Communication de la Commission du 12 septembre 2025 : Lignes directrices et modèle de rapport élaborés par la Commission en application de l’article 5, paragraphe 5, de l’article 6, paragraphe 6, et de l’article 7, paragraphe 3, de la directive (UE) 2022/2557 sur la résilience des entités critiques

JOUE Série C du 12 septembre 2025

La directive 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques vise à faire en sorte que les services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales soient délivrés sans entrave dans le marché intérieur.
Elle durcit la résilience des entités critiques qui fournissent de tels services et crée un cadre général de résilience des entités critiques en ce qui concerne tous les risques (naturels ou d’origine humaine, accidentels ou intentionnels).
Pour accéder à un niveau élevé de résilience, les États membres ont des obligations au titre de la directive. Dans ce contexte, la Commission européenne est chargée d’élaborer des recommandations, des lignes directrices non contraignantes et un modèle commun facultatif de rapport pour les aider à remplir certaines de ces exigences.
Dans ce cadre, ce texte donne effet plus particulièrement :
– à l’article 5, paragraphe 5, de la directive concernant l’élaboration d’un modèle pour la transmission de certaines informations à la Commission. Il fournit, en annexe, un modèle commun facultatif de rapport que les États membres peuvent utiliser pour fournir à la Commission certaines informations relatives à l’évaluation des risques ;
– à l’article 6, paragraphe 6, de la directive concernant l’élaboration de recommandations et de lignes directrices pour soutenir les États membres dans leur recensement des entités critiques. Pour mettre en place une approche globale du recensement des entités critiques, les États membres sont invités à veiller à ce que leur stratégie prévoit un cadre d’action pour une coordination renforcée entre les autorités compétentes dans le contexte du partage d’informations sur les risques, menaces et incidents en matière de cybersécurité notamment. En particulier, trois éléments principaux doivent être pris en considération par les États membres dans le processus de recensement des entités critiques : les résultats de l’évaluation des risques, les résultats de la stratégie nationale et l’application cumulative de critères de recensement. En ce sens, cinq étapes doivent être suivies pour recenser les entités critiques :
– l’entité relève-t-elle de l’un des secteurs, sous-secteurs ou catégories d’entités énumérés à l’annexe de la directive ?
– l’entité fournit-elle un ou plusieurs services essentiels ?
– l’entité exerce-t-elle ses activités sur le territoire de l’État membre et son infrastructure critique est-elle située sur ce territoire ?
– un incident aurait-il des effets perturbateurs importants sur la fourniture par l’entité d’un ou de plusieurs services essentiels ou sur la fourniture d’autres services essentiels dans les secteurs figurant à l’annexe qui dépendent de ces services essentiels ?
– l’entité est-elle exclue du champ d’application de la directive ?
– à l’article 7, paragraphe 3, de la directive concernant l’adoption de lignes directrices pour faciliter l’application des critères permettant de déterminer l’importance d’un effet perturbateur, en tenant compte des informations que les États membres doivent communiquer.
Ces dispositions ne sont pas juridiquement contraignantes et n’ont pas d’incidence sur l’interprétation du droit de l’Union par la Cour de justice de l’Union européenne.