4. Risques de malveillance 
4.6. Défense nationale, Protection du secret et Opérateurs d'importance vitale (OIV)
4.6. Défense nationale, Protection du secret et Opérateurs d'importance vitale (OIV)
Communication de la Commission du 12 septembre 2025 : Lignes directrices et modèle de rapport élaborés par la Commission en application de l'article 5, paragraphe 5, de l'article 6, paragraphe 6, et de l'article 7, paragraphe 3, de la directive (UE) 2022/2557 sur la résilience des entités critiques
| Date de signature : | 12/09/2025 | Statut du texte : | En vigueur |
| Date de publication : | 12/09/2025 | Emetteur : | |
| Consolidée le : | Source : | JOUE Série C du 12 septembre 2025 | |
| Date d'entrée en vigueur : | 13/09/2025 |
Communication de la Commission du 12 septembre 2025 : Lignes directrices et modèle de rapport élaborés par la Commission en application de l'article 5, paragraphe 5, de l'article 6, paragraphe 6, et de l'article 7, paragraphe 3, de la directive (UE) 2022/2557 sur la résilience des entités critiques
I. INTRODUCTION
1. La directive (UE) 2022/2557 du Parlement européen et du Conseil (1) sur la résilience des entités critiques (ci-après la «directive») vise à faire en sorte que les services essentiels au maintien de fonctions so ciétales ou d’activités économiques vitales soient fournis sans entrave dans le marché intérieur. La directive renforce la résilience des entités critiques qui fournissent de tels services et crée un cadre général de résilience des entités critiques en ce qui concerne tous les risques (naturels ou d’origine humaine, accidentels ou intentionnels).
2. Afin d’atteindre un niveau élevé de résilience, les États membres ont des obligations au titre de la directive. La Commission a été chargée d’élaborer des recommandations, des lignes directrices non contraignantes et un modèle commun facultatif de rapport afin de les aider à remplir certaines de ces obligations. La présente communication donne effet plus particulièrement à l’article 5, paragraphe 5, de la directive concernant l’élaboration d’un modèle pour la transmission de certain es informations à la Commission, à l’article 6, paragraphe 6, de la directive concernant l’élaboration de recommandations et de lignes directrices pour soutenir les États membres dans leur recensement des entités critiques, et à l’article 7, paragraphe 3, de la directive concernant l’adoption de lignes directrices pour faciliter l’application des critères permettant de déterminer l’importance d’un effet perturbateur, en tenant compte des informations que les États membres doivent communiquer conformément à l’article 7, paragraphe 2, de la directive.
3. Avant l’adoption de la présente communication, conformément aux dispositions susmentionnées, les États membres ont été consultés lors d’un séminaire qui s’est tenu les 3 et 4 octobre 2024, et le groupe sur la résilience des entités critiques (CERG) a été consulté le 12 février 2025. Des consultations bilatérales supplémentaires avec les délégués du CERG ont eu lieu par écrit en mars 2025, et une version actualisée du projet a été communiquée au CERG le 7 avril 2025.
4. La présente communication n’est pas juridiquement contraignante et n’a pas d’incidence sur l’interprétation du droit de l’Union par la Cour de justice de l’Union européenne.
II. MODÈLE COMMUN FACULTATIF DE RAPPORT
5. Le modèle commun facultatif de rapport à utiliser par les États membres pour fournir à la Commission certaines informations relatives à l’évaluation des risques, prévu à l’article 5, paragraphe 5, de la directive, figure en annexe.
6. Bien que ce modèle de rapport soit de nature facultative, les États membres sont encouragés à l’utiliser lorsqu’ils fournissent les informations en vertu de l’article 5, paragraphe 4, de la directive.
III. LIGNES DIRECTRICES NON CONTRAIGNANTES POUR SOUTENIR LE RECENSEMENT DES ENTITÉS CRITIQUES
Graphique 1
Processus de recensement des entités critiques (2)
7. En ce qui concerne le soutien au recensement des entités critiques, à la lumière des considérants 3 (3) et 16 (4) de la directive, les présentes lignes directrices non contraignantes visent, en particulier, à soutenir l’application cohérente, au niveau de l’UE, des critères de recensement des entités critiques.
8. L’article 6, paragraphe 2, de la directive dispose ce qui suit: «[l]orsqu’un État membre recense les entités critiques en vertu [de la directive], il tient compte des résultats de son évaluation des risques d’État membre et de sa stratégie et applique tous les critères suivants:
III. 1. Le résultat de l’évaluation des risques
10. Le considérant 15 de la directive explique que «[l]es mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient suivre une approche fondée sur les risques qui se concentre sur les entités les plus importantes pour l’exercice de fonctions sociétales ou d’activités économiques vitales».
11. Les États membres sont encouragés à utiliser les résultats de l’évaluation des risques réalisée conformément à l’article 5 de la directive afin de recenser les entités critiques en termes:
III.2. La stratégie pour renforcer la résilience des entités critiques
13. Le considérant 13 de la directive explique qu’«[a]fin de garantir une approche globale de la résilience des entités critiques, chaque État membre devrait disposer d’une stratégie pour renforcer la résilience des entités critiques». Le même considérant précise ce que la stratégie devrait couvrir,à savoir «les objectifs stratégiques et les mesures politiques à mettre en oeuvre. Dans un souci de cohérence et d’efficacité, la stratégie devrait être conçue de manière à intégrer harmonieusement les politiques existantes, en s’appuyant, chaque fois que cela est possible, sur des stratégies nationales et sectorielles, des plans ou des documents similaires existants pertinents». La stratégie doit être adoptée conformément à l’article 4 de la directive.
14. Afin de mettre en place une approche globale du recensement des entités critiques, les États membres devraient veiller à ce que leur stratégie prévoie un cadre d’action pour une coordination renforcée entre les autorités compétentes en vertu de la directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil (5) dans le contexte du partage d’informations sur les risques, menaces et incidents en matière de cybersécurité et les risques, menaces et incidents non liés à la cybersécurité, et dans le contexte de l’exercice des tâches de supervision (6). Étant donné que cela peut avoir une incidence sur le recensement des entités critiques dans les secteurs particulièrement exposés aux menaces hybrides, les États membres devraient tenir dûment compte de la nature hybride des menaces pesant sur les entités critiques lorsqu’ils mettent en place leur stratégie et lorsqu’ils s’appuient sur celle-ci aux fins du recensement des entités critiques. Les États membres sont encouragés à prendre en considération les normes européennes et internationales pertinentes pour les mesures de sécurité et les mesures de résilience applicables aux entités critiques qui peuvent éclairer les stratégies des États membres et, par la suite, leurs processus et décisions de désignation.
15. Conformément à l’article 4, paragraphe 2, de la directive, la stratégie doit contenir certains éléments, tels que des objectifs stratégiques et des priorités aux fins de renforcer la résilience globale des entités critiques ainsi qu’une description du processus par lequel les entités critiques sont recensées. Les objectifs stratégiques et les priorités pourraient utilement éclairer le processus de recensement des entités critiques. Par exemple, dans le cadre de la définition des priorités de la stratégie, des seuils de risque acceptable, tolérable et inacceptable pourraient être établis. Cela pourrait soutenir le processus de recensement des entités critiques par les autorités compétentes et étayer la détermination de l’importance des effets perturbateurs.
III.3. Critères de recensement des entités critiques
16. Il découle de l’article 6, paragraphe 2, de la directive que les trois critères énoncés dans ladite disposition doivent être appliqués de manière cumulative, c’est-à-dire que seule une entité qui remplit les trois critères peut être considérée comme une entité critique au titre de la directive.
17. Par conséquent, et compte tenu également de la dérogation à l’application de la directive prévue à l’article 1er, paragraphe 6, ainsi que de l’article 5, paragraphe 1, et de l’article 7, paragraphe 1, de ladite directive, il convient d’envisager les cinq étapes suivantes pour recenser les entités critiques (voir graphique 1):
19. Lorsque, à l’issue de ces étapes, il apparaît qu’une entité remplit les trois critères cumulativement, conformément à l’article 6, paragraphe 1, de la directive, elle doit être recensée par l’État membre en tant qu’entité critique. Le considérant 16 de la directive précise que «[l]orsqu’aucune entité ne remplit ces critères dans un État membre, cet État membre ne devrait pas être tenu de recenser des entités critiques dans le secteur ou sous-secteur correspondant».
(a) L’entité relève-t-elle de l’un des secteurs, sous-secteurs ou catégories d’entités énumérés à l’annexe de la directive?
20. L’annexe de la directive énumère dans sa troisième colonne les catégories d’entités qui correspondent à la liste des secteurs et sous-secteurs couverts par la directive. Presque toutes les catégories renvoient à la législation sectorielle pertinente de l’UE qui définit la catégorie d’entités en question. Cette législation devrait être soigneusement prise en considération dans le processus de recensement, pour une bonne compréhension de la catégorie d’entités que recouvre chaque secteur ou sous-secteur.
21. Il y a lieu de tenir compte des particularités de certains secteurs dans le processus de recensement. Pour le secteur de l’énergie, le considérant 5 de la directive précise qu’«[e]n ce qui concerne [...] plus particulièrement les procédés de production et de transport de l’électricité (en ce qui concerne la fourniture d’électricité), il est entendu que, lorsque cela est jugé approprié, la production d’électricité peut englober les éléments des centrales nucléaires servant au transport de l’électricité, tout en excluant les éléments strictement nucléaires, qui relèvent du droit de l’Union, y compris les actes juridiques pertinents de l’Union concernant l’énergie nucléaire, et des traités».
22. Pour le secteur alimentaire, le même considérant 5 précise qu’«afin de garantir une approche proportionnée et de tenir dûment compte du rôle et de l’importance de ces entités au niveau national, il convient de ne recenser parmi les entreprises du secteur alimentaire que les entités critiques, qu’elles soient à but lucratif ou non et qu’elles soient publiques ou privées, qui se consacrent exclusivement à la logistique, à la distribution en gros, ainsi qu’à la production et à la transformation industrielles à grande échelle et détenant une part de marché importante, comme observé au niveau national».
23. Lorsqu’ils recensent les entités critiques, les États membres devraient tenir compte de l’importance particulière de certains secteurs tels que les transports, au regard du rôle clé des ports maritimes ou fluviaux, des routes, des aéroports et des chemins de fer, en particulier lorsqu’ils sont à double usage (mobilité militaire et fins civiles), les infrastructures énergétiques, numériques et de distribution d’eau pour la fourniture de services essentiels dans d’autres secteurs, pour leur rôle stratégique dans la résilience de la chaîne d’approvisionnement et pour la lutte contre les trafics illicites et la criminalité organisée.
24. En ce qui concerne les entités des secteurs des banques, des infrastructures des marchés financiers et des infrastructures numériques, conformément à l’article 8 de la directive et aux explications figurant dans ses considérants 20 et 21, les États membres doivent recenser, sur la base des mêmes critères et selon la même procédure que ceux prévus dans la directive, les entités critiques appartenant à ces secteurs. Les autorités compétentes concernées devraient s’informer et se consulter, le cas échéant, aux fins du recensement des entités de ces trois secteurs, conformément à leur obligation générale de coopérer efficacement pour accomplir les tâches qui leur incombent en vertu de la directive prévue à son article 9, paragraphe 1.
25. Lorsqu’ils recensent les entités critiques conformément à l’article 6 de la directive, les États membres devraient dûment tenir compte des entités fournissant des services essentiels pour les communications électroniques sous- marines et le transport d’électricité sous-marin (9).
(b) L’entité fournit-elle un ou plusieurs services essentiels?
26. L’objectif premier du règlement délégué 2023/2450 de la Commission (10) (ci-après le «règlement délégué de la Commission») est d’établir une liste de services essentiels dans les secteurs et les sous-secteurs figurant à l’annexe de la directive, qui doit être utilisée par les autorités compétentes pour effectuer des évaluations des risques, la même liste devrait cependant aussi être utilisée ultérieurement aux fins du processus de recensement afin de déterminer si l’entité remplit le premier critère, à savoir si elle fournit un ou plusieurs services essentiels.
27. Le considérant 4 du règlement délégué de la Commission indique que «la liste des services essentiels devrait être utilisée à la lumière de toutes les dispositions pertinentes de la directive». Cela inclut la définition des services essentiels au sens des services qui sont cruciaux pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique ou de l’environnement, ainsi que la définition d’une entité de l’administration publique (11) et les dispositions relatives au champ d’application de ladite directive (12), qui sont pertinentes entre autres lorsque l’on applique le premier critère susmentionné.
28. Toutefois, l’article 5, paragraphe 1, de la directive indique clairement que la liste figurant dans le règlement délégué de la Commission n’est pas exhaustive. Il peut donc y avoir d’autres services essentiels qui sont couverts par la directive, bien que n’y figurant pas. Par conséquent, bien qu’ils constituent une référence importante, les services essentiels énumérés ne sont pas nécessairement les seuls à devoir être pris en considération lorsque les États membres appliquent l’article 6, paragraphe 2, point a), de la directive. Cette disposition fait référence aux «services essentiels» au sens de l’article 2, point 5), de la directive de façon générale, sans nécessairement qu’ils soient limités aux seuls services essentiels énumérés dans le règlement délégué de la Commission.
(c) L’entité exerce-t-elle ses activités sur le territoire de l’État membre et son infrastructure critique est-elle située sur ledit territoire?
29. Dans le cadre de cette étape, les États membres devraient vérifier si les entités exercent effectivement leurs activités sur leur territoire et y disposent d’infrastructures critiques, au sens où elles y sont physiquement situées. Ces deux éléments (exercice d’activités par l’entité critique et localisation de l’infrastructure critique) sont expliqués au considérant 16 de la directive, qui indique qu’une entité devrait être considérée comme exerçant des activités sur le territoire d’un État membre si elle y exerce les activités nécessaires pour le ou les services essentiels en question et si l’infrastructure critique de cette entité, qui est utilisée pour fournir ce ou ces services, s’y trouve physiquement.
30. Aux fins de l’application de l’article 6, paragraphe 2, point b), de la directive, le territoire d’un État membre devrait être considéré comme couvrant, compte tenu des limites découlant de l’article 355 du TFUE, le territoire terrestre et les voies d’eau intérieures de cet État membre ainsi que la mer territoriale (ainsi que son fond et son sous-sol) fixée par ledit État membre conformément à la convention des Nations unies sur le droit de la mer (CNUDM). En outre, il couvre la zone économique exclusive (ZEE) établie par cet État membre et le plateau continental, mais uniquement dans la mesure où il existe un lien entre les infrastructures critiques situées dans la ZEE ou sur le plateau continental et les droits souverains ou la juridiction que l’État côtier exerce conformément à la CNUDM dans ces parties de la mer, sans interférer avec les droits et libertés des autres États garantis par la CNUDM. Par conséquent, lorsque les États membres appliquent l’article 6, paragraphe 2, point b), de la directive, il convient, le cas échéant, qu’ils procèdent à une évaluation au cas par cas afin de déterminer dans quelle mesure les infrastructures critiques situées dans leur ZEE et sur le plateau continental sont concernées.
31. Par exemple, dans le cas de câbles ou pipelines sous-marins posés par d’autres États, dans l’exercice de leurs droits au titre de l’article 58, paragraphe 1, et de l’article 79, paragraphe 1, de la CNUDM, et passant par la ZEE ou le plateau continental d’un État membre côtier, cet État membre n’est pas tenu de donner effet à ses obligations en vertu de la directive en ce qui concerne ces infrastructures critiques, dans la mesure où elles ne relèvent pas de sa souveraineté et de sa juridiction fonctionnelles sur la ZEE et sur le plateau continental en vertu de la CNUDM. En revanche, les câbles ou pipelines sous-marins situés dans la ZEE ou sur le plateau continental d’un État membre côtier devraient être soumis, dans cet État, aux obligations prévues par la directive lorsque ces infrastructures critiques sont liées aux activités par lesquelles ledit État a exercé sa souveraineté ou sa juridiction sur la ZEE ou sur le plateau continental en vertu des articles 56 et 77 de la CNUDM.
32. Le lieu d’établissement de l’entité ne devrait pas être considéré comme faisant partie de ce critère, étant donné que ce n’est pas mentionné à l’article 6, paragraphe 2, point b), de la directive. Par conséquent, cet élément devrait être considéré comme dénué de pertinence aux fins du processus de recensement des entités critiques prévu par la directive.
(d) Un incident aurait-il des effets perturbateurs importants sur la fourniture par l’entité d’un ou de plusieurs services essentiels ou sur la fourniture d’autres services essentiels dans les secteurs figurant à l’annexe qui dépendent dudit ou desdits services essentiels?
33. La question de la détermination de l’importance d’un effet perturbateur est détaillée à l’article 7, paragraphe 1, de la directive, qui énumère les critères à prendre en compte à cette fin. Ces critères sont expliqués davantage à la section IV des présentes lignes directrices.
(e) L’entité est-elle exclue du champ d’application de la directive?
34.Si une entité appartient à l’une des catégories auxquelles la directive ne s’applique pas en vertu de son article 1er, paragraphe 6, il n’y a pas d’obligation de la recenser en tant qu’entité critique au titre de la directive.
35. Nonobstant l’obligation légale imposée aux États membres d’appliquer les critères prévus par la directive, comme expliqué à la section III.3 (A-D) des présentes lignes directrices, ils peuvent également appliquer des obligations liées aux entités critiques, en vertu du droit national et en agissant conformément au droit de l’Union, des entités exerçant leurs activités dans d’autres secteurs considérés comme critiques au regard du droit national, qui ne sont pas mentionnés dans l’annexe de la directive.
36. Comme expliqué au point 28 ci-dessus, bien que le règlement délégué de la Commission constitue une référence importante, les États membres peuvent devoir tenir compte de services essentiels autres que ceux énumérés dans ledit règlement. En outre, les États membres peuvent, en vertu du droit national et en agissant conformément au droit de l’Union, décider d’imposer des obligations d’amélioration de la résilience aux entités fournissant des services autres que les services essentiels couverts par la directive.
37. Les États membres peuvent donc recenser, en vertu du droit national et en agissant conformément au droit de l’Union, d’autres entités critiques que celles recensées sur la base de la directive (13). Par conséquent, étant donné que ces entités seraient recensées sur la base du droit national, il n’est pas nécessaire qu’elles remplissent les critères cumulatifs prévus à l’article 6, paragraphe 2, de la directive et expliqués ci-dessus.
IV. LIGNES DIRECTRICES NON CONTRAIGNANTES POUR FACILITER L’APPLICATION DES CRITÈRES PERMETTANT DE DÉTERMINER L’IMPORTANCE D’UN EFFET PERTURBATEUR
38. S’il découle de l’article 7, paragraphe 1, de la directive que tous les critères doivent être pris en compte pour déterminer l’importance d’un effet perturbateur, les États membres peuvent évaluer plus avant la pertinence concrète de ces critères à la lumière des circonstances de chaque cas.
IV.1. Le nombre d’utilisateurs tributaires du service essentiel
39. Les États membres sont encouragés à tenir compte des éléments suivants lorsqu’ils appliquent ce critère:
41. Les entités critiques sont souvent étroitement liées, avec des interdépendances complexes. Les dépendances et les interdépendances constituent un multiplicateur de risques qui peut renforcer l’importance d’un effet perturbateur.
42. Les États membres sont encouragés à tenir compte des éléments suivants lorsqu’ils appliquent ce critère:
44. Afin de faire face à ces effets sur la chaîne d’approvisionnement, les États membres sont encouragés à utiliser des cartographies existantes ou à réaliser une cartographie des chaînes d’approvisionnement pour les services essentiels fournis par des entités des secteurs qui relèvent du champ d’application de la directive, comprenant notamment les fournisseurs et clients directs, les fournisseurs et clients indirects, les dépendances transsectorielles et transfrontières, y compris celles extérieures à l’UE.
IV.3. L’impact que des incidents pourraient avoir, du point de vue de l’ampleur et de la durée, sur les activités économiques et sociétales, l’environnement, la sûreté et la sécurité publiques, ou la santé de la population
45. Afin d’évaluer l’ampleur et la durée d’un incident, chacun des éléments mentionnés à l’article 7, paragraphe 1, point c), de la directive devrait être pris en considération séparément. Plus la durée d’un incident est élevée et plus son intensité est importante, plus son impact sur les activités économiques et sociétales, l’environnement, la sûreté et la sécurité publiques ou la santé de la population devrait être pris en considération.
46. Les États membres sont encouragés à tenir compte des éléments suivants lorsqu’ils appliquent ce critère.
47. En ce qui concerne l’impact que les incidents pourraient avoir sur les activités économiques, les États membres sont encouragés à tenir compte:
49. En ce qui concerne l’impact que les incidents pourraient avoir sur l’environnement, les États membres sont encouragés à tenir compte:
51. En ce qui concerne l’impact que les incidents pourraient avoir sur la sûreté et la sécurité publiques, les États membres sont encouragés à tenir compte:
53. En ce qui concerne l’impact que les incidents pourraient avoir sur la santé de la population, les États membres sont encouragés à tenir compte:
IV.4. La part de marché de l’entité sur le marché du ou des services essentiels concernés
55. La part de marché reflète la position relative d’un fournisseur sur le marché et est généralement calculée sur la base des ventes ou achats des produits en cause dans la zone géographique en cause. En général, tant les valeurs des ventes ou des achats que le volume des ventes ou des achats fournissent des informations utiles (15). Les États membres sont encouragés à consulter également les données statistiques sectorielles ou à mener des études de marché pour déterminer la part de marché d’une entité.
56. Le critère de la part de marché devrait toujours être pris en considération conjointement avec d’autres critères, étant donné qu’un faible degré de dépendance vis-à-vis du service essentiel ou la disponibilité de prestataires de services de rechange peut nettement réduire l’importance d’un effet perturbateur. La dépendance peut constituer un facteur clé dans l’évaluation de l’impact de la part de marché, car elle peut expliquer dans quelle mesure la société, certains secteurs ou d’autres entités sont tributaires d’un service essentiel donné. Dans l’évaluation de l’impact de la part de marché, la dépendance permet d’avoir un aperçu de l’importance systémique relative et de la criticité du rôle de l’entité sur le marché du ou des services essentiels en cause.
57. La perturbation de services essentiels fournis par une entité détenant une part de marché élevée est susceptible de présenter un risque plus élevé d’effets en cascade sur la fourniture d’autres services essentiels, notamment si le service essentiel en cause est fourni dans un secteur qui présente de nombreuses interdépendances avec d’autres secteurs, comme l’énergie ou les transports. Les effets perturbateurs d’un incident affectant la fourniture d’un service essentiel par une entité détenant une faible part de marché pourraient également être importants si celle-ci fournit un service essentiel unique ou irremplaçable dont un secteur est tributaire.
58. Sur le plan des modèles ou méthodes permettant d’apprécier la situation sur le marché, diverses techniques d’analyse opérationnelle peuvent être utilisées, notamment les cinq forces de Porter (16), l’analyse SWOT (17), l’analyse PESTLE (18), la stratégie de segmentation du marché (19), la cartographie de parcours client (20) et le Business Model Canvas (BMC) (21).
IV.5. La zone géographique susceptible d’être touchée par un incident, y compris toute incidence transfrontière
59. Les États membres sont encouragés à tenir compte de la vulnérabilité liée au degré d’isolement de certains types de zones géographiques, telles que les régions insulaires, les régions éloignées ou les zones montagneuses, en vertu de l’article 7, paragraphe 1, point e), de la directive. Ces types de zones géographiques ont généralement des besoins spécifiques en termes de services essentiels, et des capacités limitées pour faire face aux perturbations.
60. En outre, d’autres éléments peuvent être pertinents pour l’application de ce critère:
IV.6. L’importance que revêt l’entité pour le maintien d’un niveau suffisant de service essentiel, compte tenu de la disponibilité de solutions de rechange
62. Ce critère est pertinent, entre autres, pour la fourniture de services fondamentaux pour la subsistance, tels que l’eau potable, les eaux usées, l’énergie, la santé, la production et la distribution de denrées alimentaires et les transports, y compris les services de gestion du trafic, étant donné que sans ces services, l’économie et la société s’effondreraient. Lorsqu’ils évaluent l’importance que revêt l’entité pour le maintien d’un niveau suffisant de service essentiel, les États membres doivent, conformément à l’article 7, paragraphe 1, point f), de la directive, tenir compte de la disponibilité de solutions de rechange pour la fourniture de ce service essentiel. Dans ce contexte, ils sont encouragés à examiner ces solutions de rechange en termes d’accessibilité, de délais de disponibilité, de qualité du service de rechange, et de coûts supplémentaires encourus. Si aucune solution de rechange viable n’est disponible pour les utilisateurs du service essentiel, l’impact de l’effet perturbateur est généralement plus important, quel que soit le nombre d’utilisateurs touchés par la perturbation. En outre, il convient d’envisager la nature du service essentiel sous l’angle de sa criticité, de ses caractéristiques et de sa finalité première.
(1) Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (JO L 333 du 27.12.2022, p. 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj).
(2) Il n’y a pas d’ordre obligatoire des étapes du recensement.
(3) «De plus, le marché intérieur est caractérisé par une fragmentation en ce qui concerne le recensement des entités critiques, les secteurs et les catégories d’entités concernés n’étant pas systématiquement reconnus comme critiques dans tous les États membres. La présente directive devrait donc instaurer un niveau élevé d’harmonisation en ce qui concerne les secteurs et les catégories d’entités relevant de son champ d’application.»
(4) «Afin de garantir que toutes les entités concernées sont soumises aux exigences en matière de résilience de la présente directive et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir suffisamment compte du rôle et de l’importance de ces entités à l’échelon national.».
(5) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/ dir/2022/2555/oj).
(6) Ces stratégies devraient être coordonnées avec les stratégies et plans d’adaptation au changement climatique nationaux au titre de l’article 5, paragraphe 4, du règlement (UE) 2021/1119 du Parlement européen et du Conseil du 30 juin 2021 établissant le cadre requis pour parvenir à la neutralité climatique et modifiant les règlements (CE) n°401/2009 et (UE) 2018/1999, et être cohérentes par rapport auxdites stratégies («loi européenne sur le climat») (JO L 243 du 9.7.2021, p. 1, ELI: http://data.europa.eu/eli/reg/2021/ 1119/oj).
(7) Comme déterminé conformément à l'article 7, paragraphe 1, de la directive.
(8) Article 1er, paragraphe 6, de la directive, qui dispose que la directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière.
(9) Voir également la communication conjointe au Parlement européen et au Conseil intitulée «Plan d’action de l’UE sur la sécurité des câbles» [JOIN (2025) 9 final].
(10) Règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels (JO L, 2023/2450, 30.10.2023, ELI: http://data.europa.eu/eli/ reg_del/2023/2450/oj). Cet acte délégué a été adopté en vertu de l’article 5, paragraphe 1, de la directive.
(11) Article 2, point 10), de la directive.
(12) Article 1er, paragraphes 6 et 7, de la directive.
(13) Voir l’article 3 de la directive, qui dispose qu’elle ne fait pas obstacle à l’adoption ou au maintien par les États membres de dispositions de droit national afin d’atteindre un niveau plus élevé de résilience des entités critiques, à condition que ces dispositions soient compatibles avec les obligations des États membres prévues par le droit de l’Union.
(14) Règlement (UE) 2020/852 du Parlement européen et du Conseil du 18 juin 2020 sur l’établissement d’un cadre visant à favoriser les investissements durables et modifiant le règlement (UE) 2019/2088 (JO L 198 du 22.6.2020, p. 13, ELI: http://data.europa.eu/eli/reg/ 2020/852/oj).
(15) Communication de la Commission — Communication de la Commission sur la définition du marché en cause aux fins du droit de la concurrence de l’Union (JO C, C/2024/1645, 22.2.2024, ELI: http://data.europa.eu/eli/C/2024/1645/oj), points 105 à 107.
(16) Démarche d'analyse du paysage concurrentiel d'un secteur fondée sur cinq facteurs: rivalité, nouveaux entrants, fournisseurs, clients, produits de substitution.
(17) Démarche permettant de caractériser les forces internes et externes qui peuvent créer des opportunités ou des risques pour une organisation. Elle tient compte des forces et des faiblesses de l’organisation, et des opportunités et menaces extérieures.
(18) L'analyse PESTLE examine les facteurs politiques, économiques, sociaux, technologiques, juridiques (legal) et environnementaux et évalue les impacts de ces facteurs externes sur la rentabilité d'une organisation.
(19) Technique de division du marché en segments selon les caractéristiques et les préférences des clients.
(20) Technique visant à comprendre et visualiser les caractéristiques et les préférences des clients.
(21) Technique d'évaluation et de visualisation de divers éléments essentiels d’une entreprise.
(22) Les capacités du système d’information géographique (SIG) peuvent être utilisées pour repérer les dangers et visualiser les impacts potentiels qui résulteraient de la survenance d’un incident. Elles sont également utiles pour concevoir des mesures d’atténuation et des capacités de résilience pour faire face à ces impacts potentiels.
ANNEXE
MODÈLE COMMUN FACULTATIF DE RAPPORT
I. CONSIDÉRATIONS GÉNÉRALES
L’article 5 de la directive dispose que les États membres procèdent à une évaluation des risques qui sera utilisée par eux aux fins de recenser les entités critiques au sens de la directive.
Conformément à l’article 5, paragraphe 4, de la directive, les États membres doivent fournir à la Commission des informations pertinentes sur les types de risques recensés à la suite de cette évaluation des risques d’État membre et les résultats de cette évaluation, par secteur et sous-secteur figurant à l’annexe de la directive.
L'article 5, paragraphe 5, de la directive prévoit que la Commission, en coopération avec les États membres, élabore un modèle commun facultatif de rapport aux fins du respect de l'article 5, paragraphe 4.
Bien que ce modèle commun de rapport soit de nature facultative, les États membres sont encouragés à l’utiliser lorsqu’ils fournissent les informations en vertu de l’article 5, paragraphe 4, de la directive. Le modèle commun de rapport est destiné à être utilisé pour établir un rapport distinct pour chaque secteur et, dans les secteurs qui comprennent des sous-secteurs, également par sous-secteur. Par exemple, dans le secteur de l’énergie qui compte cinq sous-secteurs, le modèle de rapport serait utilisé cinq fois.
Ce modèle est conçu pour constituer, de manière harmonisée, une vue d’ensemble des informations jugées pertinentes pour le rapport à la Commission, qu’elles soient classifiées ou non. Toutefois, si un État membre choisit d’utiliser ce modèle comme base pour partager des informations plus détaillées ou classifiées, ce partage d'informations devrait toujours se faire par les canaux de communication appropriés.
Ce modèle ne devrait pas être considéré comme un document d’orientation pour les évaluations des risques à effectuer par les États membres en vertu de l’article 5 de la directive, ni comme un substitut de ces évaluations.
II. CONSIDÉRATIONS POUR REMPLIR LE MODÈLE
Dans la première section, il convient que les États membres cochent les types de risques recensés qui pourraient affecter la fourniture de services essentiels pour le secteur et le sous-secteur faisant l’objet du rapport. Plusieurs types de risques peuvent être cochés, le cas échéant. Dans ce cas, les États membres envisagent de préciser le type de risque concerné.
Dans la deuxième section, il convient que les États membres cochent dans la liste les vulnérabilités et les incidences potentielles considérées comme pertinentes pour qualifier les résultats de l’évaluation des risques. Ensuite, dans leur compte rendu sur les résultats, les États membres donnent également une évaluation globale de l’impact d’une perturbation de la fourniture de services essentiels pour le secteur et sous-secteur faisant l’objet du rapport. Enfin, les États membres sont invités à détailler leur réponse concernant les résultats de l’évaluation des risques au moyen d’une contribution écrite.
Dans la troisième section, il convient que les États membres envisagent de partager davantage, dans une contribution écrite, leurs points de vue sur les types de risques recensés à la suite de l’évaluation des risques et les résultats de celle-ci, en ce qui concerne l’approche méthodologique, les meilleures pratiques ou les enseignements tirés du processus d’évaluation des risques. Dans ce contexte, l’évaluation des risques, comme définie à l’article 2, point 7), de la directive, est l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiellement pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident;
Dans la quatrième et dernière section, il convient que les États membres envisagent de donner des informations complémentaires ayant trait à l’obligation de communication d'informations qui leur incombe en vertu de l’article 5, paragraphe 4, de la directive, au moyen d’une contribution écrite supplémentaire.
I. INTRODUCTION
1. La directive (UE) 2022/2557 du Parlement européen et du Conseil (1) sur la résilience des entités critiques (ci-après la «directive») vise à faire en sorte que les services essentiels au maintien de fonctions so ciétales ou d’activités économiques vitales soient fournis sans entrave dans le marché intérieur. La directive renforce la résilience des entités critiques qui fournissent de tels services et crée un cadre général de résilience des entités critiques en ce qui concerne tous les risques (naturels ou d’origine humaine, accidentels ou intentionnels).
2. Afin d’atteindre un niveau élevé de résilience, les États membres ont des obligations au titre de la directive. La Commission a été chargée d’élaborer des recommandations, des lignes directrices non contraignantes et un modèle commun facultatif de rapport afin de les aider à remplir certaines de ces obligations. La présente communication donne effet plus particulièrement à l’article 5, paragraphe 5, de la directive concernant l’élaboration d’un modèle pour la transmission de certain es informations à la Commission, à l’article 6, paragraphe 6, de la directive concernant l’élaboration de recommandations et de lignes directrices pour soutenir les États membres dans leur recensement des entités critiques, et à l’article 7, paragraphe 3, de la directive concernant l’adoption de lignes directrices pour faciliter l’application des critères permettant de déterminer l’importance d’un effet perturbateur, en tenant compte des informations que les États membres doivent communiquer conformément à l’article 7, paragraphe 2, de la directive.
3. Avant l’adoption de la présente communication, conformément aux dispositions susmentionnées, les États membres ont été consultés lors d’un séminaire qui s’est tenu les 3 et 4 octobre 2024, et le groupe sur la résilience des entités critiques (CERG) a été consulté le 12 février 2025. Des consultations bilatérales supplémentaires avec les délégués du CERG ont eu lieu par écrit en mars 2025, et une version actualisée du projet a été communiquée au CERG le 7 avril 2025.
4. La présente communication n’est pas juridiquement contraignante et n’a pas d’incidence sur l’interprétation du droit de l’Union par la Cour de justice de l’Union européenne.
II. MODÈLE COMMUN FACULTATIF DE RAPPORT
5. Le modèle commun facultatif de rapport à utiliser par les États membres pour fournir à la Commission certaines informations relatives à l’évaluation des risques, prévu à l’article 5, paragraphe 5, de la directive, figure en annexe.
6. Bien que ce modèle de rapport soit de nature facultative, les États membres sont encouragés à l’utiliser lorsqu’ils fournissent les informations en vertu de l’article 5, paragraphe 4, de la directive.
III. LIGNES DIRECTRICES NON CONTRAIGNANTES POUR SOUTENIR LE RECENSEMENT DES ENTITÉS CRITIQUES
Graphique 1
Processus de recensement des entités critiques (2)
7. En ce qui concerne le soutien au recensement des entités critiques, à la lumière des considérants 3 (3) et 16 (4) de la directive, les présentes lignes directrices non contraignantes visent, en particulier, à soutenir l’application cohérente, au niveau de l’UE, des critères de recensement des entités critiques.
8. L’article 6, paragraphe 2, de la directive dispose ce qui suit: «[l]orsqu’un État membre recense les entités critiques en vertu [de la directive], il tient compte des résultats de son évaluation des risques d’État membre et de sa stratégie et applique tous les critères suivants:
- a) l’entité fournit un ou plusieurs services essentiels;
- b) l’entité exerce ses activités sur le territoire dudit État membre et son infrastructure critique est située sur ledit territoire; et
- c) un incident aurait des effets perturbateurs importants, déterminés conformément à l’article 7, paragraphe 1, [de la directive,] sur la fourniture par l’entité d’un ou de plusieurs services essentiels ou sur la fourniture d’autres services essentiels dans les secteurs figurant à l’annexe qui dépendent dudit ou desdits services essentiels».
III. 1. Le résultat de l’évaluation des risques
10. Le considérant 15 de la directive explique que «[l]es mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient suivre une approche fondée sur les risques qui se concentre sur les entités les plus importantes pour l’exercice de fonctions sociétales ou d’activités économiques vitales».
11. Les États membres sont encouragés à utiliser les résultats de l’évaluation des risques réalisée conformément à l’article 5 de la directive afin de recenser les entités critiques en termes:
- a) d’ampleur de la perte ou de la perturbation (impact fort ou impact faible) de la fourniture d'un service essentiel par une entité donnée; et
- b) de probabilité de la perte ou de la perturbation (probabilité forte ou probabilité faible) de la fourniture d'un service essentiel par une entité donnée.
III.2. La stratégie pour renforcer la résilience des entités critiques
13. Le considérant 13 de la directive explique qu’«[a]fin de garantir une approche globale de la résilience des entités critiques, chaque État membre devrait disposer d’une stratégie pour renforcer la résilience des entités critiques». Le même considérant précise ce que la stratégie devrait couvrir,à savoir «les objectifs stratégiques et les mesures politiques à mettre en oeuvre. Dans un souci de cohérence et d’efficacité, la stratégie devrait être conçue de manière à intégrer harmonieusement les politiques existantes, en s’appuyant, chaque fois que cela est possible, sur des stratégies nationales et sectorielles, des plans ou des documents similaires existants pertinents». La stratégie doit être adoptée conformément à l’article 4 de la directive.
14. Afin de mettre en place une approche globale du recensement des entités critiques, les États membres devraient veiller à ce que leur stratégie prévoie un cadre d’action pour une coordination renforcée entre les autorités compétentes en vertu de la directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil (5) dans le contexte du partage d’informations sur les risques, menaces et incidents en matière de cybersécurité et les risques, menaces et incidents non liés à la cybersécurité, et dans le contexte de l’exercice des tâches de supervision (6). Étant donné que cela peut avoir une incidence sur le recensement des entités critiques dans les secteurs particulièrement exposés aux menaces hybrides, les États membres devraient tenir dûment compte de la nature hybride des menaces pesant sur les entités critiques lorsqu’ils mettent en place leur stratégie et lorsqu’ils s’appuient sur celle-ci aux fins du recensement des entités critiques. Les États membres sont encouragés à prendre en considération les normes européennes et internationales pertinentes pour les mesures de sécurité et les mesures de résilience applicables aux entités critiques qui peuvent éclairer les stratégies des États membres et, par la suite, leurs processus et décisions de désignation.
15. Conformément à l’article 4, paragraphe 2, de la directive, la stratégie doit contenir certains éléments, tels que des objectifs stratégiques et des priorités aux fins de renforcer la résilience globale des entités critiques ainsi qu’une description du processus par lequel les entités critiques sont recensées. Les objectifs stratégiques et les priorités pourraient utilement éclairer le processus de recensement des entités critiques. Par exemple, dans le cadre de la définition des priorités de la stratégie, des seuils de risque acceptable, tolérable et inacceptable pourraient être établis. Cela pourrait soutenir le processus de recensement des entités critiques par les autorités compétentes et étayer la détermination de l’importance des effets perturbateurs.
III.3. Critères de recensement des entités critiques
16. Il découle de l’article 6, paragraphe 2, de la directive que les trois critères énoncés dans ladite disposition doivent être appliqués de manière cumulative, c’est-à-dire que seule une entité qui remplit les trois critères peut être considérée comme une entité critique au titre de la directive.
17. Par conséquent, et compte tenu également de la dérogation à l’application de la directive prévue à l’article 1er, paragraphe 6, ainsi que de l’article 5, paragraphe 1, et de l’article 7, paragraphe 1, de ladite directive, il convient d’envisager les cinq étapes suivantes pour recenser les entités critiques (voir graphique 1):
- (a) L’entité relève-t-elle de l’un des secteurs, sous-secteurs ou catégories d’entités énumérés à l’annexe de la directive?
- (b) L’entité fournit-elle un ou plusieurs services essentiels?
- (c) L’entité exerce-t-elle ses activités sur le territoire de l’État membre et son infrastructure critique est-elle située sur ledit territoire?
- (d) Un incident aurait-il des effets perturbateurs importants (7) sur la fourniture par l’entité d’un ou de plusieurs services essentiels ou sur la fourniture d’autres services essentiels dans les secteurs figurant à l’annexe qui dépendent dudit ou desdits services essentiels?
- (e) L’entité est-elle exclue du champ d’application de la directive (8)?
19. Lorsque, à l’issue de ces étapes, il apparaît qu’une entité remplit les trois critères cumulativement, conformément à l’article 6, paragraphe 1, de la directive, elle doit être recensée par l’État membre en tant qu’entité critique. Le considérant 16 de la directive précise que «[l]orsqu’aucune entité ne remplit ces critères dans un État membre, cet État membre ne devrait pas être tenu de recenser des entités critiques dans le secteur ou sous-secteur correspondant».
(a) L’entité relève-t-elle de l’un des secteurs, sous-secteurs ou catégories d’entités énumérés à l’annexe de la directive?
20. L’annexe de la directive énumère dans sa troisième colonne les catégories d’entités qui correspondent à la liste des secteurs et sous-secteurs couverts par la directive. Presque toutes les catégories renvoient à la législation sectorielle pertinente de l’UE qui définit la catégorie d’entités en question. Cette législation devrait être soigneusement prise en considération dans le processus de recensement, pour une bonne compréhension de la catégorie d’entités que recouvre chaque secteur ou sous-secteur.
21. Il y a lieu de tenir compte des particularités de certains secteurs dans le processus de recensement. Pour le secteur de l’énergie, le considérant 5 de la directive précise qu’«[e]n ce qui concerne [...] plus particulièrement les procédés de production et de transport de l’électricité (en ce qui concerne la fourniture d’électricité), il est entendu que, lorsque cela est jugé approprié, la production d’électricité peut englober les éléments des centrales nucléaires servant au transport de l’électricité, tout en excluant les éléments strictement nucléaires, qui relèvent du droit de l’Union, y compris les actes juridiques pertinents de l’Union concernant l’énergie nucléaire, et des traités».
22. Pour le secteur alimentaire, le même considérant 5 précise qu’«afin de garantir une approche proportionnée et de tenir dûment compte du rôle et de l’importance de ces entités au niveau national, il convient de ne recenser parmi les entreprises du secteur alimentaire que les entités critiques, qu’elles soient à but lucratif ou non et qu’elles soient publiques ou privées, qui se consacrent exclusivement à la logistique, à la distribution en gros, ainsi qu’à la production et à la transformation industrielles à grande échelle et détenant une part de marché importante, comme observé au niveau national».
23. Lorsqu’ils recensent les entités critiques, les États membres devraient tenir compte de l’importance particulière de certains secteurs tels que les transports, au regard du rôle clé des ports maritimes ou fluviaux, des routes, des aéroports et des chemins de fer, en particulier lorsqu’ils sont à double usage (mobilité militaire et fins civiles), les infrastructures énergétiques, numériques et de distribution d’eau pour la fourniture de services essentiels dans d’autres secteurs, pour leur rôle stratégique dans la résilience de la chaîne d’approvisionnement et pour la lutte contre les trafics illicites et la criminalité organisée.
24. En ce qui concerne les entités des secteurs des banques, des infrastructures des marchés financiers et des infrastructures numériques, conformément à l’article 8 de la directive et aux explications figurant dans ses considérants 20 et 21, les États membres doivent recenser, sur la base des mêmes critères et selon la même procédure que ceux prévus dans la directive, les entités critiques appartenant à ces secteurs. Les autorités compétentes concernées devraient s’informer et se consulter, le cas échéant, aux fins du recensement des entités de ces trois secteurs, conformément à leur obligation générale de coopérer efficacement pour accomplir les tâches qui leur incombent en vertu de la directive prévue à son article 9, paragraphe 1.
25. Lorsqu’ils recensent les entités critiques conformément à l’article 6 de la directive, les États membres devraient dûment tenir compte des entités fournissant des services essentiels pour les communications électroniques sous- marines et le transport d’électricité sous-marin (9).
(b) L’entité fournit-elle un ou plusieurs services essentiels?
26. L’objectif premier du règlement délégué 2023/2450 de la Commission (10) (ci-après le «règlement délégué de la Commission») est d’établir une liste de services essentiels dans les secteurs et les sous-secteurs figurant à l’annexe de la directive, qui doit être utilisée par les autorités compétentes pour effectuer des évaluations des risques, la même liste devrait cependant aussi être utilisée ultérieurement aux fins du processus de recensement afin de déterminer si l’entité remplit le premier critère, à savoir si elle fournit un ou plusieurs services essentiels.
27. Le considérant 4 du règlement délégué de la Commission indique que «la liste des services essentiels devrait être utilisée à la lumière de toutes les dispositions pertinentes de la directive». Cela inclut la définition des services essentiels au sens des services qui sont cruciaux pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique ou de l’environnement, ainsi que la définition d’une entité de l’administration publique (11) et les dispositions relatives au champ d’application de ladite directive (12), qui sont pertinentes entre autres lorsque l’on applique le premier critère susmentionné.
28. Toutefois, l’article 5, paragraphe 1, de la directive indique clairement que la liste figurant dans le règlement délégué de la Commission n’est pas exhaustive. Il peut donc y avoir d’autres services essentiels qui sont couverts par la directive, bien que n’y figurant pas. Par conséquent, bien qu’ils constituent une référence importante, les services essentiels énumérés ne sont pas nécessairement les seuls à devoir être pris en considération lorsque les États membres appliquent l’article 6, paragraphe 2, point a), de la directive. Cette disposition fait référence aux «services essentiels» au sens de l’article 2, point 5), de la directive de façon générale, sans nécessairement qu’ils soient limités aux seuls services essentiels énumérés dans le règlement délégué de la Commission.
(c) L’entité exerce-t-elle ses activités sur le territoire de l’État membre et son infrastructure critique est-elle située sur ledit territoire?
29. Dans le cadre de cette étape, les États membres devraient vérifier si les entités exercent effectivement leurs activités sur leur territoire et y disposent d’infrastructures critiques, au sens où elles y sont physiquement situées. Ces deux éléments (exercice d’activités par l’entité critique et localisation de l’infrastructure critique) sont expliqués au considérant 16 de la directive, qui indique qu’une entité devrait être considérée comme exerçant des activités sur le territoire d’un État membre si elle y exerce les activités nécessaires pour le ou les services essentiels en question et si l’infrastructure critique de cette entité, qui est utilisée pour fournir ce ou ces services, s’y trouve physiquement.
30. Aux fins de l’application de l’article 6, paragraphe 2, point b), de la directive, le territoire d’un État membre devrait être considéré comme couvrant, compte tenu des limites découlant de l’article 355 du TFUE, le territoire terrestre et les voies d’eau intérieures de cet État membre ainsi que la mer territoriale (ainsi que son fond et son sous-sol) fixée par ledit État membre conformément à la convention des Nations unies sur le droit de la mer (CNUDM). En outre, il couvre la zone économique exclusive (ZEE) établie par cet État membre et le plateau continental, mais uniquement dans la mesure où il existe un lien entre les infrastructures critiques situées dans la ZEE ou sur le plateau continental et les droits souverains ou la juridiction que l’État côtier exerce conformément à la CNUDM dans ces parties de la mer, sans interférer avec les droits et libertés des autres États garantis par la CNUDM. Par conséquent, lorsque les États membres appliquent l’article 6, paragraphe 2, point b), de la directive, il convient, le cas échéant, qu’ils procèdent à une évaluation au cas par cas afin de déterminer dans quelle mesure les infrastructures critiques situées dans leur ZEE et sur le plateau continental sont concernées.
31. Par exemple, dans le cas de câbles ou pipelines sous-marins posés par d’autres États, dans l’exercice de leurs droits au titre de l’article 58, paragraphe 1, et de l’article 79, paragraphe 1, de la CNUDM, et passant par la ZEE ou le plateau continental d’un État membre côtier, cet État membre n’est pas tenu de donner effet à ses obligations en vertu de la directive en ce qui concerne ces infrastructures critiques, dans la mesure où elles ne relèvent pas de sa souveraineté et de sa juridiction fonctionnelles sur la ZEE et sur le plateau continental en vertu de la CNUDM. En revanche, les câbles ou pipelines sous-marins situés dans la ZEE ou sur le plateau continental d’un État membre côtier devraient être soumis, dans cet État, aux obligations prévues par la directive lorsque ces infrastructures critiques sont liées aux activités par lesquelles ledit État a exercé sa souveraineté ou sa juridiction sur la ZEE ou sur le plateau continental en vertu des articles 56 et 77 de la CNUDM.
32. Le lieu d’établissement de l’entité ne devrait pas être considéré comme faisant partie de ce critère, étant donné que ce n’est pas mentionné à l’article 6, paragraphe 2, point b), de la directive. Par conséquent, cet élément devrait être considéré comme dénué de pertinence aux fins du processus de recensement des entités critiques prévu par la directive.
(d) Un incident aurait-il des effets perturbateurs importants sur la fourniture par l’entité d’un ou de plusieurs services essentiels ou sur la fourniture d’autres services essentiels dans les secteurs figurant à l’annexe qui dépendent dudit ou desdits services essentiels?
33. La question de la détermination de l’importance d’un effet perturbateur est détaillée à l’article 7, paragraphe 1, de la directive, qui énumère les critères à prendre en compte à cette fin. Ces critères sont expliqués davantage à la section IV des présentes lignes directrices.
(e) L’entité est-elle exclue du champ d’application de la directive?
34.Si une entité appartient à l’une des catégories auxquelles la directive ne s’applique pas en vertu de son article 1er, paragraphe 6, il n’y a pas d’obligation de la recenser en tant qu’entité critique au titre de la directive.
35. Nonobstant l’obligation légale imposée aux États membres d’appliquer les critères prévus par la directive, comme expliqué à la section III.3 (A-D) des présentes lignes directrices, ils peuvent également appliquer des obligations liées aux entités critiques, en vertu du droit national et en agissant conformément au droit de l’Union, des entités exerçant leurs activités dans d’autres secteurs considérés comme critiques au regard du droit national, qui ne sont pas mentionnés dans l’annexe de la directive.
36. Comme expliqué au point 28 ci-dessus, bien que le règlement délégué de la Commission constitue une référence importante, les États membres peuvent devoir tenir compte de services essentiels autres que ceux énumérés dans ledit règlement. En outre, les États membres peuvent, en vertu du droit national et en agissant conformément au droit de l’Union, décider d’imposer des obligations d’amélioration de la résilience aux entités fournissant des services autres que les services essentiels couverts par la directive.
37. Les États membres peuvent donc recenser, en vertu du droit national et en agissant conformément au droit de l’Union, d’autres entités critiques que celles recensées sur la base de la directive (13). Par conséquent, étant donné que ces entités seraient recensées sur la base du droit national, il n’est pas nécessaire qu’elles remplissent les critères cumulatifs prévus à l’article 6, paragraphe 2, de la directive et expliqués ci-dessus.
IV. LIGNES DIRECTRICES NON CONTRAIGNANTES POUR FACILITER L’APPLICATION DES CRITÈRES PERMETTANT DE DÉTERMINER L’IMPORTANCE D’UN EFFET PERTURBATEUR
38. S’il découle de l’article 7, paragraphe 1, de la directive que tous les critères doivent être pris en compte pour déterminer l’importance d’un effet perturbateur, les États membres peuvent évaluer plus avant la pertinence concrète de ces critères à la lumière des circonstances de chaque cas.
IV.1. Le nombre d’utilisateurs tributaires du service essentiel
39. Les États membres sont encouragés à tenir compte des éléments suivants lorsqu’ils appliquent ce critère:
- a) les personnes physiques et morales en tant qu’utilisateurs;
- b) d’autres entités critiques en tant qu’utilisateurs;
- c) le nombre total d’utilisateurs qui sont directement tributaires du service essentiel et/ou, dans la mesure du possible, les utilisateurs indirects du service essentiel, c’est-à-dire les personnes qui ne sont pas directement tributaires du service, mais qui seraient affectées s'il était perturbé.
- a) si les utilisateurs sont concentrés dans une zone déterminée ou dispersés dans une région;
- b) si les utilisateurs appartiennent à des groupes vulnérables, par exemple des personnes âgées, des personnes handicapées ou des enfants;
- c) s’il existe une dépendance à contrainte de temps à l’égard du service essentiel concerné, par exemple pour les exploitants d’infrastructures spatiales au sol;
- d) si, tandis que le nombre d’utilisateurs du service essentiel en question n’est pas élevé, ces utilisateurs sont fortement tributaires du service essentiel, par exemple un prestataire de soins de santé.
41. Les entités critiques sont souvent étroitement liées, avec des interdépendances complexes. Les dépendances et les interdépendances constituent un multiplicateur de risques qui peut renforcer l’importance d’un effet perturbateur.
42. Les États membres sont encouragés à tenir compte des éléments suivants lorsqu’ils appliquent ce critère:
- a) si deux secteurs ou plus dépendent du service essentiel en question;
- b) si les entités critiques exerçant leurs activités dans d’autres secteurs ou sous-secteurs que celui en cause disposent de solutions de rechange pour ce service essentiel;
- c) si l’effet perturbateur d’un incident lié à la fourniture du service essentiel se propagerait rapidement et entraînerait des effets en cascade dans d’autres secteurs et sous-secteurs.
44. Afin de faire face à ces effets sur la chaîne d’approvisionnement, les États membres sont encouragés à utiliser des cartographies existantes ou à réaliser une cartographie des chaînes d’approvisionnement pour les services essentiels fournis par des entités des secteurs qui relèvent du champ d’application de la directive, comprenant notamment les fournisseurs et clients directs, les fournisseurs et clients indirects, les dépendances transsectorielles et transfrontières, y compris celles extérieures à l’UE.
IV.3. L’impact que des incidents pourraient avoir, du point de vue de l’ampleur et de la durée, sur les activités économiques et sociétales, l’environnement, la sûreté et la sécurité publiques, ou la santé de la population
45. Afin d’évaluer l’ampleur et la durée d’un incident, chacun des éléments mentionnés à l’article 7, paragraphe 1, point c), de la directive devrait être pris en considération séparément. Plus la durée d’un incident est élevée et plus son intensité est importante, plus son impact sur les activités économiques et sociétales, l’environnement, la sûreté et la sécurité publiques ou la santé de la population devrait être pris en considération.
46. Les États membres sont encouragés à tenir compte des éléments suivants lorsqu’ils appliquent ce critère.
47. En ce qui concerne l’impact que les incidents pourraient avoir sur les activités économiques, les États membres sont encouragés à tenir compte:
- a) des coûts directs estimés liés aux dommages physiques causés par les perturbations, la portée et la durée de l’interruption des activités après leur arrêt, les pertes de recettes, les fermetures potentielles et les coûts d’assurance, lorsque leurs effets sont suffisamment importants pour avoir un impact macroéconomique potentiel;
- b) des coûts estimés causés par les retards et pénuries dans la fourniture de services essentiels, la réduction des dépenses de consommation et la perte de confiance de la part du public entraînées par les perturbations de la chaîne d’approvisionnement;
- c) les coûts estimés causés par l’impact sur les investissements, le commerce et la croissance économique à long terme.
49. En ce qui concerne l’impact que les incidents pourraient avoir sur l’environnement, les États membres sont encouragés à tenir compte:
- a) des dommages estimés sur le plan des écosystèmes et de la disponibilité des services écosystémiques tels qu'ils sont définis à l’article 2, point 14), du règlement (UE) 2020/852 du Parlement européen et du Conseil (14) sur l’établissement d’un cadre visant à favoriser les investissements durables;
- b) de l’impact sur la qualité de l’air (concentrations de polluants atmosphériques, indices de qualité de l’air, modifications de l’écosystème aquatique), la qualité de l’eau (modification des concentrations de polluants aquatiques et marins, qualité de l’eau, impact sur la santé humaine, atteinte à la biodiversité), les terres (sols, déforestation, urbanisation, agriculture, changements dans la biodiversité);
- c) de l’impact sur le changement climatique, y compris les modifications des émissions de gaz à effet de serre;
- d) de la concrétisation de risques climatiques aigus ou chroniques.
51. En ce qui concerne l’impact que les incidents pourraient avoir sur la sûreté et la sécurité publiques, les États membres sont encouragés à tenir compte:
- a) des effets des différents types d’incidents et de leurs conséquences sur la fourniture de services essentiels, du point de vue de l’ampleur et de la durée, sur la disponibilité et l’efficacité des services publics consacrés à la sûreté et à la sûreté, tels que les services de police, les services de protection contre les incendies, les tribunaux et les prisons, sur le taux de criminalité, sur le risque de troubles sociaux dus à la rareté de services ou de biens essentiels, ou sur les changements dans la perception de la sûreté et de la sécurité par le public;
- b) l’impact sur la disponibilité et l’efficacité des capacités de réaction des services publics consacrés à la sûreté et à la sécurité.
53. En ce qui concerne l’impact que les incidents pourraient avoir sur la santé de la population, les États membres sont encouragés à tenir compte:
- a) de la perte d’accès aux soins de santé due à des retards de traitement, de l’incapacité à atteindre les installations médicales, des pénuries de personnel, de l’incapacité de faire face aux urgences de santé publique, des interruptions ou tensions sur la fabrication de produits pharmaceutiques de base, de préparations pharmaceutiques de base, de contre-mesures médicales et de dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique, des pénuries de médicaments, des conséquences sur la santé mentale, de l’augmentation de la morbidité et de la mortalité (taux plus élevé de maladies chroniques, propagation de maladies infectieuses, blessures, décès);
- b) des perturbations de la chaîne d’approvisionnement alimentaire, des perturbations ou contaminations de l’approvisionnement en eau (potable);
- c) des effets sur la santé des groupes vulnérables (personnes âgées, enfants, personnes à faibles revenus, patients souffrant de pathologies préexistantes).
IV.4. La part de marché de l’entité sur le marché du ou des services essentiels concernés
55. La part de marché reflète la position relative d’un fournisseur sur le marché et est généralement calculée sur la base des ventes ou achats des produits en cause dans la zone géographique en cause. En général, tant les valeurs des ventes ou des achats que le volume des ventes ou des achats fournissent des informations utiles (15). Les États membres sont encouragés à consulter également les données statistiques sectorielles ou à mener des études de marché pour déterminer la part de marché d’une entité.
56. Le critère de la part de marché devrait toujours être pris en considération conjointement avec d’autres critères, étant donné qu’un faible degré de dépendance vis-à-vis du service essentiel ou la disponibilité de prestataires de services de rechange peut nettement réduire l’importance d’un effet perturbateur. La dépendance peut constituer un facteur clé dans l’évaluation de l’impact de la part de marché, car elle peut expliquer dans quelle mesure la société, certains secteurs ou d’autres entités sont tributaires d’un service essentiel donné. Dans l’évaluation de l’impact de la part de marché, la dépendance permet d’avoir un aperçu de l’importance systémique relative et de la criticité du rôle de l’entité sur le marché du ou des services essentiels en cause.
57. La perturbation de services essentiels fournis par une entité détenant une part de marché élevée est susceptible de présenter un risque plus élevé d’effets en cascade sur la fourniture d’autres services essentiels, notamment si le service essentiel en cause est fourni dans un secteur qui présente de nombreuses interdépendances avec d’autres secteurs, comme l’énergie ou les transports. Les effets perturbateurs d’un incident affectant la fourniture d’un service essentiel par une entité détenant une faible part de marché pourraient également être importants si celle-ci fournit un service essentiel unique ou irremplaçable dont un secteur est tributaire.
58. Sur le plan des modèles ou méthodes permettant d’apprécier la situation sur le marché, diverses techniques d’analyse opérationnelle peuvent être utilisées, notamment les cinq forces de Porter (16), l’analyse SWOT (17), l’analyse PESTLE (18), la stratégie de segmentation du marché (19), la cartographie de parcours client (20) et le Business Model Canvas (BMC) (21).
IV.5. La zone géographique susceptible d’être touchée par un incident, y compris toute incidence transfrontière
59. Les États membres sont encouragés à tenir compte de la vulnérabilité liée au degré d’isolement de certains types de zones géographiques, telles que les régions insulaires, les régions éloignées ou les zones montagneuses, en vertu de l’article 7, paragraphe 1, point e), de la directive. Ces types de zones géographiques ont généralement des besoins spécifiques en termes de services essentiels, et des capacités limitées pour faire face aux perturbations.
60. En outre, d’autres éléments peuvent être pertinents pour l’application de ce critère:
- a) l’impact direct ou indirect de l’incident dans une zone géographique, exprimé en superficie;
- b) l’impact direct ou indirect de l’incident sur la zone touchée: local, régional, national ou transfrontière;
- c) les caractéristiques de la zone géographique: terre, espace aérien, eau, zone urbaine, zone rurale, forêts.
IV.6. L’importance que revêt l’entité pour le maintien d’un niveau suffisant de service essentiel, compte tenu de la disponibilité de solutions de rechange
62. Ce critère est pertinent, entre autres, pour la fourniture de services fondamentaux pour la subsistance, tels que l’eau potable, les eaux usées, l’énergie, la santé, la production et la distribution de denrées alimentaires et les transports, y compris les services de gestion du trafic, étant donné que sans ces services, l’économie et la société s’effondreraient. Lorsqu’ils évaluent l’importance que revêt l’entité pour le maintien d’un niveau suffisant de service essentiel, les États membres doivent, conformément à l’article 7, paragraphe 1, point f), de la directive, tenir compte de la disponibilité de solutions de rechange pour la fourniture de ce service essentiel. Dans ce contexte, ils sont encouragés à examiner ces solutions de rechange en termes d’accessibilité, de délais de disponibilité, de qualité du service de rechange, et de coûts supplémentaires encourus. Si aucune solution de rechange viable n’est disponible pour les utilisateurs du service essentiel, l’impact de l’effet perturbateur est généralement plus important, quel que soit le nombre d’utilisateurs touchés par la perturbation. En outre, il convient d’envisager la nature du service essentiel sous l’angle de sa criticité, de ses caractéristiques et de sa finalité première.
(1) Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (JO L 333 du 27.12.2022, p. 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj).
(2) Il n’y a pas d’ordre obligatoire des étapes du recensement.
(3) «De plus, le marché intérieur est caractérisé par une fragmentation en ce qui concerne le recensement des entités critiques, les secteurs et les catégories d’entités concernés n’étant pas systématiquement reconnus comme critiques dans tous les États membres. La présente directive devrait donc instaurer un niveau élevé d’harmonisation en ce qui concerne les secteurs et les catégories d’entités relevant de son champ d’application.»
(4) «Afin de garantir que toutes les entités concernées sont soumises aux exigences en matière de résilience de la présente directive et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir suffisamment compte du rôle et de l’importance de ces entités à l’échelon national.».
(5) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/ dir/2022/2555/oj).
(6) Ces stratégies devraient être coordonnées avec les stratégies et plans d’adaptation au changement climatique nationaux au titre de l’article 5, paragraphe 4, du règlement (UE) 2021/1119 du Parlement européen et du Conseil du 30 juin 2021 établissant le cadre requis pour parvenir à la neutralité climatique et modifiant les règlements (CE) n°401/2009 et (UE) 2018/1999, et être cohérentes par rapport auxdites stratégies («loi européenne sur le climat») (JO L 243 du 9.7.2021, p. 1, ELI: http://data.europa.eu/eli/reg/2021/ 1119/oj).
(7) Comme déterminé conformément à l'article 7, paragraphe 1, de la directive.
(8) Article 1er, paragraphe 6, de la directive, qui dispose que la directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière.
(9) Voir également la communication conjointe au Parlement européen et au Conseil intitulée «Plan d’action de l’UE sur la sécurité des câbles» [JOIN (2025) 9 final].
(10) Règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels (JO L, 2023/2450, 30.10.2023, ELI: http://data.europa.eu/eli/ reg_del/2023/2450/oj). Cet acte délégué a été adopté en vertu de l’article 5, paragraphe 1, de la directive.
(11) Article 2, point 10), de la directive.
(12) Article 1er, paragraphes 6 et 7, de la directive.
(13) Voir l’article 3 de la directive, qui dispose qu’elle ne fait pas obstacle à l’adoption ou au maintien par les États membres de dispositions de droit national afin d’atteindre un niveau plus élevé de résilience des entités critiques, à condition que ces dispositions soient compatibles avec les obligations des États membres prévues par le droit de l’Union.
(14) Règlement (UE) 2020/852 du Parlement européen et du Conseil du 18 juin 2020 sur l’établissement d’un cadre visant à favoriser les investissements durables et modifiant le règlement (UE) 2019/2088 (JO L 198 du 22.6.2020, p. 13, ELI: http://data.europa.eu/eli/reg/ 2020/852/oj).
(15) Communication de la Commission — Communication de la Commission sur la définition du marché en cause aux fins du droit de la concurrence de l’Union (JO C, C/2024/1645, 22.2.2024, ELI: http://data.europa.eu/eli/C/2024/1645/oj), points 105 à 107.
(16) Démarche d'analyse du paysage concurrentiel d'un secteur fondée sur cinq facteurs: rivalité, nouveaux entrants, fournisseurs, clients, produits de substitution.
(17) Démarche permettant de caractériser les forces internes et externes qui peuvent créer des opportunités ou des risques pour une organisation. Elle tient compte des forces et des faiblesses de l’organisation, et des opportunités et menaces extérieures.
(18) L'analyse PESTLE examine les facteurs politiques, économiques, sociaux, technologiques, juridiques (legal) et environnementaux et évalue les impacts de ces facteurs externes sur la rentabilité d'une organisation.
(19) Technique de division du marché en segments selon les caractéristiques et les préférences des clients.
(20) Technique visant à comprendre et visualiser les caractéristiques et les préférences des clients.
(21) Technique d'évaluation et de visualisation de divers éléments essentiels d’une entreprise.
(22) Les capacités du système d’information géographique (SIG) peuvent être utilisées pour repérer les dangers et visualiser les impacts potentiels qui résulteraient de la survenance d’un incident. Elles sont également utiles pour concevoir des mesures d’atténuation et des capacités de résilience pour faire face à ces impacts potentiels.
ANNEXE
MODÈLE COMMUN FACULTATIF DE RAPPORT
I. CONSIDÉRATIONS GÉNÉRALES
L’article 5 de la directive dispose que les États membres procèdent à une évaluation des risques qui sera utilisée par eux aux fins de recenser les entités critiques au sens de la directive.
Conformément à l’article 5, paragraphe 4, de la directive, les États membres doivent fournir à la Commission des informations pertinentes sur les types de risques recensés à la suite de cette évaluation des risques d’État membre et les résultats de cette évaluation, par secteur et sous-secteur figurant à l’annexe de la directive.
L'article 5, paragraphe 5, de la directive prévoit que la Commission, en coopération avec les États membres, élabore un modèle commun facultatif de rapport aux fins du respect de l'article 5, paragraphe 4.
Bien que ce modèle commun de rapport soit de nature facultative, les États membres sont encouragés à l’utiliser lorsqu’ils fournissent les informations en vertu de l’article 5, paragraphe 4, de la directive. Le modèle commun de rapport est destiné à être utilisé pour établir un rapport distinct pour chaque secteur et, dans les secteurs qui comprennent des sous-secteurs, également par sous-secteur. Par exemple, dans le secteur de l’énergie qui compte cinq sous-secteurs, le modèle de rapport serait utilisé cinq fois.
Ce modèle est conçu pour constituer, de manière harmonisée, une vue d’ensemble des informations jugées pertinentes pour le rapport à la Commission, qu’elles soient classifiées ou non. Toutefois, si un État membre choisit d’utiliser ce modèle comme base pour partager des informations plus détaillées ou classifiées, ce partage d'informations devrait toujours se faire par les canaux de communication appropriés.
Ce modèle ne devrait pas être considéré comme un document d’orientation pour les évaluations des risques à effectuer par les États membres en vertu de l’article 5 de la directive, ni comme un substitut de ces évaluations.
II. CONSIDÉRATIONS POUR REMPLIR LE MODÈLE
Dans la première section, il convient que les États membres cochent les types de risques recensés qui pourraient affecter la fourniture de services essentiels pour le secteur et le sous-secteur faisant l’objet du rapport. Plusieurs types de risques peuvent être cochés, le cas échéant. Dans ce cas, les États membres envisagent de préciser le type de risque concerné.
Dans la deuxième section, il convient que les États membres cochent dans la liste les vulnérabilités et les incidences potentielles considérées comme pertinentes pour qualifier les résultats de l’évaluation des risques. Ensuite, dans leur compte rendu sur les résultats, les États membres donnent également une évaluation globale de l’impact d’une perturbation de la fourniture de services essentiels pour le secteur et sous-secteur faisant l’objet du rapport. Enfin, les États membres sont invités à détailler leur réponse concernant les résultats de l’évaluation des risques au moyen d’une contribution écrite.
Dans la troisième section, il convient que les États membres envisagent de partager davantage, dans une contribution écrite, leurs points de vue sur les types de risques recensés à la suite de l’évaluation des risques et les résultats de celle-ci, en ce qui concerne l’approche méthodologique, les meilleures pratiques ou les enseignements tirés du processus d’évaluation des risques. Dans ce contexte, l’évaluation des risques, comme définie à l’article 2, point 7), de la directive, est l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiellement pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident;
Dans la quatrième et dernière section, il convient que les États membres envisagent de donner des informations complémentaires ayant trait à l’obligation de communication d'informations qui leur incombe en vertu de l’article 5, paragraphe 4, de la directive, au moyen d’une contribution écrite supplémentaire.
|
PARAMÈTRES POUR LE RECENSEMENT |
|
|
État membre: |
|
|
Autorité compétente: |
|
|
Période de référence du rapport: |
|
|
Secteur: |
Sous-secteur: |
| ☐ Énergie | ☐ Électricité ☐ Réseaux de chaleur et de froid ☐ Pétrole ☐ Gaz ☐ Hydrogène |
| ☐ Transports | ☐ Transports aériens ☐ Transports ferroviaires ☐ Transports par eau ☐ Transports routiers ☐ Transports publics |
| ☐ Secteur bancaire |
|
| ☐ Infrastructures des marchés financiers |
|
| ☐ Santé |
|
| ☐ Eau potable |
|
| ☐ Eaux résiduaires |
|
| ☐ Infrastructures numériques |
|
| ☐ Administration publique |
|
| ☐ Espace |
|
| ☐ Production, transformation et distribution de denrées alimentaires |
|
|
_______________________ |
______________________________________________ |
| 1. TYPES DE RISQUES RECENSÉS | |
|
1.1. |
Risques naturels |
|
Contribution écrite... |
|
| (1) Par menaces hybrides, on entend des situations dans lesquelles des acteurs malveillants, étatiques ou non étatiques, s’efforcent d’exploiter les vulnérabilités de l’UE à leur profit en utilisant d’une manière coordonnée une combinaison de mesures (diplomatiques, militaires, économiques, technologiques) sans que le seuil d’une guerre déclarée officiellement ne soit dépassé. Par définition, cette catégorie fait généralement référence à plus d’un risque et devrait donc être sélectionnée en même temps que les autres risques, selon le cas. (2) Effets technologiques secondaires d’aléas naturels. |
|
| 2. RÉSULTAT DE L’ÉVALUATION DES RISQUES | |
|
2.1. |
Vulnérabilités |
|
Contribution écrite... |
|
|
2.2. |
Impact potentiel d’un incident perturbateur important |
|
Contribution écrite... |
|
|
2.3. |
Gravité de l’impact d’un incident perturbateur |
|
Contribution écrite... |
|
| 3. POINTS DE VUE SUPPLÉMENTAIRES SUR LES TYPES DE RISQUES RECENSÉS ET LES RÉSULTATS DE L’ÉVALUATION DES RISQUES | |
|
3.1. |
Approche méthodologique |
|
Contribution écrite... |
|
|
3.2. |
Meilleures pratiques |
|
Contribution écrite... |
|
|
3.3. |
Enseignements tirés |
|
Contribution écrite... |
|
| 4. INFORMATIONS COMPLÉMENTAIRES | |
|
4.1. |
Contribution écrite... |