La présidence du Conseil et le Parlement européen sont parvenus à un accord politique sur la directive relative à la résilience des entités critiques.
Les travaux vont maintenant se poursuivre au niveau technique pour finaliser l'accord provisoire sur le texte juridique complet. Cet accord est soumis à l'approbation du Conseil et du Parlement européen avant de passer par la procédure formelle d'adoption.
Cette directive vise à réduire les vulnérabilités et à renforcer la résilience physique des entités critiques. Il s'agit d'entités fournissant des services vitaux dont dépendent les moyens de subsistance des citoyens de l'UE et le bon fonctionnement du marché intérieur. Ils doivent être capables de se préparer, de faire face, de se protéger, de réagir et de se remettre des catastrophes naturelles, des menaces terroristes, des urgences sanitaires ou des attaques hybrides.
Le texte adopté aujourd'hui couvre des entités critiques dans un certain nombre de secteurs, tels que l'énergie, les transports, la santé, l'eau potable, les eaux usées et l'espace. Les administrations publiques centrales seront également couvertes par certaines des dispositions du projet de directive.
Les États membres devront disposer d'une stratégie nationale pour renforcer la résilience des entités critiques, procéder à une évaluation des risques au moins tous les quatre ans et identifier les entités critiques qui fournissent des services essentiels. Les entités critiques devront identifier les risques pertinents susceptibles de perturber de manière significative la fourniture des services essentiels, prendre les mesures appropriées pour garantir leur résilience et notifier les incidents perturbateurs aux autorités compétentes.
La proposition de directive établit également des règles pour l'identification des entités critiques d'importance européenne particulière. Une entité critique est considérée comme revêtant une importance européenne particulière si elle fournit un service essentiel à six États membres ou plus. Dans ce cas, la Commission peut être sollicitée par les États membres pour organiser une mission de conseil ou elle peut proposer elle-même, avec l'accord de l'État membre concerné, d'évaluer les mesures que l'entité concernée a mises en place pour satisfaire aux obligations liées à la directive.
Arrière-plan
La Commission européenne a présenté une proposition de directive sur la résilience des entités critiques en décembre 2020. Une fois adoptée, la proposition de directive remplacera la directive actuelle sur l'identification et la désignation des infrastructures critiques européennes, adoptée en 2008.
Une évaluation de cette directive en 2019 a souligné la nécessité de mettre à jour et de renforcer encore les règles existantes à la lumière des nouveaux défis auxquels l'UE est confrontée, tels que l'essor de l'économie numérique, les effets croissants du changement climatique et les menaces terroristes. La pandémie actuelle de COVID-19 a montré en particulier à quel point les infrastructures et les sociétés critiques peuvent être exposées à une pandémie et le niveau élevé d'interdépendance qui existe entre les États membres de l'UE ainsi qu'à l'échelle mondiale.
Parallèlement à la proposition de directive sur les entités critiques, la Commission a également présenté une proposition de directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'ensemble de l'UE (NIS 2), qui vise à répondre aux mêmes préoccupations concernant la dimension cybernétique. Le Conseil et le Parlement sont parvenus à un accord sur cette proposition en mai 2022.
En septembre 2020, la Commission a présenté une proposition de loi sur la résilience opérationnelle numérique (DORA), qui renforcera la sécurité informatique des entités financières telles que les banques, les compagnies d'assurance et les entreprises d'investissement. Il vise à s'assurer que le secteur financier Europe est en mesure de maintenir des opérations résilientes en cas de perturbation opérationnelle grave. Le Conseil et le Parlement sont parvenus à un accord sur cette proposition en mai 2022.
Les États membres devront assurer une mise en œuvre coordonnée des trois textes législatifs.