Source: OJ L 333, 27.12.2022, pp. 164–198Current language: FR
- Resilience of critical entities
Basic legislative acts
- CER directive
Article 6 Recensement des entités critiques
Summary What does Article 6 of the CER directive say?
This is a central procedural article that establishes how Member States must identify critical entities within their territory.
It is the engine of the entire directive, as the identification process it sets out is what triggers the obligations placed on entities under the rest of the act.
Member States must apply a defined set of cumulative criteria — drawing on their risk assessments and national strategies — to determine which entities qualify as critical, compile a formal list, and notify those entities accordingly.
The article also establishes a link to the cybersecurity framework by requiring national competent authorities to share the list of identified critical entities with their counterparts under Directive (EU) 2022/2555.
The list is not static; Member States must review and update it at least every four years.
Important points:
- Member States are required to identify and formally notify critical entities by 17 July 2026, with Chapter III obligations applying to those entities 10 months after notification.
- Three cumulative criteria must all be met for an entity to be identified as critical: it provides an essential service, it operates on the territory of that Member State, and a disruption would have significant effects on essential service provision.
- Member States are required to review the list of critical entities at least every four years, and competent authorities must notify their counterparts under Directive (EU) 2022/2555 of all identified critical entities within one month of identification.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Au plus tard le 17 juillet 2026, chaque État membre recense les entités critiques pour les secteurs et sous-secteurs figurant à l’annexe.
Lorsqu’un État membre recense les entités critiques en vertu du paragraphe 1, il tient compte des résultats de son évaluation des risques d’État membre et de sa stratégie et applique tous les critères suivants:
l’entité fournit un ou plusieurs services essentiels;
l’entité exerce ses activités sur le territoire dudit État membre et son infrastructure critique est située sur ledit territoire; et
un incident aurait des effets perturbateurs importants, déterminés conformément à l’article 7, paragraphe 1, sur la fourniture par l’entité d’un ou de plusieurs services essentiels ou sur la fourniture d’autres services essentiels dans les secteurs figurant à l’annexe qui dépendent dudit ou desdits services essentiels.
Chaque État membre dresse une liste des entités critiques recensées en vertu du paragraphe 2 et veille à ce que ces entités critiques reçoivent notification de ce qu’elles ont été recensées en tant qu’entités critiques dans un délai d’un mois à compter de ce recensement. Les États membres informent ces entités critiques des obligations qui leur incombent en vertu des chapitres III et IV et de la date à partir de laquelle ces obligations leur sont applicables, sans préjudice de l’article 8. Les États membres informent les entités critiques des secteurs figurant aux points 3, 4 et 8 du tableau de l’annexe qu’elles ne sont soumises à aucune des obligations prévues aux chapitres III et IV, sauf mesures nationales contraires.
Le chapitre III s’applique aux entités critiques concernées dix mois suivant la date de la notification visée au premier alinéa du présent paragraphe.
Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive notifient aux autorités compétentes en vertu de la directive (UE) 2022/2555 l’identité des entités critiques qu’ils ont recensées en vertu du présent article dans un délai d’un mois à compter dudit recensement. Cette notification précise, le cas échéant, que les entités critiques concernées sont des entités des secteurs figurant aux points 3, 4 et 8 du tableau de l’annexe de la présente directive et qu’elles ne sont soumises à aucune des obligations prévues aux chapitres III et IV de la présente directive.
Si nécessaire et en tout état de cause au moins tous les quatre ans, les États membres réexaminent et, s’il y a lieu, mettent à jour la liste des entités critiques recensées visées au paragraphe 3. Lorsque ces mises à jour entraînent le recensement d’entités critiques supplémentaires, les paragraphes 3 et 4 s’appliquent à ces entités critiques supplémentaires. En outre, les États membres veillent à ce que les entités qui ne sont plus recensées en tant qu’entités critiques à la suite d’une telle mise à jour reçoivent notification en temps utile de ce fait et du fait qu’elles ne sont plus soumises aux obligations prévues au chapitre III à compter de la date de réception de cette notification.
La Commission élabore, en coopération avec les États membres, des recommandations et des lignes directrices non contraignantes pour soutenir les États membres dans leur recensement des entités critiques.
Relevant recitals
Considérant 8 Member States to identify critical entities
Afin d’atteindre un niveau élevé de résilience, les États membres devraient recenser les entités critiques qui seront soumises à des exigences et à une supervision spécifiques, et qui bénéficieront d’un soutien et de conseils particuliers face à tous les risques pertinents.
Considérant 16 Consistent identification of critical entities
Afin de garantir que toutes les entités concernées sont soumises aux exigences en matière de résilience de la présente directive et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir suffisamment compte du rôle et de l’importance de ces entités à l’échelon national. Lorsqu’il applique les critères établis dans la présente directive, chaque État membre devrait recenser les entités qui fournissent un ou plusieurs services essentiels et qui exploitent et possèdent des infrastructures critiques situées sur son territoire. Une entité devrait être considérée comme exerçant des activités sur le territoire de l’État membre dans lequel elle exerce les activités nécessaires pour le ou les services essentiels en question et dans lequel se trouve l’infrastructure critique de cette entité, qui est utilisée pour fournir ce ou ces services. Lorsqu’aucune entité ne remplit ces critères dans un État membre, cet État membre ne devrait pas être tenu de recenser des entités critiques dans le secteur ou sous-secteur correspondant. Dans un souci d’efficacité, d’efficience, de cohérence et de sécurité juridique, il convient d’établir des règles appropriées en ce qui concerne la notification des entités qui ont été recensées en tant qu’entités critiques.
Considérant 17 List of essential services
Les États membres devraient communiquer à la Commission, selon des modalités qui répondent aux objectifs de la présente directive, une liste des services essentiels, le nombre d’entités critiques recensées pour chacun des secteurs et sous-secteurs figurant en annexe et pour le ou les services essentiels fournis par chaque entité et, s’ils sont appliqués, les seuils. Il devrait être possible de présenter les seuils tels quels ou sous une forme agrégée, c’est-à-dire que les informations peuvent prendre la forme de moyennes par zone géographique, par année, par secteur, par sous-secteur, ou par tout autre critère, et peuvent comporter des données sur la portée des indicateurs fournis.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
évaluation des risques
(En. risk assessment)
Definition
résilience
(En. resilience)
Definition
entité critique
(En. critical entity)
Definition
incident
Definition
service essentiel
(En. essential service)
Definition
infrastructure critique
(En. critical infrastructure)
Definition
risque
(En. risk)