Source: OJ L 333, 27.12.2022, pp. 164–198

Article premier Objet et champ d’application

Summary What does Article 1 of the CER directive say?

This is the foundational article of the Directive, establishing its core purpose and scope.

At its heart, the Directive aims to ensure that essential services underpinning vital societal functions and economic activities are provided without disruption across the internal market.

It achieves this by placing obligations on Member States to identify and support critical entities, and on those critical entities themselves to enhance their resilience.

The article also sets out a significant number of carve-outs and boundaries, making clear where the Directive does and does not apply — notably excluding matters already covered by the NIS2 Directive (EU) 2022/2555, while requiring the two frameworks to be implemented in a coordinated manner given the overlap between physical security and cybersecurity.

Important points:

Member States are required to identify critical entities, support them in meeting their obligations, and ensure coordinated implementation alongside Directive (EU) 2022/2555.
The Directive does not apply to public administration entities operating in areas of national security, public security, defence, or law enforcement, and Member States may extend similar exclusions to specific critical entities in those areas.
Where sector-specific Union legal acts impose equivalent resilience requirements on critical entities, the corresponding provisions of this Directive, including supervision and enforcement, shall not apply.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. La présente directive:
  1. impose aux États membres l’obligation d’adopter des mesures spécifiques visant à garantir que les services qui sont essentiels au maintien de fonctions sociétales ou d’activités économiques vitales, dans le champ d’application de l’article 114 du traité sur le fonctionnement de l’Union européenne, soient fournis sans entrave dans le marché intérieur, en particulier l’obligation de recenser les entités critiques et l’obligation d’ aider les entités critiques à s’acquitter des obligations qui leur incombent;
  2. impose aux entités critiques des obligations visant à renforcer leur résilience et leur capacité à fournir les services visés au point a) dans le marché intérieur;
  3. établit des règles relatives:
    à la supervision des entités critiques;
    à l’exécution des règles;
    au recensement des entités critiques d’importance européenne particulière, ainsi qu’aux missions de conseil pour évaluer les mesures que ces entités ont mises en place pour satisfaire aux obligations qui leur incombent en vertu du chapitre III;
  4. établit des procédures communes en matière de coopération et d’établissement de rapports sur l’application de la présente directive;
  5. prévoit des mesures visant à atteindre un niveau élevé de résilience des entités critiques afin de garantir la fourniture de services essentiels dans l’Union et d’améliorer le fonctionnement du marché intérieur.
1. La présente directive ne s’applique pas aux questions couvertes par la directive (UE) 2022/2555, sans préjudice de l’article 8 de la présente directive. La sécurité physique et la cybersécurité des entités critiques étant liées, les États membres veillent à ce que la présente directive et la directive (UE) 2022/2555 soient mises en œuvre de manière coordonnée.
1. Lorsque des dispositions d’actes juridiques sectoriels de l’Union exigent des entités critiques qu’elles adoptent des mesures pour renforcer leur résilience, et lorsque ces exigences sont reconnues par les États membres comme étant au moins équivalentes aux obligations correspondantes prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris les dispositions relatives à la supervision et à l’exécution prévues au chapitre VI, ne s’appliquent pas.
1. Sans préjudice de l’article 346 du traité sur le fonctionnement de l’Union européenne, les informations qui sont confidentielles en application de règles de l’Union ou de règles nationales, telles que les règles relatives au secret des affaires, ne peuvent faire l’objet d’un échange avec la Commission et d’autres autorités concernées conformément à la présente directive que si cet échange est nécessaire à l’application de la présente directive. Les informations échangées se limitent à ce qui est nécessaire et proportionné à l’objectif de cet échange. L’échange d’informations préserve la confidentialité desdites informations ainsi que la sécurité et les intérêts commerciaux des entités critiques, tout en respectant la sécurité des États membres.
1. La présente directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de la défense et de leur pouvoir de garantir d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer l’intégrité territoriale de l’État et le maintien de l’ordre public.
1. La présente directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière.
1. Les États membres peuvent décider que l’article 11 et les chapitres III, IV et VI, en tout ou en partie, ne s’appliquent pas à certaines entités critiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière, ou qui fournissent des services exclusivement aux entités de l’administration publique visées au paragraphe 6 du présent article.
1. Les obligations prévues dans la présente directive n’impliquent pas la fourniture d’informations dont la divulgation serait contraire aux intérêts essentiels des États membres en matière de sécurité nationale, de sécurité publique ou de défense.
1. La présente directive est sans préjudice du droit de l’Union relatif à la protection des données à caractère personnel, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil(²⁸) et la directive 2002/58/CE du Parlement européen et du Conseil(²⁹).

Relevant recitals

Considérant 2 Shift to horisontal rules on resilience

La directive 2008/114/CE(⁴) du Conseil établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l’énergie et des transports dont la perturbation ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l’évaluation de la directive 2008/114/CE réalisée en 2019 a montré qu’en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. Par conséquent, il est nécessaire de réorienter l’approche en vue de faire en sorte que les risques soient mieux pris en compte, que le rôle et les obligations des entités critiques, en tant que fournisseurs de services essentiels au fonctionnement du marché intérieur, soient mieux définis et cohérents, et que des règles de l’Union soient adoptées afin de renforcer la résilience des entités critiques. Les entités critiques devraient être en mesure de renforcer leur capacité à prévenir les incidents susceptibles de perturber la fourniture de services essentiels, à s’en protéger, à y réagir, à y résister, à les atténuer, à les absorber, à s’y adapter et à s’en remettre.

Considérant 3 Enhanced and harmonised rules

Si un certain nombre de mesures prises au niveau de l’Union, telles que le programme européen de protection des infrastructures critiques, et au niveau national visent à soutenir la protection des infrastructures critiques dans l’Union, il convient d’en faire davantage pour que les entités qui exploitent ces infrastructures soient mieux équipées pour faire face aux risques pesant sur leurs activités qui pourraient entraîner une perturbation de la fourniture de services essentiels. Il convient aussi d’en faire davantage pour mieux équiper ces entités, car les menaces forment un paysage dynamique, qui comprend des menaces hybrides et terroristes en évolution, et des interdépendances croissantes entre les infrastructures et les secteurs. En outre, il existe un risque physique accru lié aux catastrophes naturelles et au changement climatique, qui augmente la fréquence et l’ampleur des phénomènes météorologiques extrêmes et entraîne des changements à long terme des conditions climatiques moyennes, susceptibles de réduire la capacité, l’efficacité et la durée de vie de certains types d’infrastructures si des mesures d’adaptation au changement climatique ne sont pas mises en place. De plus, le marché intérieur est caractérisé par une fragmentation en ce qui concerne le recensement des entités critiques, les secteurs et les catégories d’entités concernés n’étant pas systématiquement reconnus comme critiques dans tous les États membres. La présente directive devrait donc instaurer un niveau élevé d’harmonisation en ce qui concerne les secteurs et les catégories d’entités relevant de son champ d’application.

Considérant 4 All-hazards approach

Si certains secteurs de l’économie, tels que les secteurs de l’énergie et des transports, sont déjà réglementés par des actes juridiques sectoriels de l’Union, ces actes juridiques contiennent des dispositions qui portent uniquement sur certains aspects de la résilience des entités actives dans ces secteurs. Afin de traiter de manière globale la résilience des entités qui sont critiques pour le bon fonctionnement du marché intérieur, la présente directive crée un cadre général applicable à la résilience des entités critiques en ce qui concerne tous les risques, qu’ils soient naturels ou d’origine humaine, accidentels ou intentionnels.

Considérant 5 Scope of critical infrastructure

Les interdépendances croissantes entre les infrastructures et les secteurs sont le résultat d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures clés dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, de l’eau potable, des eaux usées, de la production, de la transformation et de la distribution de denrées alimentaires, de la santé, de l’espace, des infrastructures du marché financier et des infrastructures numériques, et de certains aspects du secteur de l’administration publique. Le secteur spatial relève du champ d’application de la présente directive pour ce qui est de la fourniture de certains services qui dépendent d’infrastructures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées; par conséquent, les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de son programme spatial ne relèvent pas du champ d’application de la présente directive.

En ce qui concerne le secteur de l’énergie, et plus particulièrement les procédés de production et de transport de l’électricité (en ce qui concerne la fourniture d’électricité), il est entendu que, lorsque cela est jugé approprié, la production d’électricité peut englober les éléments des centrales nucléaires servant au transport de l’électricité, tout en excluant les éléments strictement nucléaires, qui relèvent du droit de l’Union, y compris les actes juridiques pertinents de l’Union concernant l’énergie nucléaire, et des traités. Le processus de recensement des entités critiques dans le secteur alimentaire devrait refléter de manière adéquate la nature du marché intérieur dans ce secteur et les règles étendues de l’Union relatives aux principes généraux et aux prescriptions générales de la législation alimentaire et à ceux en matière de sécurité des denrées alimentaires. Par conséquent, afin de garantir une approche proportionnée et de tenir dûment compte du rôle et de l’importance de ces entités au niveau national, il convient de ne recenser parmi les entreprises du secteur alimentaire que les entités critiques, qu’elles soient à but lucratif ou non et qu’elles soient publiques ou privées, qui se consacrent exclusivement à la logistique, à la distribution en gros, ainsi qu’à la production et à la transformation industrielles à grande échelle et détenant une part de marché importante, comme observé au niveau national. Ces interdépendances signifient que toute perturbation de services essentiels, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement une incidence négative à long terme et de grande ampleur sur la fourniture de services dans l’ensemble du marché intérieur. Les crises majeures, telles que la pandémie de COVID-19, ont mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques à faible probabilité de survenance, mais à fort impact.

Considérant 6 Level playing field in the EU

Les entités participant à la fourniture de services essentiels sont de plus en plus soumises à des exigences divergentes imposées par le droit national. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités non seulement entraîne des niveaux de résilience différents mais risque également d’avoir une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, et entrave le bon fonctionnement du marché intérieur. Les investisseurs et les entreprises peuvent se fier et faire confiance aux entités critiques qui sont résilientes, et la fiabilité et la confiance constituent la clé de voûte d’un marché intérieur performant. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont recensés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte une charge administrative supplémentaire et inutile pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. Un cadre de l’Union aurait donc également pour effet de créer des conditions équitables pour les entités critiques dans toute l’Union.

Considérant 7 Comprehensive and future-proof minimum rules

Il est nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture de services essentiels dans le marché intérieur, de renforcer la résilience des entités critiques et d’améliorer la coopération transfrontière entre les autorités compétentes. Il importe que ces règles soient à l’épreuve du temps en ce qui concerne leur conception et leur mise en œuvre, tout en offrant la souplesse nécessaire. Il est également crucial d’améliorer la capacité des entités critiques à fournir des services essentiels face à un ensemble diversifié de risques.

Considérant 8 Member States to identify critical entities

Afin d’atteindre un niveau élevé de résilience, les États membres devraient recenser les entités critiques qui seront soumises à des exigences et à une supervision spécifiques, et qui bénéficieront d’un soutien et de conseils particuliers face à tous les risques pertinents.

Considérant 9 Relation to the NIS 2 directive

Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques et dans un souci d’uniformité, il convient de veiller à une approche cohérente, chaque fois que cela est possible, entre la présente directive et la directive (UE) 2022/2555 du Parlement européen et du Conseil(⁵). Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques en matière de cybersécurité, la directive (UE) 2022/2555 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est suffisamment traitée dans la directive (UE)2022/2555, les questions qu’elle couvre devraient être exclues du champ d’application de ladite directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques.

Considérant 10 Relation to overlapping sector-specific EU acts

Lorsque des dispositions d’actes juridiques sectoriels de l’Union exigent des entités critiques qu’elles prennent des mesures pour renforcer leur résilience et lorsque ces exigences sont reconnues par les États membres comme étant au moins équivalentes aux obligations correspondantes prévues par la présente directive, les dispositions pertinentes de la présente directive ne devraient pas s’appliquer, de manière à éviter tout double emploi et une charge inutile. Dans un tel cas, les dispositions pertinentes de ces actes juridiques de l’Union devraient s’appliquer. Lorsque les dispositions pertinentes de la présente directive ne s’appliquent pas, les dispositions relatives à la supervision et à l’exécution des règles prévues par la présente directive ne devraient pas non plus s’appliquer.

Considérant 11 Applicability for Member States' authorities

La présente directive n’affecte pas la compétence des États membres et de leurs autorités pour ce qui est de l’autonomie administrative ou la responsabilité qui leur incombe en matière de sauvegarde de la sécurité nationale et de la défense ou leur pouvoir de garantir d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer la sécurité publique, l’intégrité territoriale et le maintien de l’ordre public. L’exclusion des entités de l’administration publique du champ d’application de la présente directive devrait s’appliquer aux entités qui exercent leurs activités principalement dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière. Toutefois, les entités de l’administration publique dont les activités ne sont que marginalement liées à ces domaines devraient relever du champ d’application de la présente directive. Aux fins de la présente directive, les entités disposant de compétences réglementaires ne sont pas considérées comme exerçant des activités dans le domaine de l’application de la loi et elles ne sont, par conséquent, pas exclues du champ d’application de la présente directive pour ce motif. Les entités de l’administration publique qui sont établies conjointement avec un pays tiers conformément à un accord international sont exclues du champ d’application de la présente directive. La présente directive ne s’applique pas aux missions diplomatiques et consulaires des États membres dans les pays tiers.

Certaines entités critiques exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière, ou fournissent des services exclusivement à des entités de l’administration publique qui exercent des activités principalement dans ces domaines. Compte tenu de la responsabilité qui incombe aux États membres en matière de sauvegarde de la sécurité nationale et de la défense, les États membres devraient pouvoir décider que les obligations incombant aux entités critiques prévues dans la présente directive ne s’appliquent pas, en tout ou en partie, auxdites entités critiques si les services qu’elles fournissent ou les activités qu’elles exercent sont principalement liés aux domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière. Les entités critiques dont les services ou les activités ne sont que marginalement liés à ces domaines devraient relever du champ d’application de la présente directive. Aucun État membre ne devrait être tenu de fournir des informations dont la divulgation serait contraire aux intérêts essentiels de sa sécurité nationale. Les règles de l’Union ou les règles nationales visant à protéger les informations classifiées et les accords de non-divulgation sont pertinents à cet égard.

Considérant 21 Exemptions for financial entities under the DORA regulation

Le droit de l’Union relatif aux services financiers impose aux entités financières des exigences étendues visant à ce que tous les risques auxquels elles sont confrontées soient gérés, y compris les risques opérationnels, et à garantir la continuité des activités. Ce droit comprend les règlements (UE) n^o 648/2012(⁸), (UE) n^o 575/2013(⁹) et (UE) n^o 600/2014(¹⁰) du Parlement européen et du Conseil et les directive 2013/36/UE(¹¹) et 2014/65/UE(¹²) du Parlement européen et du Conseil. Ce cadre juridique est complété par le règlement (UE) 2022/2554 du Parlement européen et du Conseil(¹³), qui fixe des exigences applicables aux entités financières en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC), y compris en matière de protection des infrastructures physiques des TIC. Étant donné que la résilience de ces entités est dès lors entièrement couverte, l’article 11 et les chapitres III, IV et VI de la présente directive ne devraient pas s’appliquer à ces entités, afin d’éviter des doubles emplois et des charges administratives inutiles.

Toutefois, compte tenu de l’importance des services fournis par les entités du secteur financier à des entités critiques appartenant à tous les autres secteurs, les États membres devraient recenser, sur la base des critères et selon la procédure prévus dans la présente directive, les entités du secteur financier en tant qu’entités critiques. Par conséquent, les stratégies, les évaluations des risques d’États membres et les mesures de soutien énoncées au chapitre II de la présente directive devraient s’appliquer. Les États membres devraient pouvoir adopter ou maintenir des dispositions de droit national afin d’atteindre un niveau de résilience plus élevé pour ces entités critiques, à condition que ces dispositions soient compatibles avec le droit de l’Union applicable.

Considérant 31 Requirements regarding aviation, maritime and railway transport

Les règlements (CE) n^o 725/2004(¹⁴) et (CE) n^o 300/2008(¹⁵) du Parlement européen et du Conseil et la directive 2005/65/CE du Parlement européen et du Conseil(¹⁶) définissent des exigences applicables aux entités des secteurs de l’aviation et du transport maritime afin de prévenir les incidents causés par des actes illicites, d’y résister et d’en atténuer les conséquences. Bien que les mesures requises par la présente directive soient plus larges en ce qui concerne les risques pris en compte et les types de mesures devant être prises, les entités critiques de ces secteurs devraient prendre en considération dans leur plan de résilience ou dans des documents équivalents les mesures prises en application de ces autres actes juridiques de l’Union. Les entités critiques doivent également prendre en considération la directive 2008/96/CE du Parlement européen et du Conseil(¹⁷), qui instaure une évaluation de l’ensemble du réseau routier pour cartographier les risques d’accidents et une inspection de sécurité routière ciblée, afin de déterminer les conditions dangereuses, les défauts et les problèmes qui augmentent le risque d’accidents et de blessures, sur la base de visites sur place de routes existantes ou de tronçons de route existants. Veiller à la protection et à la résilience des entités critiques est de la plus haute importance pour le secteur ferroviaire et, lorsqu’elles mettent en œuvre des mesures de résilience au titre de la présente directive, les entités critiques sont encouragées à se référer aux lignes directrices non contraignantes et aux documents de bonnes pratiques élaborés dans le cadre de groupes de travail sectoriels, tels que la plateforme de l’Union européenne en matière de sûreté des voyageurs ferroviaires créée par la décision 2018/C 232/03 de la Commission(¹⁸).

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.