 17 juillet 2027, la Commission présentera au Parlement européen et au Conseil un rapport évaluant la mesure dans laquelle chaque État membre a pris les dispositions nécessaires pour se conformer à la présente directive » (article 25, Directive REC).

Dans le cadre de ce réexamen, la Commission se concentrera, en particulier, sur la valeur ajoutée de ce texte, son impact en vue de garantir la résilience des entités critiques ; et déterminera si l’annexe de la directive relative au champ d’application devrait être modifiée.  

Comment pouvons-nous vous être utiles ? Développement de vos projets, sensibilisation de vos équipes, formation, mise en conformité et gestion des risques. Contactez-nous ! L’équipe de Mathias Avocats est à votre écoute.

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !