Face à la multiplication des risques – cyberattaques, catastrophes naturelles, crises sanitaires ou défaillances techniques – l’Union européenne renforce son cadre réglementaire pour protéger les services essentiels. La directive (UE) 2022/2557 du 14 décembre 2022, dite directive « REC » (résilience des entités critiques), s’inscrit dans cette dynamique et impose aux acteurs concernés de mieux anticiper, gérer et surmonter les incidents susceptibles d’affecter la fourniture de services essentiels. Il s’agit de l’objectif visé par le terme « résilience ».
Retour sur les principaux apports de ce texte et ses implications concrètes pour les organisations.
1. Une directive au service de la continuité des services essentiels
La directive REC poursuit un objectif central : garantir que les entités critiques soient en mesure de prévenir, de réagir et de se rétablir face aux incidents perturbant la fourniture de services essentiels. Cette notion d’« incident » recouvre un large spectre d’événements, allant de la défaillance technique à la catastrophe naturelle, en passant par l’erreur opérationnelle.
Ce texte intervient dans un contexte européen marqué par une prise de conscience accrue des vulnérabilités des infrastructures essentielles. Il complète ainsi d’autres initiatives, notamment en matière de cybersécurité, afin de renforcer la résilience globale du marché intérieur.
2. Un champ d’application étendu à de nombreux secteurs stratégiques
La directive vise les « entités critiques », c’est-à-dire les organisations – publiques ou privées – fournissant des services indispensables au maintien des fonctions sociétales, ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement, au sein du marché intérieur.
Il convient toutefois de préciser que toutes les organisations relevant de ces secteurs ne sont pas automatiquement qualifiées d’entités critiques : elles doivent faire l’objet d’une désignation par les États membres à l’issue d’un processus de recensement, conformément à une liste de catégories d’entités fixée en annexe de la directive.
Parmi les entités critiques figurent notamment les entités du secteur :
- des infrastructures numériques (fournisseurs de services Cloud, fournisseurs de points d’échange internet, fournisseurs de services DNS, fournisseurs de centres de données, etc.) ;
- de la santé (prestataires de soins, entités exerçant des activités de recherche et de développement dans le domaine des médicaments, fabricants des produits pharmaceutiques de base et des préparations pharmaceutiques, fabricants de dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique, etc.) ;
Sont aussi visés les fournisseurs d’énergie, les opérateurs de transport, et les établissements bancaires.
La directive REC s’applique également aux entités critiques d’importance européenne particulière, c’est-à-dire aux entités désignées comme critiques à l’issue d’une procédure de recensement, et qui fournissent des services essentiels à ou dans six Etats membres minimum.
3. Des obligations renforcées pour anticiper et gérer les crises
Les entités critiques se voient imposer des obligations visant à renforcer leur résilience et leur capacité à fournir des services essentiels :
- Etablir des mesures techniques, des mesures de sécurité et des mesures organisationnelles appropriées et proportionnées pour garantir leur résilience, sous la forme d’un plan ou d’un document équivalent (protection des locaux, mise en œuvre de procédures et protocoles de gestion des risques et des crises et de procédures d’alerte, sensibilisation du personnel, etc.) ;
- Notifier aux autorités compétentes les incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels.
Ces obligations traduisent un changement de paradigme : il ne s’agit plus seulement de réagir aux crises, mais de les anticiper et de s’y préparer de manière systémique.
4. Mise en œuvre et perspectives en droit français
Entrée en vigueur le 16 janvier 2023, la directive REC devait être transposée par les États membres au plus tard en octobre 2024.
En France, cette transposition se traduit par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, encore en cours d’examen au moment de la rédaction du présent article.
Le texte, dans sa version actuelle, accorde de nombreux pouvoirs aux autorités nationales qui sont chargées de veiller à l’application des règles prévues par la directive REC.
Des agents de l’État spécialement désignés et assermentés pourront réaliser des enquêtes auprès des entités critiques, et pourront accéder à leurs locaux, et consulter tout document nécessaire à l’exercice de leur mission. Ces dernières encourront des sanctions, notamment pécuniaires, en cas de manquements aux règles fixées par la loi.
La directive REC marque une étape majeure dans la protection des infrastructures critiques au sein de l’Union européenne. En imposant une approche proactive de la gestion des risques, elle oblige les acteurs concernés à repenser leur organisation et leurs procédures internes.
Adrien CHOPARD, Avocat
