Source: OJ L 333, 27.12.2022, pp. 164–198

Article 4 Stratégie pour la résilience des entités critiques

Summary What does Article 4 of the CER directive say?

This article places a foundational obligation on Member States to develop and maintain a national strategy for enhancing the resilience of critical entities.

It is a planning and governance article that sits upstream of the more operational obligations in the Directive — the strategy produced here feeds directly into the risk assessment process under Article 5 and the identification of critical entities under Article 6.

The article is notably detailed in specifying what the strategy must contain, covering everything from governance frameworks and risk assessments to coordination with cybersecurity authorities and support measures for small and medium-sized enterprises identified as critical entities.

Important points:

Member States must adopt a national resilience strategy by 17 January 2026, following a stakeholder consultation, and update it at least every four years.
The strategy must include a policy framework for coordination between competent authorities under this Directive and those under Directive (EU) 2022/2555, covering both cyber and non-cyber risks, threats, and incidents.
Member States are required to communicate their strategies, and any substantial updates, to the Commission within three months of adoption.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. À la suite d’une consultation qui est, dans la mesure du possible en pratique, ouverte aux parties prenantes concernées, chaque État membre adopte, au plus tard le 17 janvier 2026, une stratégie visant à renforcer la résilience des entités critiques (ci-après dénommée «stratégie»). La stratégie définit des objectifs stratégiques et des mesures politiques, en s’appuyant sur des stratégies nationales et sectorielles, des plans ou des documents similaires pertinents existants, en vue d’atteindre et de maintenir un niveau élevé de résilience des entités critiques et de couvrir au moins les secteurs figurant à l’annexe.
1. Chaque stratégie contient au moins les éléments suivants:
  1. les objectifs stratégiques et les priorités aux fins de renforcer la résilience globale des entités critiques, compte tenu des dépendances et des interdépendances transfrontières et transsectorielles;
  2. un cadre de gouvernance permettant d’atteindre les objectifs stratégiques et les priorités, y compris une description des rôles et des responsabilités des différentes autorités, entités critiques et autres parties participant à la mise en œuvre de la stratégie;
  3. une description des mesures nécessaires pour renforcer la résilience globale des entités critiques, y compris une description de l’évaluation des risques visée à l’article 5;
  4. une description du processus par lequel les entités critiques sont recensées;
  5. une description du processus de soutien aux entités critiques conformément au présent chapitre, y compris les mesures visant à renforcer la coopération entre le secteur public, d’une part, et le secteur privé et les entités publiques et privées, d’autre part;
  6. une liste des principales autorités et parties prenantes concernées, autres que les entités critiques, participant à la mise en œuvre de la stratégie;
  7. un cadre d’action pour la coordination entre les autorités compétentes en vertu de la présente directive (ci-après dénommées «autorités compétentes») et les autorités compétentes en vertu de la directive (UE) 2022/2555 aux fins du partage d’informations sur les risques, menaces et incidents en matière de cybersécurité ainsi que sur les risques, menaces et incidents non liés à la cybersécurité, et de l’exercice des tâches de supervision;
  8. une description des mesures déjà en place visant à faciliter la mise en œuvre des obligations prévues au chapitre III de la présente directive par les petites et moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE de la Commission(³¹) que les États membres concernés ont recensées en tant qu’entités critiques.
2. À la suite d’une consultation qui est, dans la mesure du possible en pratique, ouverte aux parties prenantes concernées, les États membres mettent à jour leur stratégie au moins tous les quatre ans.
1. Les États membres communiquent leur stratégie et leurs mises à jour substantielles à la Commission dans un délai de trois mois à compter de leur adoption.

Relevant recitals

Considérant 13 Strategy for resilience of critical entities

Afin de garantir une approche globale de la résilience des entités critiques, chaque État membre devrait disposer d’une stratégie pour renforcer la résilience des entités critiques (ci-après dénommée «stratégie»). La stratégie devrait définir les objectifs stratégiques et les mesures politiques à mettre en œuvre. Dans un souci de cohérence et d’efficacité, la stratégie devrait être conçue de manière à intégrer harmonieusement les politiques existantes, en s’appuyant, chaque fois que cela est possible, sur des stratégies nationales et sectorielles, des plans ou des documents similaires existants pertinents. Afin de mettre en place une approche globale, les États membres devraient veiller à ce que leur stratégie prévoie un cadre d’action pour une coordination renforcée entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 dans le contexte du partage d’informations sur les risques, menaces et incidents en matière de cybersécurité et les risques, menaces et incidents non liés à la cybersécurité, et dans le contexte de l’exercice des tâches de supervision. Lorsqu’ils mettent en place leur stratégie, les États membres devraient tenir dûment compte de la nature hybride des menaces pesant sur les entités critiques.

Considérant 14 Communication of strategies to the European Commission

Les États membres devraient communiquer leur stratégie et les mises à jour substantielles de celle-ci à la Commission, notamment pour permettre à cette dernière d’évaluer la bonne application de la présente directive en ce qui concerne les approches stratégiques à l’égard de la résilience des entités critiques à l’échelon national. Les stratégies pourraient être communiquées en tant qu’informations classifiées. La Commission devrait établir un rapport de synthèse sur les stratégies communiquées par les États membres, qui servirait de base aux échanges visant à recenser les bonnes pratiques et les questions d’intérêt commun dans le cadre d’un groupe sur la résilience des entités critiques. Les informations agrégées figurant dans le rapport de synthèse, qu’elles soient classifiées ou non, étant par nature sensibles, la Commission devrait gérer le rapport de synthèse en étant dûment consciente de la question de la sécurité des entités critiques, des États membres et de l’Union. Le rapport de synthèse et les stratégies devraient être protégés contre les actes illicites ou malveillants et ne devraient être accessibles qu’aux personnes autorisées afin d’atteindre les objectifs de la présente directive. La communication des stratégies et de leurs mises à jour substantielles devrait également aider la Commission à comprendre l’évolution des approches à l’égard de la résilience des entités critiques et à alimenter le suivi de l’impact et de la valeur ajoutée de la présente directive, que la Commission doit réexaminer périodiquement.

Considérant 24 Relation to requirements and competent authorities under the NIS 2 directive

Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 devraient coopérer et échanger des informations sur les risques, menaces et incidents en matière de cybersécurité ainsi que sur les risques, menaces et incidents non liés à la cybersécurité affectant les entités critiques, et sur les mesures pertinentes prises par les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 Il importe que les États membres veillent à ce que les exigences prévues par la présente directive et la directive (UE) 2022/2555 soient mises en œuvre de manière complémentaire et à ce que les entités critiques ne soient pas soumises à une charge administrative supérieure à ce qui est nécessaire pour atteindre les objectifs de la présente directive et de ladite directive.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.