L’eau potable et l’assainissement font partie des secteurs couverts par cette directive. L’État pourra fixer des seuils pour éviter aux petits services d’être classés parmi les entités critiques. Ce classement oblige à respecter des procédures de sécurité et à prendre des mesures pour garantir la résilience du service en cas d’incident grave de toute nature.
Quinze ans après sa publication, la directive 2008/114/CE du 8 décembre 2008, qui portait sur les infrastructures critiques européennes, est remplacée par le présent texte qui vise beaucoup plus largement les « entités critiques ». Un texte de 35 pages, portant sur onze secteurs dont l’eau potable et les eaux résiduaires, en absorbe ainsi un précédent de 8 pages, qui ne concernait que l’énergie et les transports.
En réalité, les États membres avaient déjà largement débordé du cadre de la directive de 2008, en désignant comme critiques des activités et des infrastructures qui ne figuraient pas dans ce texte. En France, ce sont les opérateurs d’importance vitale, parmi lesquels les exploitants des principaux services d’eau potable et d’assainissement. Mais ces décisions variaient d’un État à l’autre, tant dans la liste des secteurs concernés que dans les mesures de sécurité à respecter. Le présent texte vise à uniformiser cette liste et à harmoniser les mesures à édicter, en laissant toutefois une certaine latitude aux autorités.
La présente directive oblige donc les États membres à adopter des mesures spécifiques visant à garantir la fourniture sans entrave des services qui sont essentiels au fonctionnement de la société ou des activités économiques vitales. Ils doivent recenser les entités critiques et les aider à s’acquitter des obligations qui leur incombent en matière de résilience et de capacité à fournir les services essentiels.
Trois ans pour adopter une stratégie de résilience
Le présent texte ne remplace pas les mesures déjà imposées par d’autres textes européens, lorsque les États membres considèrent qu’elles sont au moins aussi exigeantes. Il ne fait pas obstacle à l’adoption ou au maintien de dispositions de droit national visant à atteindre un niveau plus élevé de résilience des entités critiques, à condition qu’elles soient compatibles avec les obligations des États membres.
À la suite d’une consultation ouverte autant que possible aux parties prenantes concernées, chaque État membre adopte, au plus tard le 17 janvier 2026, une stratégie visant à renforcer la résilience des entités critiques. Cette stratégie définit des objectifs stratégiques et des mesures politiques en vue d’atteindre et de maintenir un niveau élevé de résilience des entités critiques et de couvrir au moins les secteurs figurant à l’annexe du présent texte. Elle peut s’appuyer sur des stratégies nationales et sectorielles, des plans ou des documents similaires pertinents existants. Elle est communiquée à la Commission et mise à jour au moins tous les quatre ans.
Dans l’annexe du texte, on trouve un secteur 6, intitulé Eau potable, dont les catégories d’entités concernées sont définies comme les fournisseurs et distributeurs d’eaux destinées à la consommation humaine au sens de l’article 2, point 1) a), de la directive (UE) 2020/2184, à l’exclusion des distributeurs pour lesquels la distribution d’eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d’autres produits et biens.
Collecte, évacuation et traitement des eaux usées
On trouve aussi un secteur 7, intitulé Eaux résiduaires, dont les catégories d’entités concernées sont définies comme les entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées au sens de l’article 2, points 1), 2) et 3), de la directive 91/271/CEE du 21 mai 1991 relative au traitement des eaux urbaines résiduaires, à l’exclusion des entreprises pour lesquelles la collecte, l’évacuation ou le traitement des eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées constituent une partie non essentielle de leur activité générale.
La notion d’entreprise, qui n’est pas définie dans le présent texte, s’étend à l’évidence aux services publics à caractère industriel et commercial, puisque les services qui n’ont pas un tel caractère sont classés à l’article 2 parmi les entités de l’administration publique.
La Commission adoptera un acte délégué au plus tard le 17 novembre 2023, afin de compléter la présente directive en établissant une liste non exhaustive de services essentiels dans les secteurs et les sous-secteurs figurant à l’annexe. C’est sur cette liste, et non sur l’annexe actuelle, que les autorités compétentes devront se fonder pour effectuer une évaluation des risques, au plus tard le 17 janvier 2026 puis aussi souvent que nécessaire et au moins tous les quatre ans. Elles communiquent cette évaluation à la Commission et l’utilisent pour recenser les entités critiques de leur pays et pour les aider à adopter des mesures de résilience.
Les évaluations tiennent compte de l’effet domino
Les évaluations des risques d’États membres rendent compte des risques naturels et d’origine humaine pertinents, y compris ceux qui revêtent un caractère intersectoriel ou transfrontalier, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides ou autres menaces antagonistes, dont les infractions terroristes. Elles tiennent compte de l’incidence qu’une perturbation importante dans un secteur peut avoir sur d’autres secteurs, y compris tout risque importante pour les citoyens et le marché intérieur.
Au plus tard le 17 juillet 2026, chaque État membre recense ses entités critiques. Il doit tenir compte du fait qu’un incident aurait des effets perturbateurs importants sur la fourniture par l’entité d’un ou de plusieurs services essentiels ou sur la fourniture d’autres services essentiels dans les secteurs figurant à l’annexe qui dépendent dudit ou desdits services essentiels. La Commission élabore, en coopération avec les États membres, des recommandations et des lignes directrices non contraignantes pour soutenir les États membres dans leur recensement des entités critiques.
Chaque État membre dresse une liste des entités critiques recensées et veille à ce qu’elles reçoivent notification du fait qu’elles ont été recensées en tant qu’entités critiques dans un délai d’un mois à compter de ce recensement. Il les informe des obligations qui leur incombent et de la date à partir de laquelle ces obligations leur sont applicables. Autant que nécessaire, et au moins tous les quatre ans, il réexamine et met à jour la liste des entités critiques recensées.
Il avertit les nouvelles entités critiques de leurs obligations et notifie aux entités qui sortent de cette liste qu’elles ne sont plus soumises à ces obligations (NDLR : il est probable que l’absence de notification constituera un manquement d’État et exonérera de toute responsabilité l’entité concernée).
Pour savoir si un effet perturbateur serait important, les États membres doivent prendre en compte plusieurs critères, dont le nombre d’utilisateurs tributaires du service essentiel fourni par l’entité concernée, la dépendance des autres secteurs figurant à l’annexe envers ce service, l’impact que des incidents pourraient avoir dans plusieurs domaines dont l’environnement et la santé, en fonction de l’ampleur et de la durée de cet impact, la zone géographique susceptible d’être affectée par un incident, et l’importance que revêt l’entité pour le maintien d’un niveau suffisant de service essentiel, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.
Recensement des entités critiques de chaque État
Tous les quatre ans au moins, chaque État membre communique à la Commission une liste des services qu’il considère comme essentiels et qui ne figurent pas sur la liste dressée par la Commission, s’il en existe. Il lui communique aussi le nombre d’entités critiques recensées pour chaque secteur, sous-secteur et service essentiel. S’il a fixé des seuils pour ce recensement, il les communique à la Commission.
Chaque État membre désigne ou met en place une ou plusieurs autorités compétentes chargées de veiller à l’application correcte des règles énoncées dans la présente directive et, si nécessaire, de les faire respecter. S’il en désigne plusieurs, il définit clairement les tâches de chacune. Il définit également un point de contact unique, éventuellement parmi ces autorités compétentes, qui est chargé de tout ou partie des relations avec les autres États membres, avec la Commission et avec les pays tiers.
Chaque autorité compétente doit consulter autant que nécessaire les autres autorités nationales concernées, y compris celles chargées de la protection civile, de l’application de la loi et de la protection des données à caractère personnel, et les entités critiques et les parties intéressées concernées.
Quand un organisme est désigné comme entité critique, il doit évaluer les risques qui pourraient perturber son activité, dans les neuf mois qui suivent cette désignation puis tous les quatre ans. Ces évaluations des risques d’entités critiques portent sur les mêmes risques que les évaluations des risques d’États membres mentionnées ci-dessus. D’autres évaluations déjà réalisées peuvent être utilisées dans ce but.
Prendre des mesures pour garantir sa résilience
Les États membres veillent à ce que les entités critiques prennent des mesures techniques, des mesures de sécurité et des mesures organisationnelles appropriées et proportionnées pour garantir leur résilience, notamment pour prévenir la survenance d’incidents, pour protéger leurs locaux et infrastructures critiques, pour réagir et résister aux conséquences des incidents, pour les atténuer et reprendre la fourniture du service essentiel, et pour gérer la sécurité liée au personnel.
Les entités critiques doivent tenir compte du personnel des prestataires de services extérieurs quand elles définissent les catégories de personnel qui exercent des fonctions critiques.
Elles doivent mettre en place et appliquer un plan de résilience qui décrit ces mesures. Dans l’exercice de ses fonctions de supervision, l’autorité compétente peut déclarer que des mesures existantes de renforcement de la résilience prises par une entité critique qui portent, de manière appropriée et proportionnée, sur les mesures techniques, les mesures de sécurité et les mesures organisationnelles respectent tout ou partie de ces obligations. Chaque entité critique désigne un agent de liaison ou une personne équivalente en tant que point de contact avec les autorités compétentes.
La Commission adopte des lignes directrices non contraignantes afin de préciser davantage les mesures techniques, les mesures de sécurité et les mesures organisationnelles qui peuvent être prises dans ce cadre. Elle adopte aussi des actes d’exécution afin d’établir les spécifications techniques et méthodologiques nécessaires relatives à l’application de ces mesures.
Notifier les incidents dans les 24 heures
Les entités critiques notifient à l’autorité compétente les incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels, avec une première notification dans les 24 heures qui suivent un incident et, si nécessaire, un rapport détaillé dans un délai d’un mois. L’importance de la perturbation est évaluée en fonction du nombre et de la proportion d’utilisateurs affectés, de la durée de la perturbation et de la zone affectée, en tenant compte de son éventuel isolement géographique.
Ces notifications comprennent toutes les informations disponibles nécessaires pour permettre à l’autorité compétente de comprendre la nature, la cause et les conséquences possibles de l’incident. Elles n’ont pas pour effet de soumettre les entités critiques à une responsabilité accrue.
Dès que possible, l’autorité compétente concernée fournit à l’entité critique concernée des informations de suivi pertinentes, y compris des informations qui pourraient l’aider à réagir efficacement à l’incident en question. Les États membres informent le public lorsqu’ils estiment qu’il serait dans l’intérêt général de le faire (NDLR : la directive ne précise pas qui informe le public ; ce n’est pas forcément l’État lui-même).
Des aides européennes pour renforcer la résilience
Si nécessaire, la Commission aide les États membres et les entités critiques à respecter les obligations qui leur incombent en vertu de la présente directive. En particulier, elle informe les États membres des ressources financières à leur disposition au niveau de l’Union pour renforcer la résilience des entités critiques.
Afin d’évaluer le respect des obligations découlant de la présente directive par les entités qu’ils ont recensées en tant qu’entités critiques, les États membres veillent à ce que les autorités compétentes disposent des pouvoirs et des moyens nécessaires pour procéder à des inspections sur place de l’infrastructure critique et des locaux utilisés par l’entité critique pour fournir ses services essentiels, et pour superviser à distance les mesures de résilience prises par les entités critiques.
Ces autorités peuvent aussi effectuer ou ordonner des audits portant sur ces entités critiques. Elles doivent disposer des pouvoirs et des moyens pour obtenir que les entités critiques leur fournissent les informations nécessaires à l’évaluation des mesures de résilience et la preuve qu’elles les appliquent effectivement. Elles peuvent imposer la réalisation d’un audit par un auditeur indépendant et qualifié, sélectionné et rémunéré par l’entité critique concernée. Lorsqu’elles requièrent ces informations, les autorités compétentes mentionnent la finalité de la demande et précisent les informations exigées.
Mise en demeure des entités en infraction
En fonction des résultats de ces différents contrôles, les autorités compétentes peuvent enjoindre aux entités critiques concernées de prendre les mesures nécessaires et proportionnées pour remédier à toute violation constatée de la présente directive, dans un délai raisonnable fixé par ces autorités, et de leur fournir des informations sur les mesures prises. Ces injonctions tiennent notamment compte de la gravité de la violation.
Les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et prennent toutes les mesures nécessaires pour assurer l’application de ces sanctions, qui doivent être effectives, proportionnées et dissuasives. Les États membres informent la Commission, au plus tard le 17 octobre 2024, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures.
Les États membres adoptent et publient, au plus tard le 17 octobre 2024, les dispositions nécessaires pour se conformer à la présente directive. Ils en informent immédiatement la Commission. Ils les appliquent à partir du 18 octobre 2024, et la directive 2008/114/CE est abrogée à cette même date. Les références faites à la directive abrogée s’entendent comme faites à la présente directive.
Surveillance par la Commission
Au plus tard le 17 juillet 2027, la Commission présente au Parlement européen et au Conseil un rapport évaluant la mesure dans laquelle chaque État membre a pris les dispositions nécessaires pour se conformer à la présente directive. Elle réexamine périodiquement le fonctionnement de la présente directive et en fait rapport au Parlement européen et au Conseil au plus tard le 17 juin 2029. Ce rapport évalue en particulier la valeur ajoutée de la présente directive et son impact en vue de garantir la résilience des entités critiques, et détermine si l’annexe devrait être modifiée.
Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (JOUE L 333, 27 déc. 2022, p. 164).
