(1)

Les entités critiques, en tant que fournisseurs de services essentiels, jouent un rôle indispensable dans le maintien de fonctions sociétales ou d’activités économiques vitales dans le marché intérieur, dans le contexte d’une économie de l’Union de plus en plus interdépendante. Par conséquent, il est essentiel de fixer un cadre de l’Union visant tant à renforcer la résilience des entités critiques dans le marché intérieur en établissant des règles minimales harmonisées qu’à les aider au moyen de mesures de soutien et de supervision cohérentes et spécifiques.

(2)

La directive 2008/114/CE (4) du Conseil établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l’énergie et des transports dont la perturbation ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l’évaluation de la directive 2008/114/CE réalisée en 2019 a montré qu’en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. Par conséquent, il est nécessaire de réorienter l’approche en vue de faire en sorte que les risques soient mieux pris en compte, que le rôle et les obligations des entités critiques, en tant que fournisseurs de services essentiels au fonctionnement du marché intérieur, soient mieux définis et cohérents, et que des règles de l’Union soient adoptées afin de renforcer la résilience des entités critiques. Les entités critiques devraient être en mesure de renforcer leur capacité à prévenir les incidents susceptibles de perturber la fourniture de services essentiels, à s’en protéger, à y réagir, à y résister, à les atténuer, à les absorber, à s’y adapter et à s’en remettre.

(3)

Si un certain nombre de mesures prises au niveau de l’Union, telles que le programme européen de protection des infrastructures critiques, et au niveau national visent à soutenir la protection des infrastructures critiques dans l’Union, il convient d’en faire davantage pour que les entités qui exploitent ces infrastructures soient mieux équipées pour faire face aux risques pesant sur leurs activités qui pourraient entraîner une perturbation de la fourniture de services essentiels. Il convient aussi d’en faire davantage pour mieux équiper ces entités, car les menaces forment un paysage dynamique, qui comprend des menaces hybrides et terroristes en évolution, et des interdépendances croissantes entre les infrastructures et les secteurs. En outre, il existe un risque physique accru lié aux catastrophes naturelles et au changement climatique, qui augmente la fréquence et l’ampleur des phénomènes météorologiques extrêmes et entraîne des changements à long terme des conditions climatiques moyennes, susceptibles de réduire la capacité, l’efficacité et la durée de vie de certains types d’infrastructures si des mesures d’adaptation au changement climatique ne sont pas mises en place. De plus, le marché intérieur est caractérisé par une fragmentation en ce qui concerne le recensement des entités critiques, les secteurs et les catégories d’entités concernés n’étant pas systématiquement reconnus comme critiques dans tous les États membres. La présente directive devrait donc instaurer un niveau élevé d’harmonisation en ce qui concerne les secteurs et les catégories d’entités relevant de son champ d’application.

(4)

Si certains secteurs de l’économie, tels que les secteurs de l’énergie et des transports, sont déjà réglementés par des actes juridiques sectoriels de l’Union, ces actes juridiques contiennent des dispositions qui portent uniquement sur certains aspects de la résilience des entités actives dans ces secteurs. Afin de traiter de manière globale la résilience des entités qui sont critiques pour le bon fonctionnement du marché intérieur, la présente directive crée un cadre général applicable à la résilience des entités critiques en ce qui concerne tous les risques, qu’ils soient naturels ou d’origine humaine, accidentels ou intentionnels.

(5)

Les interdépendances croissantes entre les infrastructures et les secteurs sont le résultat d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures clés dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, de l’eau potable, des eaux usées, de la production, de la transformation et de la distribution de denrées alimentaires, de la santé, de l’espace, des infrastructures du marché financier et des infrastructures numériques, et de certains aspects du secteur de l’administration publique. Le secteur spatial relève du champ d’application de la présente directive pour ce qui est de la fourniture de certains services qui dépendent d’infrastructures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées; par conséquent, les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de son programme spatial ne relèvent pas du champ d’application de la présente directive.

En ce qui concerne le secteur de l’énergie, et plus particulièrement les procédés de production et de transport de l’électricité (en ce qui concerne la fourniture d’électricité), il est entendu que, lorsque cela est jugé approprié, la production d’électricité peut englober les éléments des centrales nucléaires servant au transport de l’électricité, tout en excluant les éléments strictement nucléaires, qui relèvent du droit de l’Union, y compris les actes juridiques pertinents de l’Union concernant l’énergie nucléaire, et des traités. Le processus de recensement des entités critiques dans le secteur alimentaire devrait refléter de manière adéquate la nature du marché intérieur dans ce secteur et les règles étendues de l’Union relatives aux principes généraux et aux prescriptions générales de la législation alimentaire et à ceux en matière de sécurité des denrées alimentaires. Par conséquent, afin de garantir une approche proportionnée et de tenir dûment compte du rôle et de l’importance de ces entités au niveau national, il convient de ne recenser parmi les entreprises du secteur alimentaire que les entités critiques, qu’elles soient à but lucratif ou non et qu’elles soient publiques ou privées, qui se consacrent exclusivement à la logistique, à la distribution en gros, ainsi qu’à la production et à la transformation industrielles à grande échelle et détenant une part de marché importante, comme observé au niveau national. Ces interdépendances signifient que toute perturbation de services essentiels, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement une incidence négative à long terme et de grande ampleur sur la fourniture de services dans l’ensemble du marché intérieur. Les crises majeures, telles que la pandémie de COVID-19, ont mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques à faible probabilité de survenance, mais à fort impact.

(6)

Les entités participant à la fourniture de services essentiels sont de plus en plus soumises à des exigences divergentes imposées par le droit national. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités non seulement entraîne des niveaux de résilience différents mais risque également d’avoir une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, et entrave le bon fonctionnement du marché intérieur. Les investisseurs et les entreprises peuvent se fier et faire confiance aux entités critiques qui sont résilientes, et la fiabilité et la confiance constituent la clé de voûte d’un marché intérieur performant. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont recensés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte une charge administrative supplémentaire et inutile pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. Un cadre de l’Union aurait donc également pour effet de créer des conditions équitables pour les entités critiques dans toute l’Union.

(7)

Il est nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture de services essentiels dans le marché intérieur, de renforcer la résilience des entités critiques et d’améliorer la coopération transfrontière entre les autorités compétentes. Il importe que ces règles soient à l’épreuve du temps en ce qui concerne leur conception et leur mise en œuvre, tout en offrant la souplesse nécessaire. Il est également crucial d’améliorer la capacité des entités critiques à fournir des services essentiels face à un ensemble diversifié de risques.

(8)

Afin d’atteindre un niveau élevé de résilience, les États membres devraient recenser les entités critiques qui seront soumises à des exigences et à une supervision spécifiques, et qui bénéficieront d’un soutien et de conseils particuliers face à tous les risques pertinents.

(9)

Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques et dans un souci d’uniformité, il convient de veiller à une approche cohérente, chaque fois que cela est possible, entre la présente directive et la directive (UE) 2022/2555 du Parlement européen et du Conseil (5). Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques en matière de cybersécurité, la directive (UE) 2022/2555 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est suffisamment traitée dans la directive (UE)2022/2555, les questions qu’elle couvre devraient être exclues du champ d’application de ladite directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques.

(10)

Lorsque des dispositions d’actes juridiques sectoriels de l’Union exigent des entités critiques qu’elles prennent des mesures pour renforcer leur résilience et lorsque ces exigences sont reconnues par les États membres comme étant au moins équivalentes aux obligations correspondantes prévues par la présente directive, les dispositions pertinentes de la présente directive ne devraient pas s’appliquer, de manière à éviter tout double emploi et une charge inutile. Dans un tel cas, les dispositions pertinentes de ces actes juridiques de l’Union devraient s’appliquer. Lorsque les dispositions pertinentes de la présente directive ne s’appliquent pas, les dispositions relatives à la supervision et à l’exécution des règles prévues par la présente directive ne devraient pas non plus s’appliquer.

(11)

La présente directive n’affecte pas la compétence des États membres et de leurs autorités pour ce qui est de l’autonomie administrative ou la responsabilité qui leur incombe en matière de sauvegarde de la sécurité nationale et de la défense ou leur pouvoir de garantir d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer la sécurité publique, l’intégrité territoriale et le maintien de l’ordre public. L’exclusion des entités de l’administration publique du champ d’application de la présente directive devrait s’appliquer aux entités qui exercent leurs activités principalement dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière. Toutefois, les entités de l’administration publique dont les activités ne sont que marginalement liées à ces domaines devraient relever du champ d’application de la présente directive. Aux fins de la présente directive, les entités disposant de compétences réglementaires ne sont pas considérées comme exerçant des activités dans le domaine de l’application de la loi et elles ne sont, par conséquent, pas exclues du champ d’application de la présente directive pour ce motif. Les entités de l’administration publique qui sont établies conjointement avec un pays tiers conformément à un accord international sont exclues du champ d’application de la présente directive. La présente directive ne s’applique pas aux missions diplomatiques et consulaires des États membres dans les pays tiers.

Certaines entités critiques exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière, ou fournissent des services exclusivement à des entités de l’administration publique qui exercent des activités principalement dans ces domaines. Compte tenu de la responsabilité qui incombe aux États membres en matière de sauvegarde de la sécurité nationale et de la défense, les États membres devraient pouvoir décider que les obligations incombant aux entités critiques prévues dans la présente directive ne s’appliquent pas, en tout ou en partie, auxdites entités critiques si les services qu’elles fournissent ou les activités qu’elles exercent sont principalement liés aux domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière. Les entités critiques dont les services ou les activités ne sont que marginalement liés à ces domaines devraient relever du champ d’application de la présente directive. Aucun État membre ne devrait être tenu de fournir des informations dont la divulgation serait contraire aux intérêts essentiels de sa sécurité nationale. Les règles de l’Union ou les règles nationales visant à protéger les informations classifiées et les accords de non-divulgation sont pertinents à cet égard.

(12)

Afin de ne pas compromettre la sécurité nationale ou la sécurité et les intérêts commerciaux des entités critiques, les informations sensibles devraient être consultées, échangées et traitées avec prudence et en accordant une attention particulière aux canaux de transmission et aux capacités de stockage utilisés.

(13)

Afin de garantir une approche globale de la résilience des entités critiques, chaque État membre devrait disposer d’une stratégie pour renforcer la résilience des entités critiques (ci-après dénommée «stratégie»). La stratégie devrait définir les objectifs stratégiques et les mesures politiques à mettre en œuvre. Dans un souci de cohérence et d’efficacité, la stratégie devrait être conçue de manière à intégrer harmonieusement les politiques existantes, en s’appuyant, chaque fois que cela est possible, sur des stratégies nationales et sectorielles, des plans ou des documents similaires existants pertinents. Afin de mettre en place une approche globale, les États membres devraient veiller à ce que leur stratégie prévoie un cadre d’action pour une coordination renforcée entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 dans le contexte du partage d’informations sur les risques, menaces et incidents en matière de cybersécurité et les risques, menaces et incidents non liés à la cybersécurité, et dans le contexte de l’exercice des tâches de supervision. Lorsqu’ils mettent en place leur stratégie, les États membres devraient tenir dûment compte de la nature hybride des menaces pesant sur les entités critiques.

(14)

Les États membres devraient communiquer leur stratégie et les mises à jour substantielles de celle-ci à la Commission, notamment pour permettre à cette dernière d’évaluer la bonne application de la présente directive en ce qui concerne les approches stratégiques à l’égard de la résilience des entités critiques à l’échelon national. Les stratégies pourraient être communiquées en tant qu’informations classifiées. La Commission devrait établir un rapport de synthèse sur les stratégies communiquées par les États membres, qui servirait de base aux échanges visant à recenser les bonnes pratiques et les questions d’intérêt commun dans le cadre d’un groupe sur la résilience des entités critiques. Les informations agrégées figurant dans le rapport de synthèse, qu’elles soient classifiées ou non, étant par nature sensibles, la Commission devrait gérer le rapport de synthèse en étant dûment consciente de la question de la sécurité des entités critiques, des États membres et de l’Union. Le rapport de synthèse et les stratégies devraient être protégés contre les actes illicites ou malveillants et ne devraient être accessibles qu’aux personnes autorisées afin d’atteindre les objectifs de la présente directive. La communication des stratégies et de leurs mises à jour substantielles devrait également aider la Commission à comprendre l’évolution des approches à l’égard de la résilience des entités critiques et à alimenter le suivi de l’impact et de la valeur ajoutée de la présente directive, que la Commission doit réexaminer périodiquement.

(15)

Les mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient suivre une approche fondée sur les risques qui se concentre sur les entités les plus importantes pour l’exercice de fonctions sociétales ou d’activités économiques vitales. Afin de garantir une telle approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation des risques naturels et d’origine humaine pertinents, y compris les risques de nature transsectorielle ou transfrontière, pouvant affecter la fourniture de services essentiels, y compris les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies et les menaces hybrides ou autres menaces antagonistes, lesquelles comprennent les infractions terroristes, l’infiltration par les réseaux criminels et le sabotage (ci-après dénommée «évaluation des risques d’État membre»). Lorsqu’ils procèdent à une telle évaluation, les États membres devraient tenir compte d’autres évaluations des risques générales ou sectorielles effectuées en vertu d’autres actes juridiques de l’Union et examiner la mesure dans laquelle les secteurs dépendent les uns des autres, y compris de secteurs d’autres États membres et de pays tiers. Les résultats de l’évaluation des risques d’État membre devraient être utilisés aux fins de recenser les entités critiques et d’aider ces entités à satisfaire aux exigences auxquelles elles sont soumises en matière de résilience. La présente directive ne s’applique qu’aux États membres et aux entités critiques qui exercent leurs activités au sein de l’Union. Néanmoins, l’expertise et les connaissances générées par les autorités compétentes, notamment au moyen d’évaluations des risques, et par la Commission, notamment au moyen de diverses formes de soutien et de coopération, pourraient être utilisées, le cas échéant et conformément aux instruments juridiques applicables, dans l’intérêt des pays tiers, notamment ceux qui se trouvent dans le voisinage direct de l’Union, en alimentant la coopération existante en matière de résilience.

(16)

Afin de garantir que toutes les entités concernées sont soumises aux exigences en matière de résilience de la présente directive et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir suffisamment compte du rôle et de l’importance de ces entités à l’échelon national. Lorsqu’il applique les critères établis dans la présente directive, chaque État membre devrait recenser les entités qui fournissent un ou plusieurs services essentiels et qui exploitent et possèdent des infrastructures critiques situées sur son territoire. Une entité devrait être considérée comme exerçant des activités sur le territoire de l’État membre dans lequel elle exerce les activités nécessaires pour le ou les services essentiels en question et dans lequel se trouve l’infrastructure critique de cette entité, qui est utilisée pour fournir ce ou ces services. Lorsqu’aucune entité ne remplit ces critères dans un État membre, cet État membre ne devrait pas être tenu de recenser des entités critiques dans le secteur ou sous-secteur correspondant. Dans un souci d’efficacité, d’efficience, de cohérence et de sécurité juridique, il convient d’établir des règles appropriées en ce qui concerne la notification des entités qui ont été recensées en tant qu’entités critiques.

(17)

Les États membres devraient communiquer à la Commission, selon des modalités qui répondent aux objectifs de la présente directive, une liste des services essentiels, le nombre d’entités critiques recensées pour chacun des secteurs et sous-secteurs figurant en annexe et pour le ou les services essentiels fournis par chaque entité et, s’ils sont appliqués, les seuils. Il devrait être possible de présenter les seuils tels quels ou sous une forme agrégée, c’est-à-dire que les informations peuvent prendre la forme de moyennes par zone géographique, par année, par secteur, par sous-secteur, ou par tout autre critère, et peuvent comporter des données sur la portée des indicateurs fournis.

(18)

Des critères devraient être fixés afin de déterminer l’importance de l’effet perturbateur causé par un incident. Ces critères devraient se fonder sur les critères énoncés dans la directive (UE) 2016/1148 du Parlement européen et du Conseil (6) afin de tirer parti des efforts déployés par les États membres pour recenser les opérateurs de services essentiels tels qu’ils sont définis dans ladite directive et de l’expérience acquise à cet égard. Des crises majeures, telles que la pandémie de COVID-19, ont mis en lumière l’importance de garantir la sécurité de la chaîne d’approvisionnement et ont montré comment sa perturbation peut avoir des incidences économiques et sociétales négatives dans un grand nombre de secteurs et au-delà des frontières. Par conséquent, les États membres devraient également tenir compte des effets sur la chaîne d’approvisionnement, dans la mesure du possible, lorsqu’ils déterminent la mesure dans laquelle d’autres secteurs et sous-secteurs dépendent du service essentiel fourni par une entité critique.

(19)

Conformément au droit de l’Union et au droit national applicables, y compris le règlement (UE) 2019/452 du Parlement européen et du Conseil (7), qui établit un cadre pour le filtrage des investissements directs étrangers dans l’Union, il convient de reconnaître la menace potentielle que représente la participation étrangère dans des infrastructures critiques au sein de l’Union, parce que les services, l’économie, la liberté de circulation et la sécurité des citoyens de l’Union dépendent du bon fonctionnement des infrastructures critiques.

(20)

La directive (UE) 2022/2555 impose aux entités appartenant au secteur des infrastructures numériques qui pourraient être recensées en tant qu’entités critiques en vertu de la présente directive de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information et de signaler les cybermenaces et les incidents importants. Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information peuvent avoir des origines différentes, la directive (UE) 2022/2555 applique une approche tous risques qui inclut la résilience des réseaux et des systèmes d’information ainsi que des composants et environnements physiques de ces systèmes.

Les exigences établies par la directive (UE) 2022/2555 à cet égard étant au moins équivalentes aux obligations correspondantes établies par la présente directive, les obligations établies à l’article 11 et aux chapitres III, IV et VI de la présente directive ne devraient pas s’appliquer aux entités appartenant au secteur des infrastructures numériques de manière à éviter tout double emploi et des charges administratives inutiles. Toutefois, compte tenu de l’importance des services fournis par les entités appartenant au secteur des infrastructures numériques à des entités critiques appartenant à tous les autres secteurs, les États membres devraient recenser, sur la base des critères et selon la procédure prévus dans la présente directive, les entités appartenant au secteur des infrastructures numériques en tant qu’entités critiques. Par conséquent, les stratégies, les évaluations des risques d’États membres et les mesures de soutien énoncées au chapitre II de la présente directive devraient s’appliquer. Les États membres devraient pouvoir adopter ou maintenir des dispositions de droit national afin d’atteindre un niveau de résilience plus élevé pour ces entités critiques, à condition que ces dispositions soient compatibles avec le droit de l’Union applicable.

(21)

Le droit de l’Union relatif aux services financiers impose aux entités financières des exigences étendues visant à ce que tous les risques auxquels elles sont confrontées soient gérés, y compris les risques opérationnels, et à garantir la continuité des activités. Ce droit comprend les règlements (UE) no 648/2012 (8), (UE) no 575/2013 (9) et (UE) no 600/2014 (10) du Parlement européen et du Conseil et les directive 2013/36/UE (11) et 2014/65/UE (12) du Parlement européen et du Conseil. Ce cadre juridique est complété par le règlement (UE) 2022/2554 du Parlement européen et du Conseil (13), qui fixe des exigences applicables aux entités financières en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC), y compris en matière de protection des infrastructures physiques des TIC. Étant donné que la résilience de ces entités est dès lors entièrement couverte, l’article 11 et les chapitres III, IV et VI de la présente directive ne devraient pas s’appliquer à ces entités, afin d’éviter des doubles emplois et des charges administratives inutiles.

Toutefois, compte tenu de l’importance des services fournis par les entités du secteur financier à des entités critiques appartenant à tous les autres secteurs, les États membres devraient recenser, sur la base des critères et selon la procédure prévus dans la présente directive, les entités du secteur financier en tant qu’entités critiques. Par conséquent, les stratégies, les évaluations des risques d’États membres et les mesures de soutien énoncées au chapitre II de la présente directive devraient s’appliquer. Les États membres devraient pouvoir adopter ou maintenir des dispositions de droit national afin d’atteindre un niveau de résilience plus élevé pour ces entités critiques, à condition que ces dispositions soient compatibles avec le droit de l’Union applicable.

(22)

Les États membres devraient désigner ou mettre en place des autorités chargées de surveiller l’application des règles de la présente directive et, si nécessaire, de les faire respecter, et veiller à ce que ces autorités disposent des pouvoirs et des ressources adéquats. Compte tenu des différences entre les structures de gouvernance nationales, afin de préserver les dispositifs sectoriels existants ou les organismes de surveillance et de réglementation de l’Union, et afin d’éviter les doubles emplois, les États membres devraient pouvoir désigner ou mettre en place plus d’une autorité compétente. Lorsque les États membres désignent ou mettent en place plusieurs autorités compétentes, ils devraient définir clairement les tâches respectives des autorités concernées et veiller à ce qu’elles coopèrent de manière harmonieuse et efficace. Toutes les autorités compétentes devraient également coopérer plus généralement avec d’autres autorités concernées, tant au niveau de l’Union qu’au niveau national.

(23)

Afin de faciliter la coopération et la communication transfrontières et de permettre la mise en œuvre effective de la présente directive, et sans préjudice des exigences posées par des actes juridiques sectoriels de l’Union, chaque État membre devrait désigner un point de contact unique chargé de coordonner les questions liées à la résilience des entités critiques et à la coopération transfrontière au niveau de l’Union (ci-après dénommé «point de contact unique»), s’il y a lieu au sein d’une autorité compétente. Il convient que chaque point de contact unique assure la coordination de la communication et la liaison, s’il y a lieu, avec les autorités compétentes de son État membre, avec les points de contact uniques des autres États membres et avec le groupe sur la résilience des entités critiques.

(24)

Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 devraient coopérer et échanger des informations sur les risques, menaces et incidents en matière de cybersécurité ainsi que sur les risques, menaces et incidents non liés à la cybersécurité affectant les entités critiques, et sur les mesures pertinentes prises par les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 Il importe que les États membres veillent à ce que les exigences prévues par la présente directive et la directive (UE) 2022/2555 soient mises en œuvre de manière complémentaire et à ce que les entités critiques ne soient pas soumises à une charge administrative supérieure à ce qui est nécessaire pour atteindre les objectifs de la présente directive et de ladite directive.

(25)

Les États membres devraient aider les entités critiques, y compris celles qui sont qualifiées de petites ou moyennes entreprises, à renforcer leur résilience, dans le respect des obligations qui incombent aux États membres en vertu de la présente directive, sans préjudice de la propre responsabilité juridique qui incombe aux entités critiques de garantir le respect de ces obligations et, ce faisant, éviter d’imposer une charge administrative excessive. En particulier, les États membres pourraient élaborer des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience des entités critiques et dispenser des formations et fournir des conseils au personnel des entités critiques. Lorsque cela est nécessaire et justifié par des objectifs d’intérêt public, les États membres pourraient fournir des ressources financières et devraient faciliter le partage volontaire d’informations et l’échange de bonne pratiques entre les entités critiques, sans préjudice de l’application des règles de concurrence prévues par le traité sur le fonctionnement de l’Union européenne.

(26)

En vue de renforcer la résilience des entités critiques recensées par les États membres et afin de réduire la charge administrative qui pèse sur ces entités critiques, les autorités compétentes devraient se consulter, chaque fois que cela est approprié, aux fins d’assurer l’application cohérente de la présente directive. Ces consultations devraient être engagées à la demande de toute autorité compétente concernée, et viser à assurer une approche convergente en ce qui concerne les entités critiques interconnectées qui utilisent des infrastructures critiques physiquement connectées entre deux ou plusieurs États membres, qui appartiennent aux mêmes groupes ou structures d’entreprise, ou qui ont été recensées dans un État membre et qui fournissent des services essentiels à ou dans d’autres États membres.

(27)

Lorsque des dispositions du droit de l’Union ou du droit national exigent que les entités critiques évaluent les risques pertinents aux fins de la présente directive et qu’elles prennent des mesures pour garantir leur propre résilience, ces exigences devraient être suffisamment prises en considération aux fins de surveiller le respect de la présente directive par les entités critiques.

(28)

Les entités critiques devraient avoir une connaissance approfondie des risques pertinents auxquels elles sont exposées et être tenues de les analyser. À cette fin, elles devraient procéder à des évaluations des risques chaque fois que cela s’avère nécessaire compte tenu de leurs circonstances particulières et de l’évolution de ces risques et, en tout cas, tous les quatre ans, afin d’évaluer tous les risques pertinents qui pourraient perturber la fourniture de leurs services essentiels (ci-après dénommée «évaluation des risques d’entité critique»). Lorsque les entités critiques ont procédé à d’autres évaluations des risques ou établi des documents en vertu d’obligations prévues par d’autres actes juridiques qui sont pertinents pour leur évaluation des risques d’entité critique, elles devraient pouvoir utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans la présente directive en ce qui concerne les évaluations des risques d’entités critiques. Une autorité compétente devrait pouvoir déclarer qu’une évaluation des risques existante réalisée par une entité critique qui porte sur les risques pertinents et le degré pertinent de dépendance respecte, en tout ou en partie, les obligations prévues par la présente directive.

(29)

Les entités critiques devraient adopter des mesures techniques, des mesures de sécurité et des mesures organisationnelles appropriées et proportionnées aux risques auxquels elles sont confrontées, de manière à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en remettre. Bien que les entités critiques soient tenues de prendre ces mesures conformément à la présente directive, les détails et la portée de ces mesures devraient refléter de manière appropriée et proportionnée les différents risques que chaque entité critique a recensés dans le cadre de son évaluation des risques d’entité critique et les spécificités de cette entité. Pour favoriser une approche cohérente de l’Union, la Commission devrait, après consultation du groupe sur la résilience des entités critiques, adopter des lignes directrices non contraignantes afin de préciser davantage ces mesures techniques, ces mesures de sécurité et ces mesures organisationnelles. Les États membres devraient veiller à ce que chaque entité critique désigne un agent de liaison ou une personne ayant une fonction équivalente en tant que point de contact avec les autorités compétentes.

(30)

Dans un souci d’efficacité et de responsabilité, les entités critiques devraient décrire les mesures qu’elles prennent avec un niveau de détail suffisant pour atteindre les objectifs d’efficacité et de responsabilité, eu égard aux risques identifiés, dans un plan de résilience ou dans un ou plusieurs documents équivalents, et appliquer ce plan dans la pratique. Lorsqu’une entité critique a déjà pris des mesures techniques, des mesures de sécurité et des mesures organisationnelles et établi des documents en vertu d’autres actes juridiques qui sont pertinents aux fins des mesures de renforcement de la résilience au titre de la présente directive, elle devrait pouvoir, afin d’éviter les doubles emplois, utiliser ces mesures et documents pour satisfaire aux exigences en ce qui concerne les mesures de résilience au titre de la présente directive. Afin d’éviter les doubles emplois, une autorité compétente devrait pouvoir déclarer comme conformes, en tout ou en partie, aux exigences de la présente directive des mesures de résilience existantes prises par une entité critique qui répondent à son obligation de prendre des mesures techniques, des mesures de sécurité et des mesures organisationnelles.

(31)

Les règlements (CE) no 725/2004 (14) et (CE) no 300/2008 (15) du Parlement européen et du Conseil et la directive 2005/65/CE du Parlement européen et du Conseil (16) définissent des exigences applicables aux entités des secteurs de l’aviation et du transport maritime afin de prévenir les incidents causés par des actes illicites, d’y résister et d’en atténuer les conséquences. Bien que les mesures requises par la présente directive soient plus larges en ce qui concerne les risques pris en compte et les types de mesures devant être prises, les entités critiques de ces secteurs devraient prendre en considération dans leur plan de résilience ou dans des documents équivalents les mesures prises en application de ces autres actes juridiques de l’Union. Les entités critiques doivent également prendre en considération la directive 2008/96/CE du Parlement européen et du Conseil (17), qui instaure une évaluation de l’ensemble du réseau routier pour cartographier les risques d’accidents et une inspection de sécurité routière ciblée, afin de déterminer les conditions dangereuses, les défauts et les problèmes qui augmentent le risque d’accidents et de blessures, sur la base de visites sur place de routes existantes ou de tronçons de route existants. Veiller à la protection et à la résilience des entités critiques est de la plus haute importance pour le secteur ferroviaire et, lorsqu’elles mettent en œuvre des mesures de résilience au titre de la présente directive, les entités critiques sont encouragées à se référer aux lignes directrices non contraignantes et aux documents de bonnes pratiques élaborés dans le cadre de groupes de travail sectoriels, tels que la plateforme de l’Union européenne en matière de sûreté des voyageurs ferroviaires créée par la décision 2018/C 232/03 de la Commission (18).

(32)

Le risque que des membres du personnel des entités critiques ou de leurs contractants utilisent de manière abusive, par exemple leurs droits d’accès au sein de l’organisation de l’entité critique pour nuire et causer un préjudice est de plus en plus préoccupant. Les États membres devraient par conséquent préciser les conditions dans lesquelles les entités critiques sont autorisées, dans des cas dûment motivés et compte tenu des évaluations des risques d’États membres, à présenter des demandes de vérification des antécédents des personnes appartenant à des catégories spécifiques de leur personnel. Il convient de veiller à ce que les autorités concernées évaluent ces demandes dans un délai raisonnable et les traitent conformément au droit national et aux procédures nationales, et au droit de l’Union pertinent et applicable, y compris en matière de protection des données à caractère personnel. Afin de confirmer l’identité d’une personne faisant l’objet d’une vérification des antécédents, il convient que les États membres exigent une preuve de son identité, comme un passeport, une carte d’identité nationale ou une forme d’identification numérique, conformément au droit applicable.

Les vérifications des antécédents devraient également comprendre une vérification des casiers judiciaires de la personne concernée. Les États membres devraient utiliser le système européen d’information sur les casiers judiciaires conformément aux procédures prévues dans la décision-cadre 2009/315/JAI du Conseil (19) et, si cela est pertinent et applicable, dans le règlement (UE) 2019/816 du Parlement européen et du Conseil (20) aux fins d’obtenir des informations provenant des casiers judiciaires détenus par d’autres États membres. Les États membres pourraient aussi, et si cela est pertinent et applicable, s’appuyer sur le système d’information Schengen de deuxième génération (SIS II) établi par le règlement (UE) 2018/1862 du Parlement européen et du Conseil (21), sur des éléments de renseignement et sur toutes autres informations objectives disponibles qui pourraient être nécessaires pour déterminer si la personne concernée convient pour le poste pour lequel l’entité critique a demandé une vérification des antécédents.

(33)

Il convient de mettre en place un mécanisme de notification de certains incidents afin de permettre aux autorités compétentes de réagir rapidement et de manière adéquate aux incidents et de disposer d’une vue d’ensemble complète de l’impact, de la nature, de la cause et des conséquences éventuelles d’incidents auxquels les entités critiques sont confrontées. Les entités critiques devraient notifier sans retard injustifié aux autorités compétentes les incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels. À moins qu’elles n’en soient empêchées sur le plan opérationnel, les entités critiques devraient présenter une notification initiale au plus tard vingt-quatre heures après avoir pris connaissance d’un incident. La notification initiale ne devrait inclure que les informations strictement nécessaires pour porter l’incident à la connaissance de l’autorité compétente et permettre à l’entité critique de demander une assistance, si nécessaire. Une telle notification devrait indiquer, lorsque cela est possible, la cause présumée de l’incident. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité critique des activités liées à la gestion de l’incident, qui devraient être prioritaires. La notification initiale devrait être suivie, s’il y a lieu, d’un rapport détaillé au plus tard un mois après l’incident. Le rapport détaillé devrait compléter la notification initiale et fournir une vue d’ensemble plus complète de l’incident.

(34)

Il convient que la normalisation demeure un processus essentiellement conduit par le marché. Toutefois, il pourrait être approprié dans certaines situations d’exiger le respect de certaines normes. Les États membres devraient, lorsque cela est utile, promouvoir l’utilisation de normes européennes et internationales et de spécifications techniques pertinentes pour les mesures de sécurité et les mesures de résilience applicables aux entités critiques.

(35)

Si les entités critiques exercent généralement leurs activités dans le cadre d’un réseau de fourniture de services et d’infrastructures de plus en plus interconnecté et fournissent souvent des services essentiels dans plus d’un État membre, certaines de ces entités critiques revêtent une importance particulière pour l’Union et son marché intérieur car elles fournissent des services essentiels à ou dans six États membres ou plus, et pourraient donc bénéficier d’un soutien spécifique au niveau de l’Union. Il y a donc lieu d’établir des règles relatives aux missions de conseil destinées à ces entités critiques d’importance européenne particulière. Ces règles sont sans préjudice des dispositions relatives à la supervision et à l’exécution des règles énoncées dans la présente directive.

(36)

Sur demande motivée de la Commission ou d’un ou de plusieurs États membres auxquels ou dans lesquels le service essentiel est fourni, lorsque des informations supplémentaires sont nécessaires pour pouvoir conseiller une entité critique en vue du respect de ses obligations au titre de la présente directive ou pour évaluer le respect de ces obligations par une entité critique d’importance européenne particulière, l’État membre qui a désigné une entité critique d’importance européenne particulière en tant qu’entité critique devrait fournir certaines informations à la Commission, conformément à la présente directive. En accord avec l’État membre qui a désigné l’entité critique d’importance européenne particulière en tant qu’entité critique, la Commission devrait pouvoir organiser une mission de conseil afin d’évaluer les mesures mises en place par cette entité. Afin de garantir la bonne exécution de ces missions de conseil, il convient d’établir des règles complémentaires, notamment en ce qui concerne l’organisation et le déroulement des missions de conseil, les actions de suivi à entreprendre et les obligations incombant aux entités critiques d’importance européenne particulière concernées. Sans préjudice de la nécessité pour l’État membre dans lequel la mission de conseil est menée et pour l’entité critique concernée de respecter les règles prévues par la présente directive, les missions de conseil devraient être menées sous réserve des règles détaillées du droit dudit État membre, par exemple en ce qui concerne les conditions précises à remplir pour obtenir l’accès aux locaux ou aux documents pertinents et les voies de recours juridictionnel. L’expertise spécifique requise pour de telles missions de conseil pourrait, selon les besoins, être demandée par l’intermédiaire du centre de coordination de la réaction d’urgence institué par la décision no 1313/2013/UE du Parlement européen et du Conseil (22).

(37)

Afin de soutenir la Commission et de faciliter la coopération entre les États membres et l’échange d’informations, y compris des bonnes pratiques, sur les questions liées à la présente directive, il convient de créer un groupe sur la résilience des entités critiques, en tant que groupe d’experts de la Commission. Les États membres devraient s’efforcer de veiller à ce que les représentants désignés de leurs autorités compétentes au sein du groupe sur la résilience des entités critiques coopèrent de manière efficace et efficiente, y compris en désignant des représentants qui disposent d’une habilitation de sécurité, s’il y a lieu. Le groupe sur la résilience des entités critiques devrait commencer à s’acquitter de ses tâches dès que possible, de manière à mettre à disposition des moyens supplémentaires pour une coopération appropriée pendant la période de transposition de la présente directive. Le groupe sur la résilience des entités critiques devrait interagir avec d’autres groupes de travail d’experts sectoriels pertinents.

(38)

Le groupe sur la résilience des entités critiques devrait coopérer avec le groupe de coopération créé par la directive (UE) 2022/2555 afin de soutenir un cadre global pour la cyberrésilience et la résilience non liée à la cybersécurité des entités critiques. Le groupe sur la résilience des entités critiques et le groupe de coopération institué par la directive (UE) 2022/2555 devraient entretenir un dialogue régulier afin de promouvoir la coopération entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 et de faciliter l’échange d’informations, notamment sur des sujets présentant un intérêt pour les deux groupes.

(39)

Afin d’atteindre les objectifs de la présente directive, et sans préjudice de la responsabilité juridique qui incombe aux États membres et aux entités critiques de veiller au respect de leurs obligations respectives qui y sont énoncées, la Commission devrait, lorsqu’elle le juge approprié, soutenir les autorités compétentes et les entités critiques afin de faciliter le respect par celles-ci de leurs obligations respectives. Lorsqu’elle apporte un soutien aux États membres et aux entités critiques dans la mise en œuvre des obligations prévues dans la présente directive, la Commission devrait s’appuyer sur les structures et outils existants, tels que ceux relevant du mécanisme de protection civile de l’Union, établi par la décision no 1313/2013/UE, et du réseau européen de référence pour la protection des infrastructures critiques. En outre, elle devrait informer les États membres des ressources disponibles au niveau de l’Union, par exemple au sein du Fonds pour la sécurité intérieure, établi par le règlement (UE) 2021/1149 du Parlement européen et du Conseil (23), d’Horizon Europe, établi par le règlement (UE) 2021/695 du Parlement européen et du Conseil (24), ou d’autres instruments pertinents pour la résilience des entités critiques.

(40)

Les États membres devraient veiller à ce que leurs autorités compétentes disposent de certains pouvoirs spécifiques pour assurer la bonne application et l’exécution de la présente directive à l’égard des entités critiques, lorsque ces entités relèvent de leur compétence comme il est précisé dans la présente directive. Ces pouvoirs devraient comprendre notamment le pouvoir d’effectuer des inspections et des audits, le pouvoir de superviser, le pouvoir d’exiger des entités critiques qu’elles fournissent des informations et des éléments de preuve concernant les mesures qu’elles ont prises pour respecter leurs obligations et, lorsque c’est nécessaire, le pouvoir d’adresser des injonctions afin qu’il soit remédié aux violations constatées. Lorsqu’ils adressent de telles injonctions, les États membres ne devraient pas exiger de mesures allant au-delà de ce qui est nécessaire et proportionné pour garantir le respect par l’entité critique concernée des obligations qui lui incombent, compte tenu, notamment, de la gravité de la violation et de la capacité économique de l’entité critique concernée. Plus généralement, ces pouvoirs devraient s’accompagner de garanties appropriées et effectives, devant être précisées dans le droit national conformément à la Charte des droits fondamentaux de l’Union européenne. Lorsqu’elles évaluent le respect par les entités critiques des obligations que leur impose la présente directive, les autorités compétentes en vertu de la présente directive devraient pouvoir demander aux autorités compétentes en vertu de la directive (UE) 2022/2555 d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’une entité relevant de ladite directive qui a été désignée en tant qu’entité critique en vertu de la présente directive. Les autorités compétentes en vertu de la directive (UE) 2022/2555 devraient coopérer et échanger des informations à cette fin.

(41)

Afin que la présente directive soit appliquée de manière effective et cohérente, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en vue de compléter la présente directive en dressant une liste des services essentiels. Cette liste devrait être utilisée par les autorités compétentes aux fins de la réalisation d’évaluations des risques d’États membres et du recensement des entités critiques en vertu de la présente directive. Compte tenu de l’approche fondée sur une harmonisation minimale suivie par la présente directive, cette liste n’est pas exhaustive et les États membres pourraient la compléter en y ajoutant d’autres services essentiels au niveau national afin de tenir compte des spécificités nationales en ce qui concerne la fourniture de services essentiels. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (25). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

(42)

Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées conformément au règlement (UE) no 182/2011 du Parlement européen et du Conseil (26).

(43)

Étant donné que les objectifs de la présente directive, à savoir garantir que les services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales soient fournis sans entrave dans le marché intérieur et améliorer la résilience des entités critiques qui fournissent de tels services, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent en raison des effets de l’action l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(44)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (27) et a rendu un avis le 11 août 2021.

(45)

Il convient donc d’abroger la directive 2008/114/CE,