Source: OJ L 333, 27.12.2022, pp. 164–198Current language: FR
- Resilience of critical entities
Basic legislative acts
- CER directive
Article 12 Évaluation des risques par les entités critiques
Summary What does Article 12 of the CER directive say?
This article establishes the obligation for critical entities to conduct their own risk assessments, building directly on the identification process set out in Article 6.
Once notified of their status as a critical entity, organisations must assess all risks that could disrupt their essential services, drawing on the broader Member State risk assessments as a foundation.
The scope of these assessments is wide, covering everything from natural disasters and public health emergencies to hybrid and terrorist threats, and must also capture cross-sector and cross-border dependencies.
Notably, the article includes a practical flexibility: where a critical entity has already completed risk assessments under other legal obligations, those existing documents may be used to satisfy the requirements here, and competent authorities can formally recognise them as compliant.
Important points:
- Carry out a risk assessment within nine months of being notified of your critical entity status, and repeat it at least every four years.
- The assessment must cover the full spectrum of natural and man-made risks, including cross-sectoral and cross-border dependencies on, and from, other essential service providers.
- Existing risk assessments completed under other legal obligations may be used to meet these requirements, subject to the competent authority declaring them compliant.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Nonobstant le délai énoncé à l’article 6, paragraphe 3, deuxième alinéa, les États membres veillent à ce que les entités critiques procèdent à une évaluation des risques dans un délai de neuf mois suivant la réception de la notification visée à l’article 6, paragraphe 3, selon les besoins par la suite et au moins tous les quatre ans, sur la base des évaluations des risques d’États membres et d’autres sources d’informations pertinentes, afin d’évaluer tous les risques pertinents qui pourraient perturber la fourniture de leur services essentiels (ci-après dénommée «évaluation des risques d’entité critique»).
Les évaluations des risques d’entités critiques rendent compte de tous les risques naturels et d’origine humaine pertinents, susceptibles d’entraîner un incident, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides et autres menaces antagonistes, lesquelles comprennent les infractions terroristes prévues par la directive (UE) 2017/541. Une évaluation des risques d’entité critique tient compte de la mesure dans laquelle d’autres secteurs figurant à l’annexe dépendent du service essentiel fourni par l’entité critique et de la mesure dans laquelle cette entité critique dépend des services essentiels fournis par d’autres entités de ces autres secteurs, y compris s’il y a lieu, dans les États membres voisins et les pays tiers.
Lorsqu’une entité critique a réalisé d’autres évaluations des risques ou établi des documents en vertu d’obligations prévues dans d’autres actes juridiques qui sont pertinents pour son évaluation des risques d’entité critique, elle peut utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans le présent article. Dans l’exercice de ses fonctions de supervision, l’autorité compétente peut déclarer qu’une évaluation des risques existante réalisée par une entité critique qui porte sur les risques et le degré de dépendance visés au premier alinéa du présent paragraphe respecte, en tout ou en partie, les obligations prévues par le présent article.
Relevant recitals
Considérant 20 All-hazards approach of the NIS 2 directive
La directive (UE) 2022/2555 impose aux entités appartenant au secteur des infrastructures numériques qui pourraient être recensées en tant qu’entités critiques en vertu de la présente directive de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information et de signaler les cybermenaces et les incidents importants. Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information peuvent avoir des origines différentes, la directive (UE) 2022/2555 applique une approche tous risques qui inclut la résilience des réseaux et des systèmes d’information ainsi que des composants et environnements physiques de ces systèmes.
Les exigences établies par la directive (UE) 2022/2555 à cet égard étant au moins équivalentes aux obligations correspondantes établies par la présente directive, les obligations établies à l’article 11 et aux chapitres III, IV et VI de la présente directive ne devraient pas s’appliquer aux entités appartenant au secteur des infrastructures numériques de manière à éviter tout double emploi et des charges administratives inutiles. Toutefois, compte tenu de l’importance des services fournis par les entités appartenant au secteur des infrastructures numériques à des entités critiques appartenant à tous les autres secteurs, les États membres devraient recenser, sur la base des critères et selon la procédure prévus dans la présente directive, les entités appartenant au secteur des infrastructures numériques en tant qu’entités critiques. Par conséquent, les stratégies, les évaluations des risques d’États membres et les mesures de soutien énoncées au chapitre II de la présente directive devraient s’appliquer. Les États membres devraient pouvoir adopter ou maintenir des dispositions de droit national afin d’atteindre un niveau de résilience plus élevé pour ces entités critiques, à condition que ces dispositions soient compatibles avec le droit de l’Union applicable.
Considérant 28 Use of existing risk assessments
Les entités critiques devraient avoir une connaissance approfondie des risques pertinents auxquels elles sont exposées et être tenues de les analyser. À cette fin, elles devraient procéder à des évaluations des risques chaque fois que cela s’avère nécessaire compte tenu de leurs circonstances particulières et de l’évolution de ces risques et, en tout cas, tous les quatre ans, afin d’évaluer tous les risques pertinents qui pourraient perturber la fourniture de leurs services essentiels (ci-après dénommée «évaluation des risques d’entité critique»). Lorsque les entités critiques ont procédé à d’autres évaluations des risques ou établi des documents en vertu d’obligations prévues par d’autres actes juridiques qui sont pertinents pour leur évaluation des risques d’entité critique, elles devraient pouvoir utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans la présente directive en ce qui concerne les évaluations des risques d’entités critiques. Une autorité compétente devrait pouvoir déclarer qu’une évaluation des risques existante réalisée par une entité critique qui porte sur les risques pertinents et le degré pertinent de dépendance respecte, en tout ou en partie, les obligations prévues par la présente directive.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
évaluation des risques
(En. risk assessment)
Definition
résilience
(En. resilience)
Definition
entité critique
(En. critical entity)
Definition
incident
Definition
service essentiel
(En. essential service)
Definition
risque
(En. risk)