Source: OJ L 333, 27.12.2022, pp. 164–198

Article 5 Évaluation des risques par les États membres

Summary What does Article 5 of the CER directive say?

This article establishes the framework for Member State risk assessments, which are a critical upstream step that feeds directly into the identification of critical entities under Article 6 and the resilience measures required under Article 13.

The Commission is tasked with producing a non-exhaustive list of essential services to guide these assessments, and Member States must then conduct their own risk assessments on that basis, covering a broad spectrum of threats ranging from natural disasters and public health emergencies to hybrid and terrorist threats.

The article also sets out what inputs Member States must draw upon when conducting their assessments, including existing sector-specific risk assessments under other Union legal acts, and requires Member States to share relevant outcomes both with identified critical entities and with the Commission.

Important points:

Competent authorities are required to conduct Member State risk assessments by 17 January 2026, and at least every four years thereafter, using the Commission's list of essential services as a basis.
Member States must share relevant elements of their risk assessments with identified critical entities to assist them in conducting their own risk assessments and taking resilience measures.
Member States are required to provide the Commission with information on the types of risks identified and the outcomes of each risk assessment, broken down by sector and subsector, within three months of completing the assessment.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. La Commission est habilitée à adopter un acte délégué, conformément à l’article 23, au plus tard le 17 novembre 2023, afin de compléter la présente directive en établissant une liste non exhaustive de services essentiels dans les secteurs et les sous-secteurs figurant à l’annexe. Les autorités compétentes utilisent ladite liste des services essentiels pour effectuer une évaluation des risques (ci-après dénommée «évaluation des risques d’État membre») au plus tard le 17 janvier 2026, puis selon les besoins, et au moins tous les quatre ans. Les autorités compétentes utilisent les évaluations des risques d’États membres aux fins de recenser les entités critiques conformément à l’article 6 et pour aider les entités critiques à adopter des mesures en vertu de l’article 13.
2. Les évaluations des risques d’États membres rendent compte des risques naturels et d’origine humaine pertinents, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides ou autres menaces antagonistes, lesquelles comprennent les infractions terroristes prévues par la directive (UE) 2017/541 du Parlement européen et du Conseil(³²).
1. Lorsqu’ils procèdent à des évaluations des risques d’États membres, les États membres tiennent compte au moins des éléments suivants:
  1. l’évaluation des risques générale effectuée en vertu de l’article 6, paragraphe 1, de la décision n^o 1313/2013/UE;
  2. d’autres évaluations des risques pertinentes effectuées conformément aux exigences des actes juridiques sectoriels pertinents de l’Union, y compris les règlements (UE) 2017/1938(³³) et (UE) 2019/941(³⁴) du Parlement européen et du Conseil, ainsi que les directives 2007/60/CE(³⁵) et 2012/18/UE(³⁶) du Parlement européen et du Conseil;
  3. les risques pertinents découlant de la mesure dans laquelle les secteurs figurant à l’annexe dépendent les uns des autres, y compris de la mesure dans laquelle ils dépendent d’entités situées dans d’autres États membres et des pays tiers, et l’incidence qu’une perturbation importante dans un secteur peut avoir sur d’autres secteurs, y compris tout risque importante pour les citoyens et le marché intérieur;
  4. toute information sur les incidents notifiés conformément à l’article 15.
2. Aux fins du premier alinéa, point c), les États membres coopèrent avec les autorités compétentes d’autres États membres et les autorités compétentes de pays tiers, s’il y a lieu.
1. Les États membres mettent à la disposition des entités critiques qu’ils ont recensées conformément à l’article 6, s’il y a lieu par l’intermédiaire de leur point de contact unique, les éléments pertinents des évaluations des risques d’États membres. Les États membres veillent à ce que les informations fournies aux entités critiques aident ces dernières à réaliser leurs évaluations des risques en vertu de l’article 12, et à adopter des mesures pour garantir leur résilience en vertu de l’article 13.
1. Dans un délai de trois mois à compter de la réalisation d’une évaluation des risques d’État membre, l’État membre fournit à la Commission des informations pertinentes sur les types de risques recensés suivant cette évaluation des risques d’État membre et les résultats de l’évaluation des risques d’État membre, par secteur et sous-secteur figurant à l’annexe.
1. La Commission, en coopération avec les États membres, élabore un modèle commun facultatif de rapport aux fins du respect du paragraphe 4.

Relevant recitals

Considérant 15 Member State risk assessments

Les mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient suivre une approche fondée sur les risques qui se concentre sur les entités les plus importantes pour l’exercice de fonctions sociétales ou d’activités économiques vitales. Afin de garantir une telle approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation des risques naturels et d’origine humaine pertinents, y compris les risques de nature transsectorielle ou transfrontière, pouvant affecter la fourniture de services essentiels, y compris les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies et les menaces hybrides ou autres menaces antagonistes, lesquelles comprennent les infractions terroristes, l’infiltration par les réseaux criminels et le sabotage (ci-après dénommée «évaluation des risques d’État membre»). Lorsqu’ils procèdent à une telle évaluation, les États membres devraient tenir compte d’autres évaluations des risques générales ou sectorielles effectuées en vertu d’autres actes juridiques de l’Union et examiner la mesure dans laquelle les secteurs dépendent les uns des autres, y compris de secteurs d’autres États membres et de pays tiers. Les résultats de l’évaluation des risques d’État membre devraient être utilisés aux fins de recenser les entités critiques et d’aider ces entités à satisfaire aux exigences auxquelles elles sont soumises en matière de résilience. La présente directive ne s’applique qu’aux États membres et aux entités critiques qui exercent leurs activités au sein de l’Union. Néanmoins, l’expertise et les connaissances générées par les autorités compétentes, notamment au moyen d’évaluations des risques, et par la Commission, notamment au moyen de diverses formes de soutien et de coopération, pourraient être utilisées, le cas échéant et conformément aux instruments juridiques applicables, dans l’intérêt des pays tiers, notamment ceux qui se trouvent dans le voisinage direct de l’Union, en alimentant la coopération existante en matière de résilience.

Considérant 17 List of essential services

Les États membres devraient communiquer à la Commission, selon des modalités qui répondent aux objectifs de la présente directive, une liste des services essentiels, le nombre d’entités critiques recensées pour chacun des secteurs et sous-secteurs figurant en annexe et pour le ou les services essentiels fournis par chaque entité et, s’ils sont appliqués, les seuils. Il devrait être possible de présenter les seuils tels quels ou sous une forme agrégée, c’est-à-dire que les informations peuvent prendre la forme de moyennes par zone géographique, par année, par secteur, par sous-secteur, ou par tout autre critère, et peuvent comporter des données sur la portée des indicateurs fournis.

Considérant 19 Foreign ownership of critical infrastructure

Conformément au droit de l’Union et au droit national applicables, y compris le règlement (UE) 2019/452 du Parlement européen et du Conseil(⁷), qui établit un cadre pour le filtrage des investissements directs étrangers dans l’Union, il convient de reconnaître la menace potentielle que représente la participation étrangère dans des infrastructures critiques au sein de l’Union, parce que les services, l’économie, la liberté de circulation et la sécurité des citoyens de l’Union dépendent du bon fonctionnement des infrastructures critiques.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.