RAPPORT Proposition de directive du Parlement européen et du Conseil sur la résilience des entités critiques
15.10.2021 - (COM(2020)0829 – C9-0421/2020 – 2020/0365(COD)) - ***I
Commission des libertés civiles, de la justice et des affaires intérieures
Rapporteur: Michal Šimečka
Rapporteurs pour avis (*):
Nils Torvalds, commission de l’industrie, de la recherche et de l’énergie
Alex Agius Saliba, commission du marché intérieur et de la protection des consommateurs
(*) Commissions associées – Article 57 du règlement intérieur
- PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
- AVIS DE LA COMMISSION DE L’INDUSTRIE, DE LA RECHERCHE ET DE L’ÉNERGIE
- AVIS DE LA COMMISSION DU MARCHÉ INTÉRIEUR ET DE LA PROTECTION DES CONSOMMATEURS
- AVIS DE LA COMMISSION DES AFFAIRES ÉTRANGÈRES
- AVIS DE LA COMMISSION DES TRANSPORTS ET DU TOURISME
- PROCÉDURE DE LA COMMISSION COMPÉTENTE AU FOND
- VOTE FINAL PAR APPEL NOMINAL EN COMMISSION COMPÉTENTE AU FOND
PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
Proposition de directive du Parlement européen et du Conseil sur la résilience des entités critiques
(COM(2020)0829 – C9-0421/2020 – 2020/0365(COD))
(Procédure législative ordinaire: première lecture)
Le Parlement européen,
– vu la proposition de la Commission au Parlement européen et au Conseil (COM(2020)0829),
– vu l’article 294, paragraphe 2, et l’article 114 du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C9-0421/2020),
– vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,
– vu l’article 59 de son règlement intérieur,
– vu les avis de la commission de l’industrie, de la recherche et de l’énergie, de la commission du marché intérieur et de la protection des consommateurs, de la commission des affaires étrangères et de la commission des transports et du tourisme,
– vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures (A9-0289/2021),
1. arrête la position en première lecture figurant ci-après;
2. demande à la Commission de le saisir à nouveau, si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;
3. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.
Amendement 1
Proposition de directive
Considérant 1
|
|
Texte proposé par la Commission |
Amendement |
(1) La directive 2008/114/CE17 du Conseil établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l’énergie et des transports, dont la perturbation des activités ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l’évaluation de la directive 2008/114/CE réalisée en 201918 a montré qu’en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. Par conséquent, il est nécessaire de réorienter l’approche en vue de garantir la résilience des entités critiques, c’est-à-dire leur capacité à atténuer les conséquences d’incidents susceptibles de perturber leur fonctionnement, à les absorber, à s’y adapter et à s’en remettre. |
(1) La directive 2008/114/CE17 du Conseil établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l’énergie et des transports, dont la perturbation des activités ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l’évaluation de la directive 2008/114/CE réalisée en 201918 a montré qu’en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. Par conséquent, il est nécessaire de réorienter l’approche en vue de garantir la résilience des entités critiques, c’est-à-dire leur capacité à atténuer les conséquences d’incidents susceptibles de perturber la fourniture de services essentiels par les entités critiques, la libre circulation des services essentiels et le fonctionnement du marché intérieur, à les absorber, à y réagir, à s’y adapter et à s’en remettre. |
_________________ |
_________________ |
17 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75). |
17 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75). |
18 SWD(2019) 308. |
18 SWD(2019) 308. |
Amendement 2
Proposition de directive
Considérant 2
|
|
Texte proposé par la Commission |
Amendement |
(2) Malgré les mesures existantes au niveau de l’Union19 et au niveau national visant à soutenir la protection des infrastructures critiques dans l’Union, les entités qui exploitent ces infrastructures ne sont pas équipées de manière adéquate pour faire face aux risques actuels et anticipés pesant sur leurs activités, qui pourraient entraîner des perturbations dans la fourniture de services essentiels à l’exercice de fonctions sociétales ou d’activités économiques vitales. Cette situation est la conséquence du paysage dynamique des menaces, caractérisé par l’évolution de la menace terroriste et par les interdépendances croissantes entre les infrastructures et les secteurs, ainsi que par l’accroissement du risque physique lié aux catastrophes naturelles et au changement climatique, qui augmente la fréquence et l’ampleur des phénomènes météorologiques extrêmes et entraîne des changements à long terme des conditions climatiques moyennes, susceptibles de réduire la capacité et l’efficacité de certains types d’infrastructures si des mesures de résilience ou d’adaptation au changement climatique ne sont pas mises en place. En outre, les secteurs et types d’entités concernés critiques ne sont pas systématiquement reconnus comme critiques dans tous les États membres. |
(2) Malgré les mesures existantes au niveau de l’Union19 et au niveau national visant à soutenir la protection des infrastructures critiques dans l’Union, les entités qui exploitent ces infrastructures ne sont pas toujours équipées de manière adéquate pour faire face aux risques actuels et anticipés pesant sur leurs activités, qui pourraient entraîner des perturbations dans la fourniture de services essentiels à l’exercice de fonctions sociétales ou d’activités économiques vitales. Cette situation est la conséquence du paysage dynamique des menaces, caractérisé par des menaces hybrides et terroristes en évolution et par les interdépendances croissantes entre les infrastructures et les secteurs, ainsi que par l’accroissement du risque physique lié aux catastrophes naturelles et au changement climatique, qui augmente la fréquence et l’ampleur des phénomènes météorologiques extrêmes et entraîne des changements à long terme des conditions climatiques moyennes, susceptibles de réduire la capacité, l’efficacité et la durée de vie de certains types d’infrastructures si des mesures de résilience ou d’adaptation au changement climatique ne sont pas mises en place. En outre, les secteurs et types d’entités concernés critiques ne sont pas systématiquement reconnus comme critiques dans tous les États membres. Il n’existe pas, au niveau de l’Union, de liste unique et reconnue des secteurs d’infrastructures critiques. De fait, différents textes législatifs couvrent différents secteurs. |
_________________ |
_________________ |
19 Programme européen de protection des infrastructures critiques (EPCIP). |
19 Programme européen de protection des infrastructures critiques (EPCIP). |
Amendement 3
Proposition de directive
Considérant 2 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
(2 bis) Certaines infrastructures critiques revêtent une dimension paneuropéenne, comme l'Organisation européenne pour la sécurité de la navigation aérienne, Eurocontrol et Galileo, qui est le système global de navigation par satellite de l’Union. |
Amendement 4
Proposition de directive
Considérant 3
|
|
Texte proposé par la Commission |
Amendement |
(3) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, des infrastructures du marché financier, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables. |
(3) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, des infrastructures du marché financier, des infrastructures numériques, de l’eau potable, des eaux usées, de la production, de la transformation et de la distribution de denrées alimentaires, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation des services essentiels, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables. |
Amendement 5
Proposition de directive
Considérant 4
|
|
Texte proposé par la Commission |
Amendement |
(4) Les entités participant à la fourniture de services essentiels sont de plus en plus soumises à des exigences divergentes imposées par les législations des États membres. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités risque non seulement d’avoir une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, mais entrave aussi le bon fonctionnement du marché intérieur. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont considérés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte des charges administratives supplémentaires et inutiles pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. |
(4) Les entités participant à la fourniture de services essentiels sont soumises à des exigences divergentes imposées par les législations des États membres. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités crée non seulement des niveaux de résilience variables, mais a également une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, et crée une concurrence déloyale et des obstacles au bon fonctionnement du marché intérieur. Les investisseurs et les entreprises peuvent se fier et faire confiance aux entités critiques qui sont résilientes, la fiabilité et la confiance étant des éléments piliers d’un marché intérieur performant. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont considérés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte des charges administratives supplémentaires et inutiles pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. Un cadre européen aura donc également pour effet de créer des conditions de concurrence équitables pour les entités critiques au sein de l’Union. |
Amendement 6
Proposition de directive
Considérant 5
|
|
Texte proposé par la Commission |
Amendement |
(5) Il est donc nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture de services essentiels dans le marché intérieur et de renforcer la résilience des entités critiques. |
(5) Il est donc nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture et la libre circulation des services essentiels dans le marché intérieur, de renforcer la résilience des entités critiques et d’améliorer la coopération transfrontière entre les autorités compétentes. Il est essentiel que ces règles soient à l’épreuve du temps. À cet égard, l’objectif de la présente directive est de rendre les entités critiques résilientes, améliorant ainsi leur capacité à garantir la fourniture continue de services essentiels face à un ensemble de risques divers. En fixant des règles minimales, la présente directive permet aux États membres d’adopter ou de maintenir des règles plus strictes pour garantir la fourniture de services essentiels dans le marché intérieur et renforcer la résilience des entités critiques. |
Amendement 7
Proposition de directive
Considérant 6
|
|
Texte proposé par la Commission |
Amendement |
(6) Afin d’atteindre cet objectif, les États membres devraient recenser les entités critiques qui devraient être soumises à des exigences et à une surveillance spécifiques, mais qui devraient aussi bénéficier d’un soutien et de conseils particuliers visant à atteindre un niveau élevé de résilience face à tous les risques pertinents. |
(6) Afin d’atteindre cet objectif, les États membres devraient recenser les entités critiques qui fournissent des services essentiels dans les secteurs et sous-secteurs énoncés à l’annexe de la présente directive. Ces entités critiques devraient être soumises à des exigences et à une surveillance spécifiques, mais devraient aussi bénéficier d’un soutien et de conseils particuliers visant à atteindre un niveau élevé de résilience face à tous les risques pertinents. |
Amendement 8
Proposition de directive
Considérant 7
|
|
Texte proposé par la Commission |
Amendement |
(7) Certains secteurs de l’économie, tels que l’énergie et les transports, sont déjà réglementés ou pourraient l’être à l’avenir par des actes sectoriels du droit de l’Union qui contiennent des règles relatives à certains aspects de la résilience des entités actives dans ces secteurs. Afin de régir de manière globale la résilience des entités qui sont essentielles au bon fonctionnement du marché intérieur, ces mesures sectorielles devraient être complétées par celles prévues dans la présente directive, qui crée un cadre général applicable à la résilience des entités critiques face à tous les risques, à savoir naturels et d’origine humaine, accidentels et intentionnels. |
(7) Certains secteurs de l’économie, tels que l’énergie et les transports, sont déjà réglementés ou pourraient l’être à l’avenir par des actes sectoriels du droit de l’Union qui contiennent des règles relatives à certains aspects de la résilience des entités actives dans ces secteurs. Afin de régir de manière globale la résilience des entités qui sont essentielles au bon fonctionnement du marché intérieur, ces mesures sectorielles devraient être considérées comme la lex specialis et être complétées par celles prévues dans la présente directive, qui crée un cadre général applicable à la résilience des entités critiques face à tous les risques, à savoir naturels et d’origine humaine, accidentels et intentionnels. |
Amendement 9
Proposition de directive
Considérant 8
|
|
Texte proposé par la Commission |
Amendement |
(8) Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques et dans un souci d’uniformité, une approche cohérente entre la présente directive et la directive (UE) XX/YY du Parlement européen et du Conseil20 [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (ci-après la «directive SRI 2»)] est indispensable, chaque fois que c’est possible. Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques en matière de cybersécurité, la directive SRI 2 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est dûment traitée dans la directive SRI 2, les questions qu’elle englobe devraient être exclues du champ d’application de la présente directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques. |
(8) Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques et dans un souci d’uniformité, une approche cohérente entre la présente directive et la directive (UE) XX/YY du Parlement européen et du Conseil20 [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (ci-après la «directive SRI 2»)] est indispensable, chaque fois que c’est possible. Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques en matière de cybersécurité, la directive SRI 2 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est dûment traitée dans la directive SRI 2, les questions qu’elle englobe devraient être exclues du champ d’application de la présente directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques. En conséquence, les autorités compétentes désignées en vertu de la directive SRI 2 seront chargées de la surveillance des entités recensées en tant qu’entités critiques ou équivalentes à des entités critiques en vertu de ladite directive en ce qui concerne les questions qui relèvent de son champ d’application. |
_________________ |
_________________ |
20 [Référence à la directive SRI 2, après adoption.] |
20 [Référence à la directive SRI 2, après adoption.] |
Amendement 10
Proposition de directive
Considérant 10
|
|
Texte proposé par la Commission |
Amendement |
(10) Afin de garantir une approche globale de la résilience des entités critiques, chaque État membre devrait disposer d’une stratégie définissant les objectifs et les mesures à mettre en œuvre. À cet effet, les États membres devraient veiller à ce que leurs stratégies de cybersécurité prévoient un cadre d’action pour une coordination renforcée entre l’autorité compétente en vertu de la présente directive et l’autorité compétente en vertu de la directive SRI 2 dans le contexte du partage d’informations relatives aux incidents et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. |
(10) Afin de garantir une approche globale de la résilience des entités critiques, chaque État membre devrait disposer d’une stratégie définissant les objectifs et les mesures à mettre en œuvre. À cet effet, et compte tenu de la nature hybride de nombreuses menaces et de la stratégie de résilience de l’Union rédigée par le groupe sur la résilience des entités critiques, établie par la présente directive, les États membres devraient veiller à ce que leurs stratégies prévoient un cadre d’action pour une coordination renforcée entre les autorités compétentes des États membres en vertu de la présente directive et de la directive SRI 2, notamment le partage d’informations relatives aux incidents et aux menaces ainsi que de l’exercice des tâches de surveillance. |
Amendement 11
Proposition de directive
Considérant 11
|
|
Texte proposé par la Commission |
Amendement |
(11) Les mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient adopter une approche fondée sur les risques orientant les efforts vers les entités les plus utiles à l’exercice de fonctions sociétales ou d’activités économiques vitales. Afin de garantir une telle approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation de tous les risques naturels et d’origine humaine susceptibles d’affecter la fourniture de services essentiels, y compris les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies, et les menaces antagonistes, dont les infractions terroristes. Lorsqu’ils procèdent à ces évaluations des risques, les États membres devraient tenir compte d’autres évaluations générales ou sectorielles des risques effectuées en vertu d’autres actes du droit de l’Union et prendre en considération les dépendances entre les secteurs, y compris à l’égard des autres États membres et des pays tiers. Les résultats de l’évaluation des risques devraient être utilisés dans le processus de recensement des entités critiques et pour aider ces entités à satisfaire aux exigences en matière de résilience énoncées par la présente directive. |
(11) Les mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient adopter une approche fondée sur les risques orientant les efforts vers les entités les plus utiles à l’exercice de fonctions sociétales ou d’activités économiques vitales. Afin de garantir une telle approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation de tous les risques naturels et d’origine humaine, y compris les risques transsectoriels et transfrontières susceptibles d’affecter la fourniture de services essentiels, y compris les accidents, les menaces hybrides, les catastrophes naturelles, les urgences de santé publique telles que les pandémies, et les menaces antagonistes, dont les infractions terroristes, l’infiltration par les réseaux criminels et le sabotage. Lorsqu’ils procèdent à ces évaluations des risques, les États membres devraient tenir compte d’autres évaluations générales ou sectorielles des risques effectuées en vertu d’autres actes du droit de l’Union et prendre en considération les dépendances entre les secteurs, y compris à l’égard des autres États membres et des pays tiers. Les États membres ne devraient pas considérer comme des risques les aléas de l’entreprise normalement associés aux activités découlant des conditions du marché, ni les événements pouvant découler d’une décision démocratique. Les résultats de l’évaluation des risques devraient être utilisés dans le processus de recensement des entités critiques et pour aider ces entités à satisfaire aux exigences en matière de résilience énoncées par la présente directive. À leur demande, la Commission devrait également être en mesure de fournir aux entités basées dans les pays tiers des conseils spécialisés. |
Amendement 12
Proposition de directive
Considérant 12
|
|
Texte proposé par la Commission |
Amendement |
(12) Afin de garantir que toutes les entités concernées sont soumises à ces exigences et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir compte des spécificités nationales. Par conséquent, il convient de définir des critères de recensement des entités critiques. Dans un souci d’efficacité, d’efficience, de cohérence et de sécurité juridique, il convient également d’établir des règles appropriées applicables à la notification et à la coopération relatives à ce recensement, ainsi qu’aux conséquences juridiques de celui-ci. Afin de permettre à la Commission d’évaluer la bonne application de la présente directive, les États membres devraient lui communiquer, d’une manière aussi détaillée et spécifique que possible, les informations pertinentes et, en tout état de cause, la liste des services essentiels, le nombre d’entités critiques recensées dans chaque secteur et sous-secteur mentionné à l’annexe et le ou les services essentiels fournis par chaque entité, ainsi que les seuils éventuellement appliqués. |
(12) Afin de garantir que toutes les entités concernées sont soumises à ces exigences et de réduire les divergences à cet égard, il importe d’établir des règles minimales harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir compte des spécificités nationales. Par conséquent, il convient de définir des critères et des méthodes communs de recensement des entités critiques de manière transparente. Dans un souci d’efficacité, d’efficience, de cohérence et de sécurité juridique, il convient également d’établir des règles appropriées applicables à la notification et à la coopération relatives à ce recensement, ainsi qu’aux conséquences juridiques de celui-ci. Afin de permettre à la Commission d’évaluer la bonne application de la présente directive, les États membres devraient lui communiquer, d’une manière aussi détaillée et spécifique que possible, les informations pertinentes et, en tout état de cause, la liste des services essentiels, le nombre d’entités critiques recensées dans chaque secteur et sous-secteur mentionné à l’annexe et le ou les services essentiels fournis par chaque entité, ainsi que les seuils éventuellement appliqués. |
Amendement 13
Proposition de directive
Considérant 13 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
(13 bis) Conformément au droit de l’Union et au droit national applicable, notamment au règlement (UE) 2019/452 du Parlement européen et du Conseil1 bis établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union, il convient de reconnaître la menace potentielle que pose la propriété étrangère d’infrastructures critiques au sein de l’Union, car les services, l’économie, la liberté de circulation et la sécurité des citoyens de l’Union dépendent du bon fonctionnement des infrastructures critiques. Il est primordial que les États membres et la Commission restent vigilants face aux investissements financiers de pays étrangers dans l’exploitation d’entités critiques au sein de l’Union et soient conscients des conséquences que ces investissements pourraient avoir sur la capacité à prévenir d’importantes perturbations. |
|
_________________ |
|
1 bis Règlement (UE) 2019/452 du Parlement européen et du Conseil du 19 mars 2019 établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union (JO L 79 I du 21.3.2019, p. 1). |
Amendement 14
Proposition de directive
Considérant 15
|
|
Texte proposé par la Commission |
Amendement |
(15) L’acquis de l’UE en matière de services financiers impose aux entités financières l’obligation de gérer de manière exhaustive tous les risques auxquels elles sont confrontées, y compris les risques opérationnels, et d’assurer la continuité des activités. Les obligations découlent notamment du règlement (CE) nº 648/2012 du Parlement européen et du Conseil22, de la directive 2014/65/UE du Parlement européen et du Conseil23 et du règlement (UE) nº 600/2014 du Parlement européen et du Conseil24, ainsi que du règlement (UE) nº 575/2013 du Parlement européen et du Conseil25 et de la directive 2013/36/UE du Parlement européen et du Conseil26. La Commission a récemment proposé de compléter ce cadre par le règlement XX/YYYY du Parlement européen et du Conseil [proposition de règlement sur la résilience opérationnelle numérique du secteur financier27], qui impose aux entreprises financières des obligations en matière de gestion des risques liés aux technologies de l’information et de la communication, y compris la protection des infrastructures physiques correspondantes. Étant donné que la résilience des entités énumérées aux points 3 et 4 de l’annexe est couverte de manière exhaustive par l’acquis de l’UE en matière de services financiers, ces entités devraient également être considérées comme des entités critiques aux seules fins du chapitre II de la présente directive. Afin de garantir une application cohérente des règles relatives aux risques opérationnels et à la résilience numérique dans le secteur financier, le soutien des États membres au renforcement de la résilience globale des entités financières considérées comme équivalentes aux entités critiques devrait être assuré par les autorités désignées en vertu de l’article 41 du [règlement sur la résilience opérationnelle numérique du secteur financier], et soumis aux procédures établies dans cet acte législatif d’une manière pleinement harmonisée. |
(15) L’acquis de l’UE en matière de services financiers impose aux entités financières l’obligation de gérer de manière exhaustive tous les risques auxquels elles sont confrontées, y compris les risques opérationnels, et d’assurer la continuité des activités. Les obligations découlent notamment du règlement (CE) nº 648/2012 du Parlement européen et du Conseil22, de la directive 2014/65/UE du Parlement européen et du Conseil23 et du règlement (UE) nº 600/2014 du Parlement européen et du Conseil24, ainsi que du règlement (UE) nº 575/2013 du Parlement européen et du Conseil25 et de la directive 2013/36/UE du Parlement européen et du Conseil26. La Commission a récemment proposé de compléter ce cadre par le règlement XX/YYYY du Parlement européen et du Conseil [proposition de règlement sur la résilience opérationnelle numérique du secteur financier27], qui impose aux entreprises financières des obligations en matière de gestion des risques liés aux technologies de l’information et de la communication, y compris la protection des infrastructures physiques correspondantes. Étant donné que la résilience des entités énumérées aux points 3 et 4 de l’annexe est couverte de manière exhaustive par l’acquis de l’UE en matière de services financiers, ces entités devraient également être considérées comme des entités critiques aux seules fins du chapitre II de la présente directive; par conséquent, ces entités ne devraient pas être soumises aux obligations énoncées aux chapitres III à VI de la présente directive. Afin de garantir une application cohérente des règles relatives aux risques opérationnels et à la résilience numérique dans le secteur financier, le soutien des États membres au renforcement de la résilience globale des entités financières considérées comme équivalentes aux entités critiques devrait être assuré par les autorités désignées en vertu de l’article 41 du [règlement sur la résilience opérationnelle numérique du secteur financier], et soumis aux procédures établies dans cet acte législatif d’une manière pleinement harmonisée. |
_________________ |
_________________ |
22 Règlement (UE) nº 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1). |
22 Règlement (UE) nº 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1). |
23 Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349). |
23 Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349). |
24 Règlement (UE) nº 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) nº 648/2012 (JO L 173 du 12.6.2014, p. 84). |
24 Règlement (UE) nº 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) nº 648/2012 (JO L 173 du 12.6.2014, p. 84). |
25 Règlement (UE) nº 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) nº 648/2012 (JO L 176 du 27.6.2013, p. 1). |
25 Règlement (UE) nº 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) nº 648/2012 (JO L 176 du 27.6.2013, p. 1). |
26 Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338). |
26 Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338). |
27 Proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, COM(2020) 595. |
27 Proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, COM(2020) 595. |
Amendement 15
Proposition de directive
Considérant 16
|
|
Texte proposé par la Commission |
Amendement |
(16) Les États membres devraient désigner les autorités chargées de superviser l’application des règles de la présente directive et, s’il y a lieu, de les faire respecter, et veiller à ce que ces autorités disposent des pouvoirs et des ressources adéquats. Compte tenu des différences entre les structures de gouvernance nationales et afin de préserver les dispositifs sectoriels existants ou les organismes de surveillance et de réglementation de l’Union, et afin d’éviter la duplication des efforts, les États membres devraient pouvoir désigner plus d’une autorité compétente. Dans ce cas, ils devraient toutefois définir clairement les tâches respectives des autorités concernées et veiller à ce qu’elles coopèrent de manière harmonieuse et efficace. Toutes les autorités compétentes devraient également coopérer plus généralement avec d’autres autorités concernées, tant au niveau national qu’au niveau de l’Union. |
(16) Les États membres devraient désigner les autorités chargées de superviser l’application des règles de la présente directive et de les faire respecter, et veiller à ce que ces autorités disposent des pouvoirs et des ressources adéquats. Compte tenu des différences entre les structures de gouvernance nationales et afin de préserver les dispositifs sectoriels existants ou les organismes de surveillance et de réglementation de l’Union, et afin d’éviter la duplication des efforts, les États membres devraient pouvoir désigner plus d’une autorité compétente. Dans ce cas, ils devraient toutefois définir clairement les tâches respectives des autorités concernées et veiller à ce qu’elles coopèrent de manière harmonieuse et efficace, y compris avec les autorités compétentes des autres États membres. Toutes les autorités compétentes devraient également coopérer plus généralement avec d’autres autorités concernées, tant au niveau national qu’au niveau de l’Union, y compris avec les autorités compétentes des autres États membres. |
Amendement 16
Proposition de directive
Considérant 17
|
|
Texte proposé par la Commission |
Amendement |
(17) Afin de faciliter la coopération et la communication transfrontières et de permettre la mise en œuvre effective de la présente directive, et sans préjudice des exigences juridiques sectorielles de l’Union, chaque État membre devrait désigner, au sein de l’une des autorités qu’il a désignées comme autorité compétente en vertu de la présente directive, un point de contact unique chargé de coordonner les questions liées à la résilience des entités critiques et à la coopération transfrontière à cet égard au niveau de l’Union. |
(17) Afin de faciliter la coopération et la communication transfrontières et de permettre la mise en œuvre effective de la présente directive, et sans préjudice des exigences juridiques sectorielles de l’Union, chaque État membre devrait désigner, au sein de l’une des autorités qu’il a désignées comme autorité compétente en vertu de la présente directive, un point de contact unique chargé de coordonner les questions liées à la résilience des entités critiques et à la coopération transfrontière à cet égard au niveau de l’Union. Il convient que chaque point de contact unique assure la coordination de toutes les communications et la liaison avec les autorités compétentes de son État membre, avec les points de contact uniques des autres États membres et avec le groupe sur la résilience des entités critiques. Les points de contact uniques devraient utiliser des canaux de signalement efficaces, sécurisés et normalisés. |
Amendement 17
Proposition de directive
Considérant 18
|
|
Texte proposé par la Commission |
Amendement |
(18) Étant donné qu’en vertu de la directive SRI 2, les entités recensées en tant qu’entités critiques, ainsi que les entités identifiées dans le secteur des infrastructures numériques qui doivent être considérées comme équivalentes aux entités critiques en vertu de la présente directive sont soumises aux exigences en matière de cybersécurité imposées par la directive SRI 2, les autorités compétentes désignées en vertu des deux directives devraient coopérer, notamment en ce qui concerne les risques et incidents de cybersécurité touchant ces entités. |
(18) Les entités recensées en tant qu’entités critiques en vertu de la présente directive, ainsi que les entités dans le secteur des infrastructures numériques qui doivent être considérées comme équivalentes aux entités critiques sont soumises aux exigences en matière de cybersécurité imposées par la directive SRI 2. Les autorités compétentes désignées en vertu des deux directives devraient dès lors coopérer de façon efficace et cohérente, notamment en ce qui concerne les risques et incidents touchant ces entités. Il importe que les États membres prennent des mesures pour éviter les doubles déclarations et les doubles contrôles, pour s’assurer que les stratégies et exigences prévues par la présente directive et la directive SRI 2 sont complémentaires et que les entités critiques ne sont pas soumises à des formalités administratives excédant ce qui est nécessaire pour atteindre les objectifs de la présente directive. |
Amendement 18
Proposition de directive
Considérant 19
|
|
Texte proposé par la Commission |
Amendement |
(19) Les États membres devraient aider les entités critiques à renforcer leur résilience, conformément à leurs obligations en vertu de la présente directive, sans préjudice de la responsabilité juridique qui incombe aux entités de garantir le respect de ces obligations. En particulier, les États membres pourraient élaborer des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience et dispenser des formations au personnel des entités critiques. En outre, compte tenu des interdépendances entre les entités et les secteurs, les États membres devraient mettre en place des outils de partage d’informations pour favoriser le partage volontaire d’informations entre les entités critiques, sans préjudice de l’application des règles de concurrence énoncées dans le traité sur le fonctionnement de l’Union européenne. |
(19) Les États membres devraient aider les entités critiques à renforcer leur résilience, en particulier celles qui sont qualifiées de petites ou moyennes entreprises (PME), conformément à leurs obligations en vertu de la présente directive, sans préjudice de la responsabilité juridique qui incombe aux entités de garantir le respect de ces obligations. En particulier, les États membres devraient élaborer des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience et dispenser des formations au personnel des entités critiques. Lorsque cela est nécessaire et justifié par des objectifs d'intérêt public, les États membres devraient pouvoir fournir des ressources financières aux entités critiques, sans préjudice des règles applicables en matière d'aides d'État. En outre, compte tenu des interdépendances entre les entités et les secteurs, les États membres devraient mettre en place des outils de partage d’informations pour favoriser le partage d’informations et de bonnes pratiques entre les entités critiques, sans préjudice de l’application des règles de concurrence énoncées dans le traité sur le fonctionnement de l’Union européenne. |
Amendement 19
Proposition de directive
Considérant 19 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
(19 bis) Lors de la mise en œuvre de la présente directive, il importe que les États membres prennent toutes les mesures nécessaires pour éviter toute charge administrative excessive, en particulier sur les PME, et pour empêcher les redondances ou la création d’obligations inutiles. Lorsque cela leur est demandé, il est essentiel que les États membres appuient la fourniture d’un soutien adapté pour les PME et aident ces dernières à l’obtenir en prenant les mesures techniques et organisationnelles requises au titre de la présente directive. |
Amendement 20
Proposition de directive
Considérant 20
|
|
Texte proposé par la Commission |
Amendement |
(20) Pour être en mesure de garantir leur résilience, les entités critiques devraient avoir une connaissance approfondie de tous les risques pertinents auxquels elles sont exposées et les analyser. À cette fin, elles devraient procéder à des évaluations des risques, chaque fois que cela s’avère nécessaire compte tenu de leur situation particulière et de l’évolution de ces risques, et, en tout cas, tous les quatre ans. Les évaluations des risques effectuées par les entités critiques devraient se fonder sur l’évaluation des risques effectuée par les États membres. |
(20) Pour être en mesure de garantir leur résilience, les entités critiques devraient avoir une connaissance approfondie de tous les risques pertinents auxquels elles sont exposées et les analyser. À cette fin, elles devraient procéder à des évaluations des risques, chaque fois que cela s’avère nécessaire compte tenu de leur situation particulière et de l’évolution de ces risques, et, en tout cas, tous les quatre ans. Les évaluations des risques effectuées par les entités critiques devraient se fonder sur l’évaluation des risques effectuée par les États membres et être conformes aux critères et méthodologies communs. |
Amendement 21
Proposition de directive
Considérant 23
|
|
Texte proposé par la Commission |
Amendement |
(23) Le règlement (CE) nº 300/2008 du Parlement européen et du Conseil28, le règlement (CE) nº 725/2004 du Parlement européen et du Conseil29 et la directive nº 2005/65/CE du Parlement européen et du Conseil30 définissent des exigences applicables aux entités des secteurs de l’aviation et du transport maritime afin de prévenir les incidents causés par des actes illicites, d’y résister et d’en atténuer les conséquences. Bien que les mesures requises par la présente directive soient plus vastes en termes de risques pris en compte et de types de mesures devant être adoptées, les entités critiques de ces secteurs devraient refléter dans leur plan de résilience ou dans les documents équivalents les mesures prises en application de ces autres actes de l’Union. En outre, lorsqu’elles mettent en œuvre des mesures de résilience au titre de la présente directive, les entités critiques peuvent envisager de se référer à des lignes directrices non contraignantes et à des documents de bonnes pratiques élaborés dans le cadre de groupes de travail sectoriels, tels que la plateforme de l’UE en matière de sûreté des voyageurs ferroviaires31. |
(23) Le règlement (CE) nº 300/2008 du Parlement européen et du Conseil28, le règlement (CE) nº 725/2004 du Parlement européen et du Conseil29 et la directive nº 2005/65/CE du Parlement européen et du Conseil30 définissent des exigences applicables aux entités des secteurs de l’aviation et du transport maritime afin de prévenir les incidents causés par des actes illicites, d’y résister et d’en atténuer les conséquences. Bien que les mesures requises par la présente directive soient plus vastes en termes de risques pris en compte et de types de mesures devant être adoptées, les entités critiques de ces secteurs devraient refléter dans leur plan de résilience ou dans les documents équivalents les mesures prises en application de ces autres actes de l’Union. En outre, les entités critiques doivent également tenir compte de la directive nº 2008/96/CE du Parlement européen et du Conseil30 bis, qui instaure des évaluations de l’ensemble du réseau routier pour cartographier les risques d’accidents et une inspection de sécurité routière ciblée, afin de mettre en évidence les conditions dangereuses, les défauts et les problèmes qui augmentent le risque d’accidents et de blessures, sur la base d’une visite sur place d’une route existante ou d’un tronçon de route existant. Veiller à la protection et à la résilience des entités critiques est de la plus haute importance pour le secteur ferroviaire. Aussi, lorsqu’elles mettent en œuvre des mesures de résilience au titre de la présente directive, les entités critiques sont encouragées à se référer à des lignes directrices non contraignantes et à des documents de bonnes pratiques élaborés dans le cadre de groupes de travail sectoriels, tels que la plateforme de l’UE en matière de sûreté des voyageurs ferroviaires31. |
_________________ |
_________________ |
28 Règlement (CE) nº 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) nº 2320/2002 (JO L 97 du 9.4.2008, p. 72). |
28 Règlement (CE) nº 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) nº 2320/2002 (JO L 97 du 9.4.2008, p. 72). |
29 Règlement (CE) nº 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l’amélioration de la sûreté des navires et des installations portuaires (JO L 129 du 29.4.2004, p. 6). |
29 Règlement (CE) nº 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l’amélioration de la sûreté des navires et des installations portuaires (JO L 129 du 29.4.2004, p. 6). |
30 Directive 2005/65/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à l’amélioration de la sûreté des ports (JO L 310 du 25.11.2005, p. 28). |
30 Directive 2005/65/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à l’amélioration de la sûreté des ports (JO L 310 du 25.11.2005, p. 28). |
|
30 bis Directive 2008/96/CE du Parlement européen et du Conseil du 19 novembre 2008 concernant la gestion de la sécurité des infrastructures routières (JO L 319 du 29.11.2008, p. 59). |
31 Décision de la Commission du 29 juin 2018 portant création de la plateforme de l’Union européenne en matière de sûreté des voyageurs ferroviaires (C/2018/4014). |
31 Décision de la Commission du 29 juin 2018 portant création de la plateforme de l’Union européenne en matière de sûreté des voyageurs ferroviaires (C/2018/4014). |
Amendement 22
Proposition de directive
Considérant 24
|
|
Texte proposé par la Commission |
Amendement |
(24) Le risque que des membres du personnel des entités critiques utilisent de manière abusive, par exemple, leurs droits d’accès au sein de l’organisation de l’entité pour nuire et causer un préjudice est de plus en plus préoccupant. Ce risque est aggravé par le phénomène croissant de radicalisation conduisant à l’extrémisme violent et au terrorisme. Il est donc nécessaire de permettre aux entités critiques de demander une vérification des antécédents de personnes relevant de catégories spécifiques de leur personnel et de veiller à ce que ces demandes soient évaluées rapidement par les autorités compétentes, conformément aux règles applicables du droit de l’Union et du droit national, y compris en matière de protection des données à caractère personnel. |
(24) Le risque que des membres du personnel des entités critiques utilisent de manière abusive, par exemple, leurs droits d’accès au sein de l’organisation de l’entité pour nuire et causer un préjudice est de plus en plus préoccupant. Ce risque est aggravé par le phénomène croissant de radicalisation conduisant à l’extrémisme violent et au terrorisme. Il est donc nécessaire de permettre aux entités critiques de demander une vérification des antécédents de personnes relevant de catégories spécifiques de leur personnel et de veiller à ce que ces demandes soient évaluées rapidement par les autorités compétentes, conformément aux règles applicables du droit de l’Union et du droit national, y compris en matière de protection des données à caractère personnel, notamment le règlement (UE) 2016/679. |
Amendement 23
Proposition de directive
Considérant 25
|
|
Texte proposé par la Commission |
Amendement |
(25) Les entités critiques devraient notifier aux autorités compétentes des États membres, dès qu’elles sont raisonnablement en mesure de le faire compte tenu des circonstances, les incidents qui perturbent ou sont susceptibles de perturber de manière significative leurs activités. La notification devrait permettre aux autorités compétentes de réagir rapidement et de manière adéquate aux incidents et de disposer d’une vue d’ensemble complète des risques globaux auxquels sont confrontées les entités critiques. À cette fin, il convient d’établir une procédure de notification de certains incidents et de définir des paramètres permettant de déterminer quand la perturbation réelle ou potentielle est importante et requiert une notification des incidents. Compte tenu des incidences transfrontières potentielles de telles perturbations, il convient de mettre en place une procédure permettant aux États membres d’informer les autres États membres concernés par l’intermédiaire de points de contact uniques. |
(25) Les entités critiques devraient notifier aux autorités compétentes des États membres, dès qu’elles sont raisonnablement en mesure de le faire compte tenu des circonstances et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, tout incident qui perturbe ou est susceptible de perturber de manière significative leurs activités. L’autorité compétente devrait informer le public de cet incident dès lors qu’elle estime que l’intérêt public l’exige. Elle devrait veiller à ce que l’entité critique concernée informe les utilisateurs de ses services qui sont susceptibles d’être touchés par cet incident et, le cas échéant, par toute mesure de sécurité ou corrective éventuelle. La notification devrait permettre aux autorités compétentes de réagir rapidement et de manière adéquate aux incidents et de disposer d’une vue d’ensemble complète des risques globaux auxquels sont confrontées les entités critiques. À cette fin, il convient d’établir une procédure de notification de certains incidents et de définir des paramètres permettant de déterminer quand la perturbation réelle ou potentielle est importante et requiert une notification des incidents. Compte tenu des incidences transfrontières potentielles de telles perturbations, il convient de mettre en place une procédure permettant aux États membres d’informer sans délai les autres États membres concernés par l’intermédiaire de points de contact uniques. Les informations sur les incidents devraient être traitées de manière à en respecter la confidentialité ainsi que la sécurité et les intérêts commerciaux de l’entité critique concernée. |
Amendement 24
Proposition de directive
Considérant 26
|
|
Texte proposé par la Commission |
Amendement |
(26) Si les entités critiques exercent généralement leurs activités dans le cadre d’un réseau de fourniture de services et d’infrastructures de plus en plus interconnecté et fournissent souvent des services essentiels dans plus d’un État membre, certaines de ces entités revêtent une importance particulière pour l’Union car elles fournissent des services essentiels à un grand nombre d’États membres et nécessitent donc une surveillance spécifique au niveau de l’Union. Il y a donc lieu d’établir des règles relatives à la surveillance spécifique de ces entités critiques revêtant une importance européenne particulière. Ces règles sont sans préjudice des règles de surveillance et de coercition énoncées dans la présente directive. |
(26) Si les entités critiques exercent généralement leurs activités dans le cadre d’un réseau de fourniture de services et d’infrastructures de plus en plus interconnecté et fournissent souvent des services essentiels dans plus d’un État membre, certaines de ces entités revêtent une importance particulière pour l’Union et le marché intérieur car elles fournissent des services essentiels à plusieurs États membres et nécessitent donc une surveillance spécifique au niveau de l’Union. Il y a donc lieu d’établir des règles relatives à la surveillance spécifique de ces entités critiques revêtant une importance européenne particulière. Ces règles sont sans préjudice des règles de surveillance et de coercition énoncées dans la présente directive. |
Amendement 25
Proposition de directive
Considérant 27 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
(27 bis) Il convient que la normalisation demeure un processus essentiellement conduit par le marché. Toutefois, il pourrait être approprié dans certaines situations d’exiger la conformité avec des normes spécifiques au niveau de l’Union. La Commission et les États membres devraient soutenir et encourager l’élaboration et la mise en œuvre de normes et de spécifications pertinentes pour la résilience des entités critiques, telles que définies par les organismes européens de normalisation pour la mise en œuvre de mesures techniques et organisationnelles visant à garantir la résilience des entités critiques. Les États membres devraient également promouvoir l’utilisation de normes et de spécifications reconnues dans le monde entier et pertinentes pour les mesures de résilience relatives aux entités critiques. |
Amendement 26
Proposition de directive
Considérant 30
|
|
Texte proposé par la Commission |
Amendement |
(30) Les États membres devraient veiller à ce que leurs autorités compétentes disposent de certains pouvoirs spécifiques pour assurer la bonne application et le contrôle du respect de la présente directive à l’égard des entités critiques, lorsque ces entités relèvent de leur compétence conformément à la présente directive. Ces pouvoirs devraient notamment comprendre le pouvoir d’effectuer des inspections, une surveillance et des audits, d’exiger des entités critiques qu’elles fournissent des informations et des éléments de preuve concernant les mesures qu’elles ont prises pour se conformer à leurs obligations et, s’il y a lieu, d’adresser des injonctions afin qu’il soit remédié aux violations constatées. Lorsqu’ils adressent de telles injonctions, les États membres ne devraient pas exiger de mesures allant au-delà de ce qui est nécessaire et proportionné pour garantir le respect par l’entité critique concernée de ses obligations, compte tenu notamment de la gravité de la violation et de la capacité économique de l’entité critique. Plus généralement, ces pouvoirs devraient s’accompagner de garanties appropriées et effectives, devant être précisées dans le droit national, conformément aux exigences découlant de la charte des droits fondamentaux de l’Union européenne. Lorsqu’elles évaluent le respect par les entités critiques des obligations qui leur incombent en vertu de la présente directive, les autorités compétentes désignées au titre de la présente directive devraient pouvoir demander aux autorités compétentes désignées en vertu de la directive SRI 2 d’évaluer la cybersécurité de ces entités. Les autorités compétentes devraient coopérer et échanger des informations à cette fin. |
(30) Les États membres devraient veiller à ce que leurs autorités compétentes disposent de certains pouvoirs spécifiques pour assurer la bonne application et le contrôle du respect de la présente directive à l’égard des entités critiques, lorsque ces entités relèvent de leur compétence conformément à la présente directive. Ces pouvoirs devraient notamment comprendre le pouvoir d’effectuer des inspections, une surveillance et des audits, d’exiger des entités critiques qu’elles fournissent des informations et des éléments de preuve concernant les mesures qu’elles ont prises pour se conformer à leurs obligations et, s’il y a lieu, d’adresser des injonctions afin qu’il soit remédié aux violations constatées. Lorsqu’ils adressent de telles injonctions, les États membres ne devraient pas exiger de mesures allant au-delà de ce qui est nécessaire et proportionné pour garantir le respect par l’entité critique concernée de ses obligations, compte tenu notamment de la gravité de la violation et de la capacité économique de l’entité critique. Plus généralement, ces pouvoirs devraient s’accompagner de garanties appropriées et effectives, devant être précisées dans le droit national, conformément aux exigences découlant de la charte des droits fondamentaux de l’Union européenne. L’évaluation des entités critiques au titre de la présente directive, pour les aspects qui relèvent de la directive SRI 2, comme la cybersécurité physique et non physique, incombe aux autorités compétentes désignées en vertu de la directive SRI 2. Par ailleurs, lorsqu’elles évaluent le respect par les entités critiques des obligations qui leur incombent en vertu de la présente directive, les autorités compétentes désignées au titre de la présente directive devraient pouvoir demander aux autorités compétentes désignées en vertu de la directive SRI 2 d’évaluer la cybersécurité de ces entités. Les autorités compétentes devraient coopérer et échanger des informations à cette fin. |
Amendement 27
Proposition de directive
Considérant 31
|
|
Texte proposé par la Commission |
Amendement |
(31) Afin de tenir compte des nouveaux risques, des évolutions technologiques ou des spécificités d’un ou de plusieurs des secteurs, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne pour compléter les mesures de résilience que les entités critiques doivent prendre, en précisant davantage certaines ou l’ensemble de ces mesures. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»32. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués. |
(31) Afin de tenir compte des nouveaux risques, des évolutions technologiques ou des spécificités d’un ou de plusieurs des secteurs, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne pour compléter les mesures de résilience que les entités critiques doivent prendre, en précisant davantage certaines ou l’ensemble de ces mesures. Afin d’éviter une application divergente de la présente directive et d’améliorer le fonctionnement du marché intérieur, le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne devrait être délégué à la Commission afin de compléter la présente directive en établissant une liste commune des services essentiels. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»32. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués. |
_________________ |
_________________ |
32 JO L 123 du 12.5.2016, p. 1. |
32 JO L 123 du 12.5.2016, p. 1. |
Amendement 28
Proposition de directive
Article 1 – paragraphe 1 – partie introductive
|
|
Texte proposé par la Commission |
Amendement |
1. La présente directive: |
1. La présente directive définit des mesures en vue d’atteindre un niveau élevé de résilience des entités critiques pour garantir la fourniture de services essentiels dans l’Union et d’améliorer le fonctionnement du marché intérieur. À cet effet, la présente directive: |
Amendement 29
Proposition de directive
Article 1 – paragraphe 1 – point a
|
|
Texte proposé par la Commission |
Amendement |
a) impose aux États membres l’obligation d’adopter certaines mesures visant à assurer la fourniture dans le marché intérieur de services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales, en particulier de recenser les entités critiques et les entités devant être traitées comme équivalentes à certains égards, et de leur permettre de s’acquitter de leurs obligations; |
a) impose aux États membres l’obligation d’adopter certaines mesures visant à assurer la fourniture ininterrompue dans le marché intérieur de services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales, en particulier de recenser les entités critiques et les entités devant être traitées comme équivalentes à certains égards, et de leur permettre de s’acquitter de leurs obligations; |
Amendement 30
Proposition de directive
Article 1 – paragraphe 2
|
|
Texte proposé par la Commission |
Amendement |
2. La présente directive ne s’applique pas aux questions couvertes par la directive (UE) XX/YY [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (la «directive SRI 2»)], sans préjudice de l’article 7. |
2. La présente directive ne s’applique pas aux questions couvertes par la directive (UE) XX/YY [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (la «directive SRI 2»)], sans préjudice de l’article 7. Vu les liens qui unissent la cybersécurité et la sécurité physique des entités, les États membres veillent à coordonner la mise en œuvre de la présente directive et de la directive SRI 2. |
Amendement 31
Proposition de directive
Article 2 – alinéa 1 – point 3
|
|
Texte proposé par la Commission |
Amendement |
(3) «incident»: tout événement susceptible de perturber ou perturbant les activités de l’entité critique; |
3) «incident»: tout événement susceptible de perturber ou perturbant la fourniture d’un service essentiel par une entité critique; |
Amendement 32
Proposition de directive
Article 2 – alinéa 1 – point 4
|
|
Texte proposé par la Commission |
Amendement |
4) «infrastructure»: un bien, un système ou une partie de celui-ci, qui est nécessaire à la fourniture d’un service essentiel; |
4) «infrastructure»: des biens, y compris des installations, des systèmes et des équipements, ou des parties de ceux-ci, qui sont nécessaires à la fourniture d’un service essentiel; |
Amendement 33
Proposition de directive
Article 2 – alinéa 1 – point 5
|
|
Texte proposé par la Commission |
Amendement |
5) «service essentiel»: un service qui est essentiel au maintien de fonctions sociétales ou d’activités économiques vitales; |
(5) «service essentiel»: un service qui est essentiel au maintien de fonctions sociétales, d’activités économiques vitales, de la santé et de la sécurité publiques, de l’environnement ou de l’état de droit; |
Amendement 34
Proposition de directive
Article 2 – alinéa 1 – point 6
|
|
Texte proposé par la Commission |
Amendement |
(6) «risque»: toute circonstance ou tout événement ayant une incidence négative potentielle sur la résilience des entités critiques; |
6) «risque»: toute circonstance ou tout événement ayant une incidence négative potentielle sur la capacité d’une entité critique à fournir un service essentiel; |
Amendement 35
Proposition de directive
Article 2 – alinéa 1 – point 7
|
|
Texte proposé par la Commission |
Amendement |
7) «évaluation des risques»: une méthode visant à déterminer la nature et l’ampleur d’un risque en analysant les menaces et dangers potentiels et en évaluant les conditions de vulnérabilité existantes qui pourraient perturber les activités de l’entité critique. |
7) «évaluation des risques»: une méthode visant à déterminer la nature et l’ampleur d’un risque en évaluant les menaces et dangers potentiels à l’encontre de la résilience d’une entité critique, en analysant les conditions de vulnérabilité existantes qui pourraient entraîner la perturbation des activités d’une entité critique et en évaluant les conséquences négatives potentielles que la perturbation des activités pourrait avoir sur la fourniture des services essentiels. |
Amendement 36
Proposition de directive
Article 2 – alinéa 1 – point 7 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
7 bis) «norme»: une norme telle que définie à l’article 2, point 1, du règlement (UE) nº 1025/2012 du Parlement européen et du Conseil1 bis; |
|
____________ |
|
1 bis Règlement (UE) nº 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision nº 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12). |
Amendement 37
Proposition de directive
Article 2 – alinéa 1 – point 7 ter (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
7 ter) "spécification technique": une spécification technique au sens de l'article 2, paragraphe 4 point c), du règlement (UE) n° 1025/2012; |
Amendement 38
Proposition de directive
Article 3 – paragraphe 1
|
|
Texte proposé par la Commission |
Amendement |
1. Chaque État membre adopte, au plus tard le [trois ans après l’entrée en vigueur de la présente directive], une stratégie visant à renforcer la résilience des entités critiques. Cette stratégie définit des objectifs stratégiques et des mesures en vue d’atteindre et de maintenir un niveau élevé de résilience de ces entités critiques et couvrant au moins les secteurs mentionnés dans l’annexe. |
1. À l’issue d’une consultation ouverte à tous les acteurs concernés, chaque État membre adopte, au plus tard le [trois ans après l’entrée en vigueur de la présente directive], une stratégie visant à renforcer la résilience des entités critiques. Cette stratégie tient compte de la stratégie de résilience de l’Union, préparée par le groupe sur la résilience des entités critiques, visée à l’article 16, et définit des objectifs stratégiques et des mesures en vue d’atteindre et de maintenir un niveau élevé de résilience de ces entités critiques et couvrant au moins les secteurs mentionnés dans l’annexe. |
Amendement 39
Proposition de directive
Article 3 – paragraphe 2 – point c
|
|
Texte proposé par la Commission |
Amendement |
c) une description des mesures nécessaires pour renforcer la résilience globale des entités critiques, y compris une évaluation nationale des risques, le recensement des entités critiques et des entités équivalentes, et les mesures de soutien aux entités critiques prises conformément au présent chapitre; |
c) une description des mesures nécessaires pour renforcer la résilience globale des entités critiques, y compris l’évaluation nationale des risques visée à l’article 4, le recensement des entités critiques et des entités équivalentes, et les mesures de soutien aux entités critiques prises conformément au présent chapitre, y compris les mesures visant à accroître la coopération entre les secteurs public et privé et entre entités publiques et privées; |
Amendement 40
Proposition de directive
Article 3 – paragraphe 2 – point c bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
c bis) une liste de l’ensemble des acteurs et autorités concernés par la mise en œuvre de la stratégie; |
Amendement 41
Proposition de directive
Article 3 – paragraphe 2 – point d bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
d bis) un cadre d’action répondant aux besoins et aux caractéristiques spécifiques des petites et moyennes entreprises recensées en tant qu’entités critiques pour renforcer leur résilience; |
Amendement 42
Proposition de directive
Article 3 – paragraphe 2 – point d ter (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
d ter) les aspects pertinents de la stratégie nationale en matière de cybersécurité prévus par la directive SRI 2 et de toute autre stratégie nationale sectorielle afin d’en assurer la coordination, la complémentarité et les synergies. |
Amendement 43
Proposition de directive
Article 3 – paragraphe 2 – alinéa 1
|
|
Texte proposé par la Commission |
Amendement |
La stratégie est mise à jour selon les besoins et au moins tous les quatre ans. |
À l’issue d’une consultation ouverte à tous les acteurs concernés, la stratégie est mise à jour au moins tous les quatre ans. |
Amendement 44
Proposition de directive
Article 4 – paragraphe 1 – alinéa 1
|
|
Texte proposé par la Commission |
Amendement |
1. Les autorités compétentes désignées en vertu de l’article 8 établissent une liste des services essentiels dans les secteurs mentionnés à l’annexe. Elles effectuent, au plus tard le [trois ans après l’entrée en vigueur de la présente directive], puis selon les besoins, et au moins tous les quatre ans, une évaluation de tous les risques pertinents susceptibles d’affecter la fourniture de ces services essentiels, en vue de recenser les entités critiques conformément à l’article 5, paragraphe 1, et d’aider celles-ci à prendre des mesures au titre de l’article 11. |
1. La Commission est habilitée à adopter un acte délégué conformément à l’article 21 afin de compléter la présente directive en établissant une liste des services essentiels dans les secteurs et sous-secteurs mentionnés à l’annexe. La Commission adopte l’acte délégué au plus tard le... [six mois après la date d’entrée en vigueur de la présente directive]. Les autorités compétentes désignées en vertu de l’article 8 effectuent, au plus tard le [trois ans après l’entrée en vigueur de la présente directive], puis selon les besoins, et au moins tous les quatre ans, une évaluation de tous les risques pertinents susceptibles d’affecter la fourniture des services essentiels énumérés dans l’acte délégué, en vue de recenser les entités critiques conformément à l’article 5, paragraphe 1, et d’aider celles-ci à prendre des mesures au titre de l’article 11. |
Amendement 45
Proposition de directive
Article 4 – paragraphe 1 – alinéa 2
|
|
Texte proposé par la Commission |
Amendement |
L’évaluation des risques tient compte de tous les risques naturels et d’origine humaine, y compris les accidents, les catastrophes naturelles, les urgences de santé publique et les menaces antagonistes, dont les infractions terroristes au sens de la directive (UE) 2017/541 du Parlement européen et du Conseil34. |
L’évaluation des risques tient compte de tous les risques naturels et d’origine humaine, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, les accidents, les catastrophes naturelles, les urgences de santé publique et les menaces antagonistes, dont les infractions terroristes au sens de la directive (UE) 2017/541 du Parlement européen et du Conseil34. |
_________________ |
_________________ |
34 Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6). |
34 Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6). |
Amendement 46
Proposition de directive
Article 4 – paragraphe 2 – alinéa 1– point c
|
|
Texte proposé par la Commission |
Amendement |
(c) les risques découlant des dépendances entre les secteurs mentionnés à l’annexe, y compris à l’égard des autres États membres et des pays tiers, et l’incidence qu’une perturbation dans un secteur peut avoir sur d’autres secteurs; |
c) les risques découlant des dépendances entre les secteurs mentionnés à l’annexe, y compris à l’égard des autres États membres et des pays tiers, et l’incidence qu’une perturbation dans un secteur peut avoir sur d’autres secteurs, y compris les risques pour les citoyens et le marché intérieur; |
Amendement 47
Proposition de directive
Article 4 – paragraphe 3
|
|
Texte proposé par la Commission |
Amendement |
3. Les États membres mettent les éléments pertinents de l’évaluation des risques visée au paragraphe 1 à la disposition des entités critiques qu’ils ont recensées conformément à l’article 5 afin de les aider à réaliser leur évaluation des risques, conformément à l’article 10, et à prendre des mesures pour assurer leur résilience conformément à l’article 11. |
3. Les États membres mettent, par l’intermédiaire de leur point de contact unique visé à l’article 8, paragraphe 2, les éléments pertinents de l’évaluation des risques visée au paragraphe 1 à la disposition des entités critiques qu’ils ont recensées conformément à l’article 5 afin de les aider à réaliser leur évaluation des risques, conformément à l’article 10, et à prendre des mesures pour assurer leur résilience conformément à l’article 11. |
Amendement 48
Proposition de directive
Article 4 – paragraphe 5
|
|
Texte proposé par la Commission |
Amendement |
5. La Commission peut, en coopération avec les États membres, élaborer un modèle commun de rapport facultatif aux fins du paragraphe 4. |
5. La Commission élabore, en coopération avec les États membres, un modèle commun de rapport facultatif aux fins du paragraphe 4. |
Amendement 49
Proposition de directive
Article 5 – paragraphe 2 – partie introductive
|
|
Texte proposé par la Commission |
Amendement |
2. Lorsqu’ils recensent les entités critiques conformément au paragraphe 1, les États membres tiennent compte des résultats de l’évaluation des risques effectuée au titre de l’article 4 et appliquent les critères suivants: |
2) Lorsqu’ils recensent les entités critiques conformément au paragraphe 1, les États membres tiennent compte des résultats de l’évaluation des risques effectuée au titre de l’article 4 ainsi que de la stratégie en faveur de la résilience des entités critiques visée à l’article 3, et appliquent les critères suivants: |
Amendement 50
Proposition de directive
Article 5 – paragraphe 2 – point b
|
|
Texte proposé par la Commission |
Amendement |
b) la fourniture de ce service dépend de l’infrastructure située dans l’État membre; et; |
b) la fourniture de ce service essentiel dépend de l’infrastructure située dans l’État membre; et; |
Amendement 51
Proposition de directive
Article 5 – paragraphe 2 – point c
|
|
Texte proposé par la Commission |
Amendement |
(c) un incident aurait des effets perturbateurs importants sur la fourniture dudit service ou d’autres services essentiels dans les secteurs mentionnés à l’annexe qui dépendent dudit service. |
c) un incident aurait des effets perturbateurs importants sur la fourniture dudit service essentiel ou d’autres services essentiels dans les secteurs mentionnés à l’annexe qui dépendent dudit service. |
Amendement 52
Proposition de directive
Article 5 – paragraphe 5
|
|
Texte proposé par la Commission |
Amendement |
5. À la suite de la notification visée au paragraphe 3, les États membres veillent à ce que les entités critiques communiquent à leurs autorités compétentes désignées conformément à l’article 8 de la présente directive des informations spécifiant si elles ont été recensées en tant qu’entités critiques dans un ou plusieurs autres États membres. Lorsqu’une entité a été recensée en tant qu’entité critique par deux États membres ou plus, ces États membres se consultent en vue de réduire la charge pesant sur l’entité critique en ce qui concerne les obligations prévues au chapitre III. |
5. À la suite de la notification visée au paragraphe 3, les États membres veillent à ce que les entités critiques communiquent à leurs autorités compétentes désignées conformément à l’article 8 de la présente directive des informations spécifiant si elles ont été recensées en tant qu’entités critiques dans un ou plusieurs autres États membres. Lorsqu’une entité a été recensée en tant qu’entité critique par deux États membres ou plus, ces États membres se consultent en vue d’atteindre le plus haut degré possible de cohérence et de réduire la charge pesant sur l’entité critique en ce qui concerne les obligations prévues au chapitre III. |
Amendement 53
Proposition de directive
Article 5 – paragraphe 6
|
|
Texte proposé par la Commission |
Amendement |
6. Aux fins du chapitre IV, les États membres veillent à ce qu’à la suite de la notification visée au paragraphe 3, les entités critiques communiquent à leurs autorités compétentes désignées conformément à l’article 8 de la présente directive des informations précisant si elles fournissent des services essentiels à ou dans plus d’un tiers des États membres. Lorsque tel est le cas, l’État membre concerné notifie dans les meilleurs délais à la Commission l’identité de ces entités critiques. |
6. Aux fins du chapitre IV, les États membres veillent à ce qu’à la suite de la notification visée au paragraphe 3, les entités critiques communiquent à leurs autorités compétentes désignées conformément à l’article 8 de la présente directive des informations précisant si elles fournissent des services essentiels similaires ou essentiels à ou dans plus de trois États membres. Lorsque tel est le cas, l’État membre concerné notifie dans les meilleurs délais à la Commission l’identité de ces entités critiques. |
Amendement 54
Proposition de directive
Article 5 – paragraphe 7 – alinéa 2
|
|
Texte proposé par la Commission |
Amendement |
Lorsque ces mises à jour entraînent le recensement d’entités critiques supplémentaires, les paragraphes 3, 4, 5 et 6 s’appliquent. En outre, les États membres veillent à ce que les entités qui ne sont plus recensées en tant qu’entités critiques en vertu d’une telle mise à jour en reçoivent la notification et soient informées qu’elles ne sont plus soumises aux obligations prévues au chapitre III dès la réception de la notification. |
Lorsque ces mises à jour entraînent le recensement d’entités critiques supplémentaires, les paragraphes 3, 4, 5 et 6 s’appliquent. En outre, les États membres veillent à ce que les entités qui ne sont plus recensées en tant qu’entités critiques en vertu d’une telle mise à jour en reçoivent la notification et soient informées en temps utile qu’elles ne sont plus soumises aux obligations prévues au chapitre III dès la réception de la notification. |
Amendement 55
Proposition de directive
Article 5 – paragraphe 7 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
7 bis. La Commission élabore, en coopération avec les États membres, des recommandations et des lignes directrices pour aider les États membres à identifier les entités critiques. |
Amendement 56
Proposition de directive
Article 6 – paragraphe 1 – point a
|
|
Texte proposé par la Commission |
Amendement |
(a) le nombre d’utilisateurs tributaires du service fourni par l’entité; |
a) le nombre d’utilisateurs tributaires du service essentiel fourni par l’entité; |
Amendement 57
Proposition de directive
Article 6 – paragraphe 1 – point b
|
|
Texte proposé par la Commission |
Amendement |
b) la dépendance d’autres secteurs mentionnés à l’annexe à l’égard dudit service; |
b) la dépendance d’autres secteurs et sous-secteurs mentionnés à l’annexe, ou de la chaîne d’approvisionnement, à l’égard dudit service essentiel; |
Amendement 58
Proposition de directive
Article 6 – paragraphe 1 – point e
|
|
Texte proposé par la Commission |
Amendement |
(e) la zone géographique susceptible d’être touchée par un incident, y compris eu égard à toute incidence transfrontière; |
e) la zone géographique susceptible d’être touchée par un incident, y compris eu égard à toute incidence transfrontière, compte tenu de la vulnérabilité associée au degré d’isolement de certains types de zones géographiques, telles que les régions insulaires, les régions ultrapériphériques ou les zones montagneuses; |
Amendement 59
Proposition de directive
Article 6 – paragraphe 1 – point f
|
|
Texte proposé par la Commission |
Amendement |
f) l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service. |
f) l’importance que revêt l’entité pour garantir un niveau de service essentiel suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service essentiel. |
Amendement 60
Proposition de directive
Article 6 – paragraphe 3
|
|
Texte proposé par la Commission |
Amendement |
3. Après consultation du groupe sur la résilience des entités critiques, la Commission peut adopter des lignes directrices afin de faciliter l’application des critères visés au paragraphe 1, en tenant compte des informations visées au paragraphe 2. |
3. Après consultation du groupe sur la résilience des entités critiques, la Commission adopte des lignes directrices afin de faciliter l’application des critères visés au paragraphe 1, en tenant compte des informations visées au paragraphe 2. |
Amendement 61
Proposition de directive
Article 7 – paragraphe 1
|
|
Texte proposé par la Commission |
Amendement |
1. En ce qui concerne les secteurs mentionnés aux points 3, 4 et 8 de l’annexe, les États membres recensent, au plus tard le [trois ans et trois mois après l’entrée en vigueur de la présente directive], les entités qui sont considérées comme équivalentes aux entités critiques aux fins du présent chapitre. Ils appliquent, à l'égard de ces entités, les dispositions de l’article 3, de l’article 4, de l’article 5, paragraphes 1 à 4 et paragraphe 7, et de l’article 9. |
1. En ce qui concerne les secteurs mentionnés aux points 3, 4 et 8 de l’annexe, les États membres recensent, au plus tard le [un an et six mois après l’entrée en vigueur de la présente directive], les entités qui sont considérées comme équivalentes aux entités critiques aux fins du présent chapitre. Ils appliquent, à l'égard de ces entités, les dispositions de l’article 3, de l’article 4, de l’article 5, paragraphes 1 à 4 et paragraphe 7, et de l’article 9. |
Amendement 62
Proposition de directive
Article 8 – paragraphe 2
|
|
Texte proposé par la Commission |
Amendement |
2. Chaque État membre désigne, au sein de l’autorité compétente, un point de contact unique chargé d’exercer une fonction de liaison afin d’assurer la coopération transfrontière avec les autorités compétentes des autres États membres et avec le groupe sur la résilience des entités critiques visé à l’article 16 (le «point de contact unique»). |
2. Chaque État membre désigne, au sein de l’autorité compétente, un point de contact unique chargé d’exercer une fonction de liaison afin d’assurer la coopération transfrontière avec les autorités compétentes des autres États membres et avec la Commission et le groupe sur la résilience des entités critiques visé à l’article 16 (le «point de contact unique»), et, le cas échéant, d’assurer la coopération avec les pays tiers. |
Amendement 63
Proposition de directive
Article 8 – paragraphe 3
|
|
Texte proposé par la Commission |
Amendement |
3. Au plus tard le [trois ans et six mois après l’entrée en vigueur de la présente directive], et tous les ans par la suite, les points de contact uniques présentent à la Commission et au groupe sur la résilience des entités critiques un rapport de synthèse sur les notifications reçues, mentionnant le nombre de notifications, la nature des incidents signalés et les mesures prises conformément à l’article 13, paragraphe 3. |
3. Au plus tard le ... [quatre ans et six mois après l’entrée en vigueur de la présente directive], et au premier trimestre de chaque année par la suite, les points de contact uniques présentent à la Commission et au groupe sur la résilience des entités critiques un rapport de synthèse sur les notifications reçues, mentionnant le nombre de notifications, la nature des incidents signalés et les mesures prises conformément à l’article 13, paragraphe 3. |
Amendement 64
Proposition de directive
Article 9 – paragraphe 1
|
|
Texte proposé par la Commission |
Amendement |
1. Les États membres aident les entités critiques à renforcer leur résilience. Dans ce cadre, ils peuvent élaborer des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience et dispenser des formations au personnel des entités critiques. |
1. Les États membres aident les entités critiques à renforcer leur résilience. Dans ce cadre, ils élaborent des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience et dispenser des formations au personnel des entités critiques. Les États membres peuvent fournir des ressources financières aux entités critiques, sans préjudice des règles applicables en matière d’aides d’État, lorsque cela est nécessaire et justifié par des objectifs d’intérêt général. |
Amendement 65
Proposition de directive
Article 10 – paragraphe 1
|
|
Texte proposé par la Commission |
Amendement |
Les États membres veillent à ce que les entités critiques évaluent tous les risques pertinents susceptibles de perturber leurs activités, dans un délai de six mois à compter de la réception de la notification visée à l’article 5, paragraphe 3, puis selon les besoins et au moins tous les quatre ans, sur la base des évaluations des risques des États membres et d’autres sources d’information pertinentes. |
Les États membres veillent à ce que les entités critiques évaluent tous les risques pertinents susceptibles de perturber leur fourniture de services essentiels concernés, dans un délai de six mois à compter de la réception de la notification visée à l’article 5, paragraphe 3, puis selon les besoins et au moins tous les quatre ans, sur la base des évaluations des risques des États membres et d’autres sources d’information pertinentes. |
Amendement 66
Proposition de directive
Article 11 – paragraphe 1 – point d
|
|
Texte proposé par la Commission |
Amendement |
d) se remettre des incidents, y compris grâce à des mesures assurant la continuité des activités et à l’identification d’autres chaînes d’approvisionnement; |
d) se remettre des incidents, y compris grâce à des mesures assurant la continuité des activités et à l’identification d’autres chaînes d’approvisionnement pour garantir la continuité du service essentiel; |
Amendement 67
Proposition de directive
Article 11 – paragraphe 1 – point e
|
|
Texte proposé par la Commission |
Amendement |
(e) assurer une gestion adéquate de la sécurité du personnel, notamment en définissant des catégories de personnel exerçant des fonctions critiques, en établissant des droits d’accès aux zones, installations et autres infrastructures sensibles, de même qu’aux informations sensibles, ainsi qu’en identifiant des catégories spécifiques de personnel eu égard à l’article 12; |
(e) assurer une gestion adéquate de la sécurité du personnel, notamment en définissant des catégories de personnel exerçant des fonctions critiques, en prévoyant des exigences de formation appropriées et des qualifications en établissant des droits d’accès aux zones, installations et autres infrastructures sensibles, de même qu’aux informations sensibles, ainsi qu’en identifiant des catégories spécifiques de personnel eu égard à l’article 12; lorsque des prestataires externes interviennent dans la gestion de la sécurité du personnel, les entités critiques veillent à ce qu’ils respectent les normes et les spécifications généralement reconnues. |
Amendement 68
Proposition de directive
Article 11 – paragraphe 1 – point f
|
|
Texte proposé par la Commission |
Amendement |
f) sensibiliser le personnel concerné aux mesures visées aux points a) à e). |
f) sensibiliser le personnel concerné aux mesures visées aux points a) à e), notamment au moyen de formations régulières. |
Amendement 69
Proposition de directive
Article 11 – paragraphe 3
|
|
Texte proposé par la Commission |
Amendement |
3. À la demande de l’État membre qui a recensé l’entité critique et avec l’accord de celle-ci, la Commission organise des missions de conseil, conformément aux dispositions de l’article 15, paragraphes 4, 5, 7 et 8, afin de conseiller l’entité critique concernée en vue du respect des obligations qui lui incombent en vertu du chapitre III. La mission de conseil communique ses conclusions à la Commission, à l’État membre et à l’entité critique concernée. |
3. À la demande de l’État membre qui a recensé l’entité critique et en consultation avec celle-ci, la Commission organise des missions de conseil, conformément aux dispositions de l’article 15, paragraphes 4, 5, 7 et 8, afin de conseiller l’entité critique concernée en vue du respect des obligations qui lui incombent en vertu du chapitre III. La mission de conseil communique ses conclusions à la Commission, à l’État membre et à l’entité critique concernée. À leur demande, la Commission peut également proposer des missions de conseil aux entités basées dans des pays tiers. |
Amendement 70
Proposition de directive
Article 12 – paragraphe 1
|
|
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les entités critiques puissent soumettre des demandes de vérification des antécédents des personnes qui font partie de certaines catégories spécifiques de leur personnel, y compris les personnes dont le recrutement est envisagé à des postes relevant de ces catégories, et à ce que ces demandes soient évaluées rapidement par les autorités chargées de procéder à cette vérification. |
1. Les États membres veillent à ce que les entités critiques puissent soumettre des demandes de vérification des antécédents des personnes qui font partie de certaines catégories spécifiques de leur personnel, y compris les personnes dont le recrutement est envisagé à des postes relevant de ces catégories, et à ce que ces demandes soient évaluées rapidement par les autorités chargées de procéder à cette vérification. Cette vérification des antécédents est proportionnée et strictement limitée à ce qui est nécessaire et pertinent pour l’accomplissement des tâches des personnes concernées. |
Amendement 71
Proposition de directive
Article 12 – paragraphe 2 – alinéa 1 – partie introductive
|
|
Texte proposé par la Commission |
Amendement |
2. Conformément au droit de l’Union et au droit national applicables, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil38 , la vérification des antécédents visée au paragraphe 1: |
2. Conformément au droit de l’Union et au droit national applicables, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil38, les États membres veillent à ce que la vérification des antécédents visée au paragraphe 1soit effectuée dans le seul but d’évaluer un risque potentiel pour la sécurité de l’entité critique concernée. Cette vérification: |
_________________ |
|
38 JO L 119 du 4.5.2016, p. 1. |
|
Amendement 72
Proposition de directive
Article 13 – paragraphe 1
|
|
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les entités critiques notifient dans les meilleurs délais à l’autorité compétente les incidents qui perturbent ou sont susceptibles de perturber de manière significative leurs activités. Les notifications comprennent toutes les informations disponibles nécessaires pour permettre à l’autorité compétente de comprendre la nature, la cause et les conséquences possibles de l’incident, y compris afin de déterminer tout impact transfrontière de l’incident. Cette notification n’accroît pas la responsabilité des entités critiques. |
1. Les États membres veillent à ce que les entités critiques notifient dans les meilleurs délais à l’autorité compétente les incidents qui perturbent ou sont susceptibles de perturber de manière significative leurs activités. Une notification initiale doit être soumise dans les 24 heures après qu’une entité critique a pris connaissance de l’incident, et suivie d’un rapport final détaillé au plus tard un mois après. Les notifications comprennent toutes les informations disponibles nécessaires pour permettre à l’autorité compétente de comprendre la nature, la cause et les conséquences possibles de l’incident, y compris afin de déterminer tout impact transfrontière de l’incident. Cette notification n’accroît pas la responsabilité des entités critiques. |
|
Lorsque l’incident a ou est susceptible d’avoir une incidence significative sur les entités critiques et sur la continuité de la fourniture des services essentiels dans plus de trois États membres, ceux-ci veillent à ce que les entités critiques concernées notifient ces incidents à la Commission. La Commission informe, dans les meilleurs délais, le groupe sur la résilience des entités critiques de toute notification de ce type. La Commission et le groupe sur la résilience des entités critiques, dans le respect du droit de l’Union, traitent les informations fournies dans le cadre de ces notifications de manière à en respecter la confidentialité et à préserver la sécurité et les intérêts commerciaux de l’entité ou des entités critiques concernées. |
Amendement 73
Proposition de directive
Article 13 – paragraphe 2 – point c
|
|
Texte proposé par la Commission |
Amendement |
c) la zone géographique touchée par la perturbation ou la perturbation potentielle. |
c) la zone géographique touchée par la perturbation ou la perturbation potentielle, compte tenu de son éventuel isolement géographique. |
Amendement 74
Proposition de directive
Article 13 – paragraphe 3 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
3 bis. L’autorité compétente concernée présente une fois par an à la Commission et au groupe sur la résilience des entités critiques, un rapport de synthèse sur les notifications reçues et les mesures prises conformément au présent article. |
Amendement 75
Proposition de directive
Article 13 – paragraphe 4
|
|
Texte proposé par la Commission |
Amendement |
4. Dès que possible après réception de la notification visée au paragraphe 1, l’autorité compétente fournit à l’entité critique notifiante des informations pertinentes concernant les suites données à sa notification, y compris des informations susceptibles de l’aider à réagir efficacement à l’incident. |
4. Dès que possible après réception de la notification visée au paragraphe 1, l’autorité compétente fournit à l’entité critique notifiante des informations pertinentes concernant les suites données à sa notification, y compris des informations susceptibles de l’aider à réagir efficacement à l’incident. L’autorité compétente informe le public d’un incident dès lors qu’elle estime que l’intérêt public l’exige. Elle veille à ce que les entités critiques informent les utilisateurs de leurs services qui sont susceptibles d’être touchés par un incident de l’incident et, le cas échéant, de toute mesure de sécurité ou corrective éventuelle. |
Amendement 76
Proposition de directive
Article 13 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
Article 13 bis (nouveau) |
|
Normes |
|
Afin de promouvoir une mise en œuvre cohérente de la présente directive, les États membres, sans imposer ni désavantager l’utilisation d’un type particulier de technologie, encouragent l’utilisation de normes et de spécifications applicables à la sécurité et à la résilience des entités critiques. |
Amendement 77
Proposition de directive
Article 14 – paragraphe 2
|
|
Texte proposé par la Commission |
Amendement |
2. Une entité est considérée comme une entité critique revêtant une importance européenne particulière lorsqu’elle a été identifiée en tant qu’entité critique, qu’elle fournit des services essentiels à ou dans plus d’un tiers des États membres et qu’elle a fait l’objet d’une notification à ce titre adressée à la Commission conformément à l’article 5, paragraphes 1 et 6, respectivement. |
2. Une entité est considérée comme une entité critique revêtant une importance européenne particulière lorsqu’elle a été identifiée en tant qu’entité critique, qu’elle fournit des services essentiels identiques ou similaires à ou dans plus de trois États membres et qu’elle a fait l’objet d’une notification à ce titre adressée à la Commission conformément à l’article 5, paragraphes 1 et 6, respectivement. |
Amendement 78
Proposition de directive
Article 15 – paragraphe 1 – alinéa 1
|
|
Texte proposé par la Commission |
Amendement |
À la demande d’un ou de plusieurs États membres ou de la Commission, l’État membre dans lequel se situe l’infrastructure de l’entité critique revêtant une importance européenne particulière informe, conjointement avec ladite entité, la Commission et le groupe sur la résilience des entités critiques des résultats de l’évaluation des risques effectuée conformément à l’article 10 et des mesures prises conformément à l’article 11. |
À la demande d’un ou de plusieurs États membres ou de la Commission, une entité critique revêtant une importance européenne particulière informe le groupe sur la résilience des entités critiques des résultats de l’évaluation des risques effectuée conformément à l’article 10 et des mesures prises conformément à l’article 11. |
Amendement 79
Proposition de directive
Article 15 – paragraphe 2
|
|
Texte proposé par la Commission |
Amendement |
2. À la demande d’un ou de plusieurs États membres, ou de sa propre initiative, et en accord avec l’État membre où se situe l’infrastructure de l’entité critique revêtant une importance européenne particulière, la Commission organise une mission de conseil afin d’évaluer les mesures mises en place par l’entité pour s’acquitter des obligations qui lui incombent en vertu du chapitre III. Au besoin, la mission de conseil peut demander une expertise spécifique dans le domaine de la gestion des risques de catastrophe par l’intermédiaire du Centre de coordination de la réaction d’urgence. |
2. À la demande d’un ou de plusieurs États membres, ou de sa propre initiative, et en consultation avec l’État membre où se situe l’infrastructure de l’entité critique revêtant une importance européenne particulière, la Commission organise une mission de conseil afin d’évaluer les mesures mises en place par l’entité pour s’acquitter des obligations qui lui incombent en vertu du chapitre III. Au besoin, la mission de conseil peut demander une expertise spécifique dans le domaine de la gestion des risques de catastrophe par l’intermédiaire du Centre de coordination de la réaction d’urgence. |
Amendement 80
Proposition de directive
Article 15 – paragraphe 4 – alinéa 2
|
|
Texte proposé par la Commission |
Amendement |
La Commission organise le programme de la mission de conseil, en consultation avec les membres de la mission concernée et en accord avec l’État membre où se situe l’infrastructure de l’entité critique ou de l’entité critique revêtant une importance européenne particulière. |
La Commission organise le programme de la mission de conseil, en consultation avec les membres de la mission concernée et l’État membre où se situe l’infrastructure de l’entité critique ou de l’entité critique revêtant une importance européenne particulière. |
Amendement 81
Proposition de directive
Article 16 – paragraphe 2 – alinéa 1
|
|
Texte proposé par la Commission |
Amendement |
Le groupe sur la résilience des entités critiques est composé de représentants des États membres et de la Commission. Lorsque c’est utile pour l’exécution de ses tâches, le groupe sur la résilience des entités critiques peut inviter des représentants des parties intéressées à participer à ses travaux. |
Le groupe sur la résilience des entités critiques est composé de représentants des États membres et de la Commission. Lorsque c’est utile pour l’exécution de ses tâches, le groupe sur la résilience des entités critiques invite des représentants des acteurs concernés à participer à ses travaux et le Parlement européen à participer en qualité d’observateur. |
Amendement 82
Proposition de directive
Article 16 – paragraphe 3 – point c
|
|
Texte proposé par la Commission |
Amendement |
c) faciliter l’échange de bonnes pratiques pour le recensement des entités critiques par les États membres conformément à l’article 5, y compris en ce qui concerne les dépendances transfrontières et les risques et incidents; |
c) faciliter l’échange de bonnes pratiques pour le recensement des entités critiques par les États membres conformément à l’article 5, y compris en ce qui concerne les dépendances transfrontières et transsectorielles et les risques et incidents; |
Amendement 83
Proposition de directive
Article 16 – paragraphe 3 – point c bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
c bis) préparer une stratégie de résilience de l’Union qui soit conforme aux objectifs fixés par la présente directive; |
Amendement 84
Proposition de directive
Article 16 – paragraphe 3 – point h
|
|
Texte proposé par la Commission |
Amendement |
h) échanger des informations et les bonnes pratiques en matière de recherche et de développement dans le domaine de la résilience des entités critiques conformément à la présente directive; |
h) échanger des informations et les bonnes pratiques en matière d’innovation, de recherche et de développement dans le domaine de la résilience des entités critiques conformément à la présente directive; |
Amendement 85
Proposition de directive
Article 16 – paragraphe 3 – point h bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
h bis) promouvoir et soutenir les évaluations coordonnées des risques et les actions conjointes entre les entités critiques; |
Amendement 86
Proposition de directive
Article 16 – paragraphe 5
|
|
Texte proposé par la Commission |
Amendement |
5. Le groupe sur la résilience des entités critiques se réunit régulièrement et au moins une fois par an avec le groupe de coopération institué en vertu de [la directive SRI 2] afin de promouvoir la coopération stratégique et l’échange d’informations. |
5. Le groupe sur la résilience des entités critiques se réunit régulièrement et au moins une fois par an avec le groupe de coopération institué en vertu de [la directive SRI 2] afin de faciliter la coopération stratégique et l’échange d’informations. |
Amendement 87
Proposition de directive
Article 16 – paragraphe 7
|
|
Texte proposé par la Commission |
Amendement |
7. La Commission remet au groupe sur la résilience des entités critiques un rapport faisant la synthèse des informations communiquées par les États membres conformément à l’article 3, paragraphe 3, et à l’article 4, paragraphe 4, au plus tard le [trois ans et six mois après l’entrée en vigueur de la présente directive], puis selon les besoins et au moins tous les quatre ans. |
7. La Commission remet au groupe sur la résilience des entités critiques un rapport faisant la synthèse des informations communiquées par les États membres conformément à l’article 3, paragraphe 3, et à l’article 4, paragraphe 4, au plus tard le [trois ans et six mois après l’entrée en vigueur de la présente directive], puis selon les besoins et au moins tous les quatre ans. La Commission publie régulièrement un rapport de synthèse sur les activités du groupe sur la résilience des entités critiques. |
|
La Commission crée un secrétariat commun pour le groupe sur la résilience des entités critiques et le groupe de coopération institué en vertu de [la directive SRI 2] afin de faciliter la communication entre ces deux groupes et, partant, de réduire autant que possible les ambiguïtés entre les différentes autorités désignées en vertu de la présente directive et de la directive SRI 2. |
Amendement 88
Proposition de directive
Article 17 – paragraphe 2 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
2 bis. Afin de recevoir les informations visées à l’article 8, paragraphe 3, et de les utiliser à bon escient, la Commission tient un registre de l’Union sur les incidents dans le but de définir des bonnes pratiques et méthodes et de les partager. |
Amendement 89
Proposition de directive
Article 21 – paragraphe 2
|
|
Texte proposé par la Commission |
Amendement |
2. Le pouvoir d’adopter des actes délégués visé à l’article 11, paragraphe 4, est conféré à la Commission pour une période de cinq ans à compter de la date d’entrée en vigueur de la présente directive ou de toute autre date fixée par les colégislateurs. |
2. Le pouvoir d’adopter des actes délégués visé à l’article 4, paragraphe 1, et à l’article 11, paragraphe 4, est conféré à la Commission pour une période de cinq ans à compter de la date d’entrée en vigueur de la présente directive ou de toute autre date fixée par les colégislateurs. |
Amendement 90
Proposition de directive
Article 21 – paragraphe 3
|
|
Texte proposé par la Commission |
Amendement |
3. La délégation de pouvoir visée à l’article 11, paragraphe 4, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur. |
3. La délégation de pouvoir visée à l’article 4, paragraphe 1, et à l’article 11, paragraphe 4, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur. |
Amendement 91
Proposition de directive
Article 22 – alinéa 1
|
|
Texte proposé par la Commission |
Amendement |
La Commission présente au Parlement européen et au Conseil, au plus tard le [54 mois après l’entrée en vigueur de la présente directive], un rapport évaluant dans quelle mesure les États membres ont pris les dispositions nécessaires pour se conformer à la présente directive. |
La Commission présente au Parlement européen et au Conseil, au plus tard le [54 mois après l’entrée en vigueur de la présente directive], un rapport évaluant dans quelle mesure les États membres ont pris les dispositions nécessaires pour se conformer à la présente directive. Ce rapport contient des chapitres nationaux distincts sur les progrès concrets de la mise en œuvre dans chaque État membre. |
Amendement 92
Proposition de directive
Article 22 – alinéa 2
|
|
Texte proposé par la Commission |
Amendement |
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le rapport évalue en particulier l’incidence et la valeur ajoutée de la présente directive qui a pour objet de garantir la résilience des entités critiques et détermine si le champ d’application de la directive devrait être étendu à d’autres secteurs ou sous-secteurs. Le premier rapport est présenté le [six ans après l’entrée en vigueur de la présente directive] et évalue en particulier si le champ d’application de la directive devrait être étendu au secteur de la production, de la transformation et de la distribution des denrées alimentaires. |
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le rapport évalue en particulier l’incidence et la valeur ajoutée de la présente directive qui a pour objet de garantir la résilience des entités critiques et détermine si le champ d’application de la directive devrait être étendu à d’autres secteurs ou sous-secteurs. Le premier rapport est présenté le [six ans après l’entrée en vigueur de la présente directive] et évalue en particulier si le champ d’application de la directive devrait être étendu. À cette fin, la Commission tient compte des documents pertinents du groupe sur la résilience des entités critiques. |
Amendement 93
Proposition de directive
Annexe – table – point 2 – Transport – point e (nouveau)
|
||||
Texte proposé par la Commission |
||||
2.Transports |
a) Transport aérien |
— Transporteurs aériens au sens de l’article 3, point 4), du règlement (CE) nº 300/200856 |
||
— Entités gestionnaires d’aéroports au sens de l’article 2, point 2), de la directive 2009/12/CE57, aéroports au sens de l’article 2, point 1), de ladite directive, y compris les aéroports du réseau central énumérés à l’annexe II, section 2, du règlement (UE) nº 1315/201358, et entités exploitant les installations annexes se trouvant dans les aéroports |
||||
— Services du contrôle de la circulation aérienne au sens de l’article 2, point 1), du règlement (CE) nº 549/200459 |
||||
|
b) Transport ferroviaire |
— Gestionnaires de l'infrastructure au sens de l’article 3, point 2), de la directive 2012/34/UE60 |
||
— Entreprises ferroviaires au sens de l’article 3, point 1), de la directive 2012/34/UE, y compris les exploitants d’installations de services au sens de l’article 3, point 12), de la directive 2012/34/UE |
||||
|
c) Transport par voie navigable |
— Sociétés de transport terrestre, maritime et côtier de passagers et de fret au sens de l’annexe I du règlement (CE) nº 725/200461, à l’exclusion des navires exploités à titre individuel par ces sociétés |
||
|
— Entités gestionnaires des ports au sens de l’article 3, point 1), de la directive 2005/65/CE62, y compris les installations portuaires au sens de l’article 2, point 11), du règlement (CE) nº 725/2004, ainsi que les entités exploitant des ateliers et des équipements à l’intérieur des ports |
|||
|
— Exploitants de services de trafic maritime au sens de l’article 3, point o), de la directive 2002/59/CE63 du Parlement européen et du Conseil |
|||
|
d) Transport routier |
Autorités routières au sens de l’article 2, point 12), du règlement délégué (UE) 2015/962 de la Commission64, chargées du contrôle de gestion du trafic |
||
|
— Systèmes de transport intelligents au sens de l’article 4, point 1), de la directive 2010/40/UE65 |
|||
|
||||
Amendement |
||||
2. Transports |
a) Transport aérien |
— Transporteurs aériens au sens de l’article 3, point 4), du règlement (CE) nº 300/200856 |
||
— Entités gestionnaires d’aéroports au sens de l’article 2, point 2), de la directive 2009/12/CE57, aéroports au sens de l’article 2, point 1), de ladite directive, y compris les aéroports du réseau central énumérés à l’annexe II, section 2, du règlement (UE) nº 1315/201358, et entités exploitant les installations annexes se trouvant dans les aéroports |
||||
— Services du contrôle de la circulation aérienne au sens de l’article 2, point 1), du règlement (CE) nº 549/200459 |
||||
|
b) Transport ferroviaire |
— Gestionnaires de l'infrastructure au sens de l’article 3, point 2), de la directive 2012/34/UE60 |
||
— Entreprises ferroviaires au sens de l’article 3, point 1), de la directive 2012/34/UE, y compris les exploitants d’installations de services au sens de l’article 3, point 12), de la directive 2012/34/UE |
||||
|
c) Transport par voie navigable |
— Sociétés de transport terrestre, maritime et côtier de passagers et de fret au sens de l’annexe I du règlement (CE) nº 725/200461, à l’exclusion des navires exploités à titre individuel par ces sociétés |
||
— Entités gestionnaires des ports au sens de l’article 3, point 1), de la directive 2005/65/CE62, y compris les installations portuaires au sens de l’article 2, point 11), du règlement (CE) nº 725/2004, ainsi que les entités exploitant des ateliers et des équipements à l’intérieur des ports |
||||
— Exploitants de services de trafic maritime au sens de l’article 3, point o), de la directive 2002/59/CE63 du Parlement européen et du Conseil |
||||
|
d) Transport routier |
Autorités routières au sens de l’article 2, point 12), du règlement délégué (UE) 2015/962 de la Commission64, chargées du contrôle de gestion du trafic |
||
— Systèmes de transport intelligents au sens de l’article 4, point 1), de la directive 2010/40/UE65 |
||||
|
e) Transports publics |
— Autorités de transports publics et opérateurs de service public au sens de l’article 2, points b), et d), du règlement (CE) n° 1370/200765 bis du Parlement européen et du Conseil65 bis |
||
|
|
_____________________ |
||
|
|
65 bis Règlement (CE) n° 1370/2007 du Parlement européen et du Conseil du 23 octobre 2007 relatif aux services publics de transport de voyageurs par chemin de fer et par route, et abrogeant les règlements (CEE) n° 1191/69 et (CEE) n° 1107/70 du Conseil (JO L 315 du 3.12.2007, p. 1) |
||
Amendement 94
Proposition de directive
Annexe – section 5 – sous-section 6 (nouveau)
|
Amendement 95
Proposition de directive
Annexe – Secteur 9 – Titre
|
|
Texte proposé par la Commission |
Amendement |
9. Administration publique |
9. Administration publique et institutions démocratiques |
Amendement 96
Proposition de directive
Annexe – Secteur 9 – Type d’identité – 3 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
— Gouvernements et assemblées au niveau central, régional ou local |
Amendement 97
Proposition de directive
Annexe – Secteur 10 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
10 bis. Production, transformation et distribution des denrées alimentaires |
|
— Entreprises du secteur alimentaire visées à l’article 3, point 2, du règlement (CE) n° 178/2002 du Parlement européen et du Conseil1 bis |
|
________________ |
|
1 bis Règlement (CE) nº 178/2002 du Parlement européen et du Conseil du 28 janvier 2002 établissant les principes généraux et les prescriptions générales de la législation alimentaire, instituant l’Autorité européenne de sécurité des aliments et fixant des procédures relatives à la sécurité des denrées alimentaires (JO L 31 du 1.2.2002, p. 1). |
AVIS DE LA COMMISSION DE L’INDUSTRIE, DE LA RECHERCHE ET DE L’ÉNERGIE (2.7.2021)
à l’intention de la commission des libertés civiles, de la justice et des affaires intérieures
sur la proposition de directive du Parlement européen et du Conseil sur la résilience des entités critiques
(COM(2020)0829 – C9-0421/2020 – (2020)0365(COD))
Rapporteur pour avis: Nils Torvalds
(*) Commissions associées – article 57 du règlement intérieur
AMENDEMENTS
La commission de l’industrie, de la recherche et de l’énergie invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à prendre en considération les amendements suivants:
Amendement 1
Proposition de directive
Considérant 1
|
|
Texte proposé par la Commission |
Amendement |
(1) La directive 2008/114/CE du Conseil17 établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l’énergie et des transports, dont la perturbation des activités ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l’évaluation de la directive 2008/114/CE réalisée en 201918 a montré qu’en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. Par conséquent, il est nécessaire de réorienter l’approche en vue de garantir la résilience des entités critiques, c’est-à-dire leur capacité à atténuer les conséquences d’incidents susceptibles de perturber leur fonctionnement, à les absorber, à s’y adapter et à s’en remettre. |
(1) La directive 2008/114/CE du Conseil17 établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l’énergie et des transports, dont la perturbation des activités ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l’évaluation de la directive 2008/114/CE réalisée en 201918 a montré qu’en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. Par conséquent, il est nécessaire de réorienter l’approche en vue de garantir la résilience des entités critiques, c’est-à-dire leur capacité à atténuer les conséquences d’incidents susceptibles de perturber leur fonctionnement, mettant ce faisant en danger l’ensemble de l’économie et le bien-être social des citoyens, à les absorber, à y réagir, à s’y adapter et à s’en remettre. |
__________________ |
__________________ |
17 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75). |
17 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75). |
18 SWD(2019) 308. |
18 SWD(2019) 308. |
Amendement 2
Proposition de directive
Considérant 3
|
|
Texte proposé par la Commission |
Amendement |
(3) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, des infrastructures du marché financier, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables. |
(3) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, des infrastructures du marché financier, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de l’alimentation, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Les progrès de l’innovation et de la technologie contribuent à l’émergence de nouvelles formes et de nouveaux modèles d’infrastructure qui utilisent des innovations visant à réduire les coûts et à accroître l’efficacité, mais qui peuvent avoir des effets sur le plan des risques et de la résilience. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La résilience des infrastructures énergétiques joue un rôle important dans la croissance économique de l’Union et contribue à garantir un niveau de vie décent aux consommateurs d’énergie considérés comme vulnérables. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables. |
Amendement 3
Proposition de directive
Considérant 4
|
|
Texte proposé par la Commission |
Amendement |
(4) Les entités participant à la fourniture de services essentiels sont de plus en plus soumises à des exigences divergentes imposées par les législations des États membres. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités risque non seulement d’avoir une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, mais entrave aussi le bon fonctionnement du marché intérieur. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont considérés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte des charges administratives supplémentaires et inutiles pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. |
(4) Les entités participant à la fourniture de services essentiels sont de plus en plus soumises à des exigences divergentes imposées par les législations des États membres. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités risque non seulement d’avoir une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, mais entrave aussi le bon fonctionnement du marché intérieur. La résilience des entités critiques revêt une grande importance pour le fonctionnement du marché intérieur et la sécurité de l’Union et de ses citoyens. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont considérés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte des charges administratives supplémentaires et inutiles pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. |
Amendement 4
Proposition de directive
Considérant 5
|
|
Texte proposé par la Commission |
Amendement |
(5) Il est donc nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture de services essentiels dans le marché intérieur et de renforcer la résilience des entités critiques. |
(5) Il est donc nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture de services essentiels dans le marché intérieur et de renforcer la résilience des entités critiques. Comme la présente directive prévoit des règles minimales, les États membres sont libres d’adopter ou de maintenir des règles plus strictes pour garantir la fourniture de services essentiels dans le marché intérieur et renforcer la résilience des entités critiques lorsqu’ils les jugent nécessaires pour protéger la sécurité nationale. |
Amendement 5
Proposition de directive
Considérant 8
|
|
Texte proposé par la Commission |
Amendement |
(8) Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques et dans un souci d’uniformité, une approche cohérente entre la présente directive et la directive (UE) XX/YY du Parlement européen et du Conseil20 [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (ci-après la «directive SRI 2»)] est indispensable, chaque fois que c’est possible. Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques en matière de cybersécurité, la directive SRI 2 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est dûment traitée dans la directive SRI 2, les questions qu’elle englobe devraient être exclues du champ d’application de la présente directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques. |
(8) Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques et dans un souci d’uniformité, une approche cohérente entre la présente directive et la directive (UE) XX/YY du Parlement européen et du Conseil20 [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (ci-après la «directive SRI 2»)] est indispensable, chaque fois que c’est possible en évitant tout chevauchement susceptible de nuire à l’efficacité législative de ces deux directives. Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques en matière de cybersécurité, la directive SRI 2 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est dûment traitée dans la directive SRI 2, les questions qu’elle englobe devraient être exclues du champ d’application de la présente directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques. |
__________________ |
__________________ |
20 [Référence à la directive SRI 2, après adoption.] |
20 [Référence à la directive SRI 2, après adoption.] |
Amendement 6
Proposition de directive
Considérant 11
|
|
Texte proposé par la Commission |
Amendement |
(11) Les mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient adopter une approche fondée sur les risques orientant les efforts vers les entités les plus utiles à l’exercice de fonctions sociétales ou d’activités économiques vitales. Afin de garantir une telle approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation de tous les risques naturels et d’origine humaine susceptibles d’affecter la fourniture de services essentiels, y compris les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies, et les menaces antagonistes, dont les infractions terroristes. Lorsqu’ils procèdent à ces évaluations des risques, les États membres devraient tenir compte d’autres évaluations générales ou sectorielles des risques effectuées en vertu d’autres actes du droit de l’Union et prendre en considération les dépendances entre les secteurs, y compris à l’égard des autres États membres et des pays tiers. Les résultats de l’évaluation des risques devraient être utilisés dans le processus de recensement des entités critiques et pour aider ces entités à satisfaire aux exigences en matière de résilience énoncées par la présente directive. |
(11) Les mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient adopter une approche fondée sur les risques orientant les efforts vers les entités les plus utiles à l’exercice de fonctions sociétales ou d’activités économiques vitales. Afin de garantir une telle approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation de tous les risques naturels et d’origine humaine susceptibles d’affecter la fourniture de services essentiels, y compris les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies, et les menaces antagonistes, dont les infractions terroristes et l’infiltration par des réseaux criminels. Lorsqu’ils procèdent à ces évaluations des risques, les États membres devraient tenir compte d’autres évaluations générales ou sectorielles des risques effectuées en vertu d’autres actes du droit de l’Union et prendre en considération les dépendances entre les secteurs, y compris à l’égard des autres États membres et des pays tiers. Les résultats de l’évaluation des risques devraient être utilisés dans le processus de recensement des entités critiques et pour aider ces entités à satisfaire aux exigences en matière de résilience énoncées par la présente directive. |
Amendement 7
Proposition de directive
Considérant 12
|
|
Texte proposé par la Commission |
Amendement |
(12) Afin de garantir que toutes les entités concernées sont soumises à ces exigences et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir compte des spécificités nationales. Par conséquent, il convient de définir des critères de recensement des entités critiques. Dans un souci d’efficacité, d’efficience, de cohérence et de sécurité juridique, il convient également d’établir des règles appropriées applicables à la notification et à la coopération relatives à ce recensement, ainsi qu’aux conséquences juridiques de celui-ci. Afin de permettre à la Commission d’évaluer la bonne application de la présente directive, les États membres devraient lui communiquer, d’une manière aussi détaillée et spécifique que possible, les informations pertinentes et, en tout état de cause, la liste des services essentiels, le nombre d’entités critiques recensées dans chaque secteur et sous-secteur mentionné à l’annexe et le ou les services essentiels fournis par chaque entité, ainsi que les seuils éventuellement appliqués. |
(12) Afin de garantir que toutes les entités concernées sont soumises à ces exigences et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir compte des spécificités nationales. La présente directive répond à la nécessité d’assurer la continuité des services essentiels au maintien des fonctions sociétales ou des activités économiques vitales, sans préjudice des compétences nationales en matière d’organisation et de prestation de services publics. Par conséquent, il convient de définir des critères de recensement des entités critiques. Dans un souci d’efficacité, d’efficience, de cohérence et de sécurité juridique, il convient également d’établir des règles appropriées applicables à la notification et à la coopération relatives à ce recensement, ainsi qu’aux conséquences juridiques de celui-ci. Afin de permettre à la Commission d’évaluer la bonne application de la présente directive, les États membres devraient lui communiquer, d’une manière aussi détaillée et spécifique que possible, les informations pertinentes et, en tout état de cause, la liste des services essentiels, le nombre d’entités critiques recensées dans chaque secteur et sous-secteur mentionné à l’annexe et le ou les services essentiels fournis par chaque entité, ainsi que les seuils éventuellement appliqués. |
Amendement 8
Proposition de directive
Considérant 16
|
|
Texte proposé par la Commission |
Amendement |
(16) Les États membres devraient désigner les autorités chargées de superviser l’application des règles de la présente directive et, s’il y a lieu, de les faire respecter, et veiller à ce que ces autorités disposent des pouvoirs et des ressources adéquats. Compte tenu des différences entre les structures de gouvernance nationales et afin de préserver les dispositifs sectoriels existants ou les organismes de surveillance et de réglementation de l’Union, et afin d’éviter la duplication des efforts, les États membres devraient pouvoir désigner plus d’une autorité compétente. Dans ce cas, ils devraient toutefois définir clairement les tâches respectives des autorités concernées et veiller à ce qu’elles coopèrent de manière harmonieuse et efficace. Toutes les autorités compétentes devraient également coopérer plus généralement avec d’autres autorités concernées, tant au niveau national qu’au niveau de l’Union. |
(16) Les États membres devraient désigner les autorités chargées de superviser l’application des règles de la présente directive et, s’il y a lieu, de les faire respecter, et veiller à ce que ces autorités disposent des pouvoirs et des ressources adéquats. Compte tenu des différences entre les structures de gouvernance nationales et afin de préserver les dispositifs sectoriels existants au niveau national ou de l’Union ou les organismes de surveillance et de réglementation de l’Union, et des États membres et d’éviter la duplication des efforts, les États membres devraient pouvoir désigner plus d’une autorité compétente. Dans ce cas, ils devraient toutefois définir clairement les tâches respectives des autorités concernées et veiller à ce qu’elles coopèrent de manière harmonieuse et efficace. Toutes les autorités compétentes devraient également coopérer plus généralement avec d’autres autorités concernées, tant au niveau national qu’au niveau de l’Union. |
Amendement 9
Proposition de directive
Considérant 18
|
|
Texte proposé par la Commission |
Amendement |
(18) Étant donné qu’en vertu de la directive SRI 2, les entités recensées en tant qu’entités critiques, ainsi que les entités identifiées dans le secteur des infrastructures numériques qui doivent être considérées comme équivalentes aux entités critiques en vertu de la présente directive sont soumises aux exigences en matière de cybersécurité imposées par la directive SRI 2, les autorités compétentes désignées en vertu des deux directives devraient coopérer, notamment en ce qui concerne les risques et incidents de cybersécurité touchant ces entités. |
(18) Les entités recensées en tant qu’entités critiques en vertu de la présente directive, ainsi que les entités dans le secteur des infrastructures numériques qui doivent être considérées comme équivalentes aux entités critiques en vertu de la présente directive sont soumises aux exigences en matière de cybersécurité imposées par la directive SRI 2. Par conséquent, les autorités compétentes désignées en vertu des deux directives devraient coopérer, notamment en ce qui concerne les risques et incidents de cybersécurité touchant ces entités. Les États membres devraient prendre des mesures pour éviter les doubles déclarations et les doubles contrôles, pour s’assurer que les stratégies et exigences prévues par la présente directive et la directive SRI 2 sont complémentaires et que les entités critiques ne sont pas soumises à des formalités administratives supplémentaires. |
Amendement 10
Proposition de directive
Considérant 19
|
|
Texte proposé par la Commission |
Amendement |
(19) Les États membres devraient aider les entités critiques à renforcer leur résilience, conformément à leurs obligations en vertu de la présente directive, sans préjudice de la responsabilité juridique qui incombe aux entités de garantir le respect de ces obligations. En particulier, les États membres pourraient élaborer des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience et dispenser des formations au personnel des entités critiques. En outre, compte tenu des interdépendances entre les entités et les secteurs, les États membres devraient mettre en place des outils de partage d’informations pour favoriser le partage volontaire d’informations entre les entités critiques, sans préjudice de l’application des règles de concurrence énoncées dans le traité sur le fonctionnement de l’Union européenne. |
(19) Les États membres devraient aider les entités critiques à renforcer leur résilience, conformément à leurs obligations en vertu de la présente directive, sans préjudice de la responsabilité juridique qui incombe aux entités de garantir le respect de ces obligations. En particulier, les États membres devraient élaborer des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience et dispenser des formations au personnel des entités critiques. En outre, compte tenu des interdépendances entre les entités et les secteurs, les États membres devraient mettre en place des outils de partage d’informations pour favoriser le partage volontaire d’informations entre les entités critiques, sans préjudice de l’application des règles de concurrence énoncées dans le traité sur le fonctionnement de l’Union européenne. |
Amendement 11
Proposition de directive
Considérant 25
|
|
Texte proposé par la Commission |
Amendement |
(25) Les entités critiques devraient notifier aux autorités compétentes des États membres, dès qu’elles sont raisonnablement en mesure de le faire compte tenu des circonstances, les incidents qui perturbent ou sont susceptibles de perturber de manière significative leurs activités. La notification devrait permettre aux autorités compétentes de réagir rapidement et de manière adéquate aux incidents et de disposer d’une vue d’ensemble complète des risques globaux auxquels sont confrontées les entités critiques. À cette fin, il convient d’établir une procédure de notification de certains incidents et de définir des paramètres permettant de déterminer quand la perturbation réelle ou potentielle est importante et requiert une notification des incidents. Compte tenu des incidences transfrontières potentielles de telles perturbations, il convient de mettre en place une procédure permettant aux États membres d’informer les autres États membres concernés par l’intermédiaire de points de contact uniques. |
(25) Les entités critiques devraient notifier aux autorités compétentes des États membres, dès qu’elles sont raisonnablement en mesure de le faire compte tenu des circonstances, les incidents qui perturbent ou sont susceptibles de perturber de manière significative leurs activités. La notification devrait permettre aux autorités compétentes de réagir rapidement et de manière adéquate aux incidents pour éviter des conséquences encore plus négatives et de disposer d’une vue d’ensemble complète des risques globaux auxquels sont confrontées les entités critiques. À cette fin, il convient d’établir une procédure de notification de certains incidents et de définir des paramètres permettant de déterminer quand la perturbation réelle ou potentielle est importante et requiert une notification des incidents. Compte tenu des incidences transfrontières potentielles de telles perturbations, il convient de mettre en place une procédure permettant aux États membres d’informer les autres États membres concernés par l’intermédiaire de points de contact uniques. Compte tenu du caractère sensible de certains événements, il convient d’établir des formes appropriées de confidentialité, ainsi que des mécanismes visant à empêcher la diffusion de données susceptibles de compromettre la sécurité nationale. |
Amendement 12
Proposition de directive
Considérant 30
|
|
Texte proposé par la Commission |
Amendement |
(30) Les États membres devraient veiller à ce que leurs autorités compétentes disposent de certains pouvoirs spécifiques pour assurer la bonne application et le contrôle du respect de la présente directive à l’égard des entités critiques, lorsque ces entités relèvent de leur compétence conformément à la présente directive. Ces pouvoirs devraient notamment comprendre le pouvoir d’effectuer des inspections, une surveillance et des audits, d’exiger des entités critiques qu’elles fournissent des informations et des éléments de preuve concernant les mesures qu’elles ont prises pour se conformer à leurs obligations et, s’il y a lieu, d’adresser des injonctions afin qu’il soit remédié aux violations constatées. Lorsqu’ils adressent de telles injonctions, les États membres ne devraient pas exiger de mesures allant au-delà de ce qui est nécessaire et proportionné pour garantir le respect par l’entité critique concernée de ses obligations, compte tenu notamment de la gravité de la violation et de la capacité économique de l’entité critique. Plus généralement, ces pouvoirs devraient s’accompagner de garanties appropriées et effectives, devant être précisées dans le droit national, conformément aux exigences découlant de la charte des droits fondamentaux de l’Union européenne. Lorsqu’elles évaluent le respect par les entités critiques des obligations qui leur incombent en vertu de la présente directive, les autorités compétentes désignées au titre de la présente directive devraient pouvoir demander aux autorités compétentes désignées en vertu de la directive SRI 2 d’évaluer la cybersécurité de ces entités. Les autorités compétentes devraient coopérer et échanger des informations à cette fin. |
(30) Les États membres devraient veiller à ce que leurs autorités compétentes disposent de certains pouvoirs spécifiques pour assurer la bonne application et le contrôle du respect de la présente directive à l’égard des entités critiques, lorsque ces entités relèvent de leur compétence conformément à la présente directive. Ces pouvoirs devraient notamment comprendre le pouvoir d’effectuer des inspections, une surveillance et des audits, d’exiger des entités critiques qu’elles fournissent des informations et des éléments de preuve concernant les mesures qu’elles ont prises pour se conformer à leurs obligations et, s’il y a lieu, d’adresser des injonctions afin qu’il soit remédié aux violations constatées. Lorsqu’ils adressent de telles injonctions, les États membres ne devraient pas exiger de mesures allant au-delà de ce qui est nécessaire et proportionné pour garantir le respect par l’entité critique concernée de ses obligations, compte tenu notamment de la gravité de la violation et de la capacité économique de l’entité critique. Plus généralement, ces pouvoirs devraient s’accompagner de garanties appropriées et effectives, devant être précisées dans le droit national, conformément aux exigences découlant de la charte des droits fondamentaux de l’Union européenne. L’évaluation des entités critiques au titre de la présente directive, pour les aspects qui relèvent de la directive SRI 2, comme la cybersécurité physique et non physique, incombe aux autorités compétentes désignées en vertu de la directive SRI 2. Par ailleurs, lorsqu’elles évaluent le respect par les entités critiques des obligations qui leur incombent en vertu de la présente directive, les autorités compétentes désignées au titre de la présente directive devraient pouvoir demander aux autorités compétentes désignées en vertu de la directive SRI 2 d’évaluer la cybersécurité de ces entités. Les autorités compétentes devraient coopérer et échanger des informations à cette fin. |
Amendement 13
Proposition de directive
Article 1 – paragraphe 1 – point a
|
|
Texte proposé par la Commission |
Amendement |
a) impose aux États membres l’obligation d’adopter certaines mesures visant à assurer la fourniture dans le marché intérieur de services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales, en particulier de recenser les entités critiques et les entités devant être traitées comme équivalentes à certains égards, et de leur permettre de s’acquitter de leurs obligations; |
a) impose aux États membres l’obligation d’adopter certaines mesures visant à assurer la fourniture ininterrompue dans le marché intérieur de services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales, en particulier de recenser les entités critiques et les entités devant être traitées comme équivalentes à certains égards, et de leur permettre de s’acquitter de leurs obligations; |
Amendement 14
Proposition de directive
Article 1 – paragraphe 2
|
|
Texte proposé par la Commission |
Amendement |
2. La présente directive ne s’applique pas aux questions couvertes par la directive (UE) XX/YY [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (la «directive SRI 2»)], sans préjudice de l’article 7. |
2. La présente directive ne s’applique pas aux questions couvertes par la directive (UE) XX/YY [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (la «directive SRI 2»)], sans préjudice de l’article 7. Vu les liens qui unissent la cybersécurité et la sécurité physique des entités, les États membres veillent à coordonner la mise en œuvre des deux directives. |
Amendement 15
Proposition de directive
Article 1 – paragraphe 3 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
3 bis. Les États membres veillent à ce que leurs stratégies en matière de sécurité, y compris les stratégies sectorielles, prévoient un cadre politique coordonné en vue d’une coordination renforcée en matière de partage d’informations sur les incidents et menaces et l’exercice des tâches de surveillance de façon à éviter le dédoublement des exigences et des activités d’établissement de rapport et de contrôle. |
Amendement 16
Proposition de directive
Article 2 – alinéa 1 – point 6
|
|
Texte proposé par la Commission |
Amendement |
(6) «risque»: toute circonstance ou tout événement ayant une incidence négative potentielle sur la résilience des entités critiques; |
(6) «risque»: toute circonstance ou tout événement ayant une incidence négative potentielle sur les activités des entités critiques; |
Amendement 17
Proposition de directive
Article 3 – paragraphe 2 – alinéa 1 – point d bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
d bis) les aspects pertinents de la stratégie nationale en matière de cybersécurité, comme le prévoit la directive SRI 2, et de toute autre stratégie nationale sectorielle afin d’en assurer la coordination, la complémentarité et les synergies. |
Amendement 18
Proposition de directive
Article 3 – paragraphe 3 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
3 bis. Lors de l’élaboration de leurs stratégies, les États membres peuvent consulter les autorités locales et régionales et tenir compte des capacités locales. |
Amendement 19
Proposition de directive
Article 4 – paragraphe 1 – alinéa 2
|
|
Texte proposé par la Commission |
Amendement |
L’évaluation des risques tient compte de tous les risques naturels et d’origine humaine, y compris les accidents, les catastrophes naturelles, les urgences de santé publique et les menaces antagonistes, dont les infractions terroristes au sens de la directive (UE) 2017/541 du Parlement européen et du Conseil34. |
L’évaluation des risques tient compte de tous les risques naturels et d’origine humaine, y compris les accidents, les catastrophes naturelles, les urgences de santé publique et les menaces antagonistes, dont les infractions terroristes au sens de la directive (UE) 2017/541 du Parlement européen et du Conseil34. Le cas échéant, l’évaluation des risques tient compte des capacités des collectivités locales et régionales. |
__________________ |
__________________ |
34 Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6). |
34 Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6). |
Amendement 20
Proposition de directive
Article 4 – paragraphe 5
|
|
Texte proposé par la Commission |
Amendement |
5. La Commission peut, en coopération avec les États membres, élaborer un modèle commun de rapport facultatif aux fins du paragraphe 4. |
5. La Commission élabore, en coopération avec les États membres, un modèle commun de rapport facultatif aux fins du paragraphe 4. |
Amendement 21
Proposition de directive
Article 5 – paragraphe 4 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
4 bis. Les États membres ont la possibilité de recenser les entités qu’ils avaient qualifiées d’entités essentielles en vertu de la directive SRI 2 comme entités critiques en vertu de la présente directive. Lorsqu’un État membre décide de ne pas recenser les entités essentielles en vertu de la directive SRI 2 comme des entités critiques en vertu de la présente directive, il motive sa décision. |
Amendement 22
Proposition de directive
Article 6 – paragraphe 1 – point e
|
|
Texte proposé par la Commission |
Amendement |
e) la zone géographique susceptible d’être touchée par un incident, y compris eu égard à toute incidence transfrontière; |
e) la zone géographique susceptible d’être touchée par un incident, y compris eu égard à toute incidence transfrontière, compte tenu de la vulnérabilité associée au degré d’isolement de certains types de zones géographiques, telles que les régions insulaires, les régions ultrapériphériques ou les zones montagneuses; |
Amendement 23
Proposition de directive
Article 8 – paragraphe 2
|
|
Texte proposé par la Commission |
Amendement |
2. Chaque État membre désigne, au sein de l’autorité compétente, un point de contact unique chargé d’exercer une fonction de liaison afin d’assurer la coopération transfrontière avec les autorités compétentes des autres États membres et avec le groupe sur la résilience des entités critiques visé à l’article 16 (le «point de contact unique»). |
2. Chaque État membre désigne, au sein de l’autorité compétente, un point de contact unique chargé d’exercer une fonction de liaison afin d’assurer la coopération transfrontière avec les autorités compétentes des autres États membres, avec le groupe sur la résilience des entités critiques visé à l’article 16 (le «point de contact unique») et avec les entités critiques. Chaque État membre veille à ce que le point de contact désigné en vertu de la directive SRI 2 constitue le point de contact unique en vertu de la présente directive. |
Amendement 24
Proposition de directive
Article 8 – paragraphe 3
|
|
Texte proposé par la Commission |
Amendement |
3. Au plus tard le [trois ans et six mois après l’entrée en vigueur de la présente directive], et tous les ans par la suite, les points de contact uniques présentent à la Commission et au groupe sur la résilience des entités critiques un rapport de synthèse sur les notifications reçues, mentionnant le nombre de notifications, la nature des incidents signalés et les mesures prises conformément à l’article 13, paragraphe 3. |
3. Au plus tard le [trois ans et six mois après l’entrée en vigueur de la présente directive], et au premier trimestre de chaque année par la suite, les points de contact uniques présentent à la Commission et au groupe sur la résilience des entités critiques un rapport de synthèse sur les notifications reçues, mentionnant le nombre de notifications, la nature des incidents signalés et les mesures prises conformément à l’article 13, paragraphe 3. |
Amendement 25
Proposition de directive
Article 8 – paragraphe 5
|
|
Texte proposé par la Commission |
Amendement |
5. Les États membres font en sorte que leurs autorités compétentes, s’il y a lieu, et conformément au droit de l’Union et au droit national, consultent les autres autorités nationales concernées, en particulier celles chargées de la protection civile, de la répression et de la protection des données à caractère personnel, ainsi que les parties intéressées concernées, y compris les entités critiques, et coopèrent avec elles. |
5. Les États membres font en sorte que leurs autorités compétentes, s’il y a lieu, et conformément au droit de l’Union et au droit national, consultent les autres autorités nationales concernées, ainsi que, le cas échéant, les autorités locales et régionales, en particulier celles chargées de la protection civile, de la répression et de la protection des données à caractère personnel, ainsi que les parties intéressées concernées, y compris les entités critiques, et coopèrent avec elles. |
Amendement 26
Proposition de directive
Article 9 – paragraphe 1
|
|
Texte proposé par la Commission |
Amendement |
1. Les États membres aident les entités critiques à renforcer leur résilience. Dans ce cadre, ils peuvent élaborer des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience et dispenser des formations au personnel des entités critiques. |
1. Les États membres aident les entités critiques à renforcer leur résilience, à élaborer des protocoles, des accords, une coopération et un échange d’information et d’expertise entre le secteur public et le secteur privé. Dans ce cadre, ils élaborent notamment des documents d’orientation et des méthodologies, apporter leur soutien à l’organisation d’exercices visant à tester la résilience et dispenser des formations périodiques au personnel des entités critiques. |
Amendement 27
Proposition de directive
Article 9 – paragraphe 1 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
1 bis. Si nécessaire, les États membres allouent des ressources suffisantes pour aider les entités critiques à répondre aux exigences requises, notamment pour couvrir les frais supplémentaires liés aux activités d’apprentissage et de formation ou à l’embauche de nouveaux effectifs affectés à l’établissement de rapports, aux actions de suivi et aux réexamens. |
Amendement 28
Proposition de directive
Article 9 – paragraphe 3
|
|
Texte proposé par la Commission |
Amendement |
3. Les États membres mettent en place des outils de partage d’informations pour faciliter le partage volontaire d’informations entre les entités critiques sur les questions couvertes par la présente directive, conformément au droit de l’Union et au droit national en matière, en particulier, de concurrence et de protection des données à caractère personnel. |
3. Les États membres mettent en place des outils de partage d’informations pour faciliter le partage volontaire d’informations entre les entités critiques sur les questions couvertes par la présente directive afin de développer l’échange de connaissances et d’améliorer la transparence tant au sein des secteurs qu’entre les différents secteurs, conformément au droit de l’Union et au droit national en matière, en particulier, de concurrence et de protection des données à caractère personnel. |
Amendement 29
Proposition de directive
Article 11 – paragraphe 1 – point c bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
c bis) prévenir les incidents susceptibles de menacer la sécurité et la poursuite de la fourniture des biens et des services; |
Amendement 30
Proposition de directive
Article 11 – paragraphe 1 – point d bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
d bis) utiliser des normes et spécifications européennes favorisant la résilience des entités critiques sans imposer un type particulier de service ou de technologie ni opérer de discrimination en leur faveur; |
Amendement 31
Proposition de directive
Article 11 – paragraphe 1 – point e
|
|
Texte proposé par la Commission |
Amendement |
e) assurer une gestion adéquate de la sécurité du personnel, notamment en définissant des catégories de personnel exerçant des fonctions critiques, en établissant des droits d’accès aux zones, installations et autres infrastructures sensibles, de même qu’aux informations sensibles, ainsi qu’en identifiant des catégories spécifiques de personnel eu égard à l’article 12; |
e) assurer une gestion adéquate de la sécurité et de la formation du personnel, notamment en définissant des catégories de personnel exerçant des fonctions critiques, en établissant des droits d’accès aux zones, installations et autres infrastructures sensibles, de même qu’aux informations sensibles, ainsi qu’en identifiant des catégories spécifiques de personnel eu égard à l’article 12; |
Amendement 32
Proposition de directive
Article 11 – paragraphe 1 – point f
|
|
Texte proposé par la Commission |
Amendement |
f) sensibiliser le personnel concerné aux mesures visées aux points a) à e). |
f) sensibiliser les opérateurs concernés et leur personnel aux mesures visées aux points a) à e), par des séances régulières de formation. |
Amendement 33
Proposition de directive
Article 12 – paragraphe 1
|
|
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les entités critiques puissent soumettre des demandes de vérification des antécédents des personnes qui font partie de certaines catégories spécifiques de leur personnel, y compris les personnes dont le recrutement est envisagé à des postes relevant de ces catégories, et à ce que ces demandes soient évaluées rapidement par les autorités chargées de procéder à cette vérification. |
1. Les États membres veillent à ce que les entités critiques puissent soumettre des demandes dûment motivées de vérification des antécédents des personnes qui font partie de certaines catégories spécifiques de leur personnel, définies selon des critères nationaux communs, y compris les personnes dont le recrutement est envisagé pour exercer des fonctions critiques relevant de ces catégories, et à ce que ces demandes soient évaluées rapidement par les autorités chargées de procéder à cette vérification. |
Amendement 34
Proposition de directive
Article 12 – paragraphe 2 – alinéa 1 – partie introductive
|
|
Texte proposé par la Commission |
Amendement |
2. Conformément au droit de l’Union et au droit national applicables, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil38, la vérification des antécédents visée au paragraphe 1: |
2. Conformément au droit de l’Union et au droit national applicables, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil38, les États membres veillent à ce que la vérification des antécédents visée au paragraphe 1soit effectuée dans le seul but d’évaluer un risque potentiel pour la sécurité de l’entité critique et dans le respect des droits fondamentaux de la personne concernée. Cette vérification: |
__________________ |
__________________ |
38 OJ L 119, 4.5.2016, p. 1. |
38 OJ L 119, 4.5.2016, p. 1. |
Amendement 35
Proposition de directive
Article 12 – paragraphe 2 – alinéa 1 – point c
|
|
Texte proposé par la Commission |
Amendement |
c) prend en considération les emplois antérieurs, les études et les hiatus éventuels dans le parcours de formation ou d’emploi figurant dans le curriculum vitae de la personne, au cours des cinq dernières années au moins et des dix dernières années au plus. |
c) prend en considération, dans des cas exceptionnels et sur la base de critères nationaux, les emplois antérieurs, les études et les hiatus éventuels dans le parcours de formation ou d’emploi figurant dans le CV de la personne, au cours des cinq dernières années au moins et des dix dernières années au plus. |
Amendement 36
Proposition de directive
Article 13 – paragraphe 1
|
|
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les entités critiques notifient dans les meilleurs délais à l’autorité compétente les incidents qui perturbent ou sont susceptibles de perturber de manière significative leurs activités. Les notifications comprennent toutes les informations disponibles nécessaires pour permettre à l’autorité compétente de comprendre la nature, la cause et les conséquences possibles de l’incident, y compris afin de déterminer tout impact transfrontière de l’incident. Cette notification n’accroît pas la responsabilité des entités critiques. |
1. Les États membres veillent à ce que les entités critiques se bornent à notifier dans les meilleurs délais à l’autorité compétente les incidents qui perturbent de manière significative leurs activités pour ainsi éviter tant la surinformation que les échanges inutiles de données et ainsi garantir le bon fonctionnement des autorités nationales et des entités privées. Les notifications comprennent toutes les informations disponibles nécessaires pour permettre à l’autorité compétente de comprendre la nature, la cause et les conséquences possibles de l’incident, y compris afin de déterminer tout impact transfrontière de l’incident. Cette notification n’accroît pas la responsabilité des entités critiques. |
Amendement 37
Proposition de directive
Article 13 – paragraphe 2 – point -a (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
-a) les effets sur la vie humaine et les conséquences environnementales; |
Amendement 38
Proposition de directive
Article 13 – paragraphe 2 – point c
|
|
Texte proposé par la Commission |
Amendement |
c) la zone géographique touchée par la perturbation ou la perturbation potentielle. |
c) la zone géographique touchée par la perturbation ou la perturbation potentielle, compte tenu de son éventuel isolement géographique. |
Amendement 39
Proposition de directive
Article 16 – paragraphe 2 – alinéa 1
|
|
Texte proposé par la Commission |
Amendement |
2. Le groupe sur la résilience des entités critiques est composé de représentants des États membres et de la Commission. Lorsque c’est utile pour l’exécution de ses tâches, le groupe sur la résilience des entités critiques peut inviter des représentants des parties intéressées à participer à ses travaux. |
2. Le groupe sur la résilience des entités critiques est composé de représentants des États membres et de la Commission. Lorsque c’est utile pour l’exécution de ses tâches, le groupe sur la résilience des entités critiques peut inviter des représentants des parties concernées à participer à ses travaux et associer activement les PME, la société civile et les syndicats, notamment aux actions de formation. |
Amendement 40
Proposition de directive
Article 16 – paragraphe 5
|
|
Texte proposé par la Commission |
Amendement |
5. Le groupe sur la résilience des entités critiques se réunit régulièrement et au moins une fois par an avec le groupe de coopération institué en vertu de [la directive SRI 2] afin de promouvoir la coopération stratégique et l’échange d’informations. |
5. Le groupe sur la résilience des entités critiques se réunit régulièrement et au moins une fois par an avec le groupe de coopération institué en vertu de [la directive SRI 2] afin de faciliter la coopération stratégique et l’échange d’informations. |
Amendement 41
Proposition de directive
Article 16 – paragraphe 7 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
7 bis. Le groupe sur la résilience des entités critiques peut donner accès à ses conclusions et à ses données sources sur demande, à des fins universitaires, de recherche en matière de sécurité ou à d’autres fins utiles. Les demandes d’accès devraient être motivées et justifiées et les données fournies devraient respecter les droits fondamentaux des personnes et être proportionnelles à l’influence exercée sur les entités en question. |
Amendement 42
Proposition de directive
Article 16 – paragraphe 7 ter (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
7 ter. La Commission crée un secrétariat commun pour le groupe sur la résilience des entités critiques et le groupe de coopération institué en vertu de [la directive SRI 2] afin de faciliter la communication entre ces deux groupes et, partant, de réduire autant que possible les ambiguïtés entre les différentes autorités désignées en vertu de la présente directive et de [la directive SRI 2]. |
Amendement 43
Proposition de directive
Article 17 – paragraphe 2 bis (nouveau)
|
|
Texte proposé par la Commission |
Amendement |
|
2 bis. Afin de recevoir les informations visées à l’article 8, paragraphe 3, et de les utiliser à bon escient, la Commission tient un registre européen des incidents dans le but de définir des bonnes pratiques et méthodes et de les partager. |
Amendement 44
Proposition de directive
Article 22 – alinéa 2
|
|
Texte proposé par la Commission |
Amendement |
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le rapport évalue en particulier l’incidence et la valeur ajoutée de la présente directive qui a pour objet de garantir la résilience des entités critiques et détermine si le champ d’application de la directive devrait être étendu à d’autres secteurs ou sous-secteurs. Le premier rapport est présenté le [six ans après l’entrée en vigueur de la présente directive] et évalue en particulier si le champ d’application de la directive devrait être étendu au secteur de la production, de la transformation et de la distribution des denrées alimentaires. |
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le rapport évalue en particulier l’incidence et la valeur ajoutée de la présente directive qui a pour objet de garantir la résilience des entités critiques et détermine si le champ d’application de la directive devrait être étendu à d’autres secteurs ou sous-secteurs. Le premier rapport est présenté le [six ans après l’entrée en vigueur de la présente directive]. À cette fin et dans le but de renforcer davantage la coopération stratégique, la Commission tient compte de tout document d’orientation non contraignant du groupe sur la résilience des entités critiques concernant l’expérience acquise au niveau stratégique. |
Amendement 45
Proposition de directive
Annexe - point 5 Santé (nouvelle)
|
||
Texte proposé par la Commission |
||
Secteur |
Sous-secteur |
Type d’entité |
|
||
Amendement |
||
|
|
Entités titulaires d’une autorisation de distribution au sens de l’article 79 de la directive 2001/83/CE |
Amendement 46
Proposition de directive
Annexe- point 8 bis (nouveau)
|
||
Texte proposé par la Commission |
||
Secteur |
Sous-secteur |
Type d’entité |
|
||
Amendement |
||
et de l’alimentation |
Marché de gros |
— Entreprises du secteur alimentaire visées à l’annexe I du règlement (CE) n° 853/2004 (1 bis) |
1 bis Règlement (CE) n° 853/2004 du Parlement européen et du Conseil du 29 avril 2004 fixant des règles spécifiques d’hygiène applicables aux denrées alimentaires d’origine animale (JO L 139 du 30.04.2004, p. 39). |
PROCÉDURE DE LA COMMISSION SAISIE POUR AVIS
Titre |
Résilience des entités critiques |
|||
Références |
COM(2020)0829 – C9-0421/2020 – 2020/0365(COD) |
|||
Commission compétente au fond Date de l’annonce en séance |
LIBE 11.2.2021 |
|
|
|
Avis émis par Date de l’annonce en séance |
ITRE 11.2.2021 |
|||
Commissions associées - date de l’annonce en séance |
29.4.2021 |
|||
Rapporteur(e) pour avis Date de la nomination |
Nils Torvalds 15.2.2021 |
|||
Examen en commission |
26.5.2021 |
|
|
|
Date de l’adoption |
1.7.2021 |
|
|
|
Résultat du vote final |
+: –: 0: |
58 0 14 |
||
Membres présents au moment du vote final |
Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Paolo Borchia, Marc Botenga, Markus Buchheit, Martin Buschmann, Cristian-Silviu Buşoi, Jerzy Buzek, Carlo Calenda, Maria da Graça Carvalho, Ignazio Corrao, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Pilar del Castillo Vera, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Jens Geier, Bart Groothuis, Christophe Grudler, Henrike Hahn, Robert Hajšel, Ivo Hristov, Romana Jerković, Eva Kaili, Seán Kelly, Izabela-Helena Kloc, Łukasz Kohut, Andrius Kubilius, Miapetra Kumpula-Natri, Thierry Mariani, Marisa Matias, Eva Maydell, Joëlle Mélin, Iskra Mihaylova, Dan Nica, Angelika Niebler, Ville Niinistö, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Clara Ponsatí Obiols, Manuela Ripa, Jérôme Rivière, Robert Roos, Massimiliano Salini, Sara Skyttedal, Jessica Stegrud, Beata Szydło, Riho Terras, Grzegorz Tobiszowski, Patrizia Toia, Evžen Tošenovský, Marie Toussaint, Isabella Tovaglieri, Viktor Uspaskich, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho |
|||
Suppléants présents au moment du vote final |
Klemen Grošelj, Alicia Homs Ginel, Elena Lizzi, Jutta Paulus, Susana Solís Pérez, Nils Torvalds |
VOTE FINAL PAR APPEL NOMINAL EN COMMISSION SAISIE POUR AVIS
58 |
+ |
NI |
Martin Buschmann, Clara Ponsatí Obiols, Viktor Uspaskich |
PPE |
François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Pilar del Castillo Vera, Christian Ehler, Seán Kelly, Andrius Kubilius, Eva Maydell, Angelika Niebler, Markus Pieper, Massimiliano Salini, Sara Skyttedal, Riho Terras, Henna Virkkunen, Pernille Weiss |
Renew |
Nicola Beer, Nicola Danti, Valter Flego, Bart Groothuis, Klemen Grošelj, Christophe Grudler, Iskra Mihaylova, Mauri Pekkarinen, Morten Petersen, Susana Solís Pérez, Nils Torvalds |
S&D |
Carlo Calenda, Josianne Cutajar, Niels Fuglsang, Lina Gálvez Muñoz, Jens Geier, Robert Hajšel, Alicia Homs Ginel, Ivo Hristov, Romana Jerković, Eva Kaili, Łukasz Kohut, Miapetra Kumpula-Natri, Dan Nica, Tsvetelina Penkova, Patrizia Toia, Carlos Zorrinho |
The Left |
Marisa Matias |
Verts/ALE |
Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Henrike Hahn, Ville Niinistö, Jutta Paulus, Manuela Ripa, Marie Toussaint |
14 |
0 |
ECR |
Izabela-Helena Kloc, Robert Roos, Jessica Stegrud, Beata Szydło, Grzegorz Tobiszowski, Evžen Tošenovský |
ID |
Paolo Borchia, Markus Buchheit, Elena Lizzi, Thierry Mariani, Joëlle Mélin, Jérôme Rivière, Isabella Tovaglieri |
The Left |
Marc Botenga |
Légende des signes utilisés:
+ : pour
- : contre
0 : abstention
AVIS DE LA COMMISSION DU MARCHÉ INTÉRIEUR ET DE LA PROTECTION DES CONSOMMATEURS (26.7.2021)
à l’intention de la commission des libertés civiles, de la justice et des affaires intérieures
sur la proposition de directive du Parlement européen et du Conseil sur la résilience des entités critiques
(COM(2020)0829 – C9-0421/2020 – 2020/0365(COD))
Rapporteur pour avis ‘(*)’: Alex Agius Saliba
(*) Commission associée – article 57 du règlement intérieur
JUSTIFICATION SUCCINCTE
Le 16 décembre 2020, la Commission a présenté une proposition de directive sur la résilience des entités critiques, accompagnée d’une analyse d’impact, fondée sur l’évaluation de la mise en œuvre de la directive 2008/114/CE sur les infrastructures critiques européennes (ICE) réalisée en 2019. Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques, la Commission a également présenté une proposition de directive SRI révisée («SRI 2»). Afin de garantir une cohérence totale, les obligations en matière de cyberrésilience fixées par la directive SRI 2 s’appliqueraient également aux entités critiques recensées dans le cadre de la nouvelle proposition.
La proposition de directive sur la résilience des entités critiques reflète le passage d’une approche axée sur la protection des actifs individuels vers le renforcement de la résilience des entités critiques qui les exploitent. Elle exigerait des États membres qu’ils adoptent des stratégies nationales et procèdent à des évaluations des risques régulières, et obligerait les entités critiques à renforcer leur résilience et leur capacité à fournir les services essentiels. La procédure de recensement des entités critiques serait différente de celle prévue dans la directive sur les ICE. La Commission exercerait également un contrôle spécifique des entités critiques revêtant une importance européenne particulière.
Le rapporteur soutient largement la proposition sur la résilience des entités critiques et estime qu’il est important que la commission IMCO reconnaisse la nécessité de mettre à jour les mesures existantes au niveau de l’Union pour la protection des services et infrastructures essentiels contre les risques physiques. Il est capital de renforcer la résilience des entités critiques dans les États membres et d’équilibrer les conditions de concurrence pour celles-ci à travers l’Union, compte tenu de l’interdépendance croissante entre les secteurs, les entités et les services dans le marché intérieur.
La commission IMCO est associée, conformément à l’article 57, avec des compétences partagées pour les questions qui relèvent de la compétence de la commission IMCO visant à améliorer le fonctionnement du marché intérieur.
Champ d’application et définitions
Le rapporteur se félicite de l’extension du champ d’application de la directive, qui lui permet d’englober de nouveaux secteurs qui ne bénéficiaient pas de mesures de protection spécifiques. Il estime toutefois qu’il est nécessaire de définir clairement l’objectif général consistant à garantir un fort niveau de résilience des entités critiques et des infrastructures essentielles ainsi qu’à garantir la fourniture de services essentiels afin d’améliorer le fonctionnement du marché intérieur.
Il tente, de plus, de mieux aligner et harmoniser la directive sur la résilience des entités critiques et la directive SRI 2 là où c’est possible, et notamment en ce qui concerne le champ d’application et les définitions. À cette fin, le rapporteur demande que la protection physique non informatique visée par la directive sur la résilience des entités critiques soit clairement séparée des exigences fixées par la directive SRI 2, au moyen d’une distinction claire dans la définition de la «résilience» figurant à l’article 2, paragraphe 2. Il propose en outre un ensemble de définitions bien articulées couvrant, entre autres, les concepts d’«entité critique», de «résilience», d’«incident» et d’«infrastructure essentielle».
Stratégie et évaluation des risques par les États membres
Le rapporteur se félicite de la stratégie visant à renforcer la résilience des entités critiques et de l’évaluation des risques que chaque État membre doit adopter. Il formule toutefois des suggestions pour améliorer la participation et la consultation des entités critiques et des parties prenantes, car ces entreprises fournissent des services essentiels au bon déroulement de la vie quotidienne et une coopération renforcée avec elles indispensable pour atteindre les objectifs de la présente directive. Il reconnaît également l’importance de gérer les risques liés à la chaîne d’approvisionnement et aux fournisseurs lorsqu’ils sont utilisés par des entités critiques, afin de garantir que les chaînes d’approvisionnement contribuent à la résilience des entités auxquelles elles fournissent.
Recensement des entités critiques
Le rapporteur est favorable au fait que les États membres doivent recenser les entités critiques dans les secteurs importants visés dans l’annexe. Il explicite toutefois que les États membres auront l’obligation de recenser les entités dans ces secteurs et sous-secteurs visés par l’annexe, qui existent dans les États membres et pour lesquels les entités sont des fournisseurs importants de services essentiels pour le maintien de fonctions sociétales et d’activités économiques vitales. Il a donc formulé des suggestions à cet égard.
Autorités compétentes et point de contact unique
Le rapporteur reconnaît l’importance d’une surveillance adéquate et d’une coopération renforcée entre les autorités compétentes des États membres. Il relève toutefois que des points de contact uniques devraient être mis en place pour exercer une fonction de liaison et de coordination entre les entités critiques, les autorités compétentes et les autres points de contact uniques, ainsi qu’avec le groupe sur la résilience des entités critiques. Le point de contact unique devrait également permettre de simplifier et d’harmoniser les canaux de signalement (principe du guichet unique).
Notification des incidents
Le rapporteur estime que les incidents qui perturbent notablement les opérations des entités critiques et qui présentent un intérêt public doivent être signalés non seulement aux autorités compétentes, via le point de contact unique, mais également au public ou, le cas échéant, aux utilisateurs concernés. Le rapporteur propose également de clarifier certaines des exigences relatives à la notification des incidents qui ne se sont pas encore produits et de fournir des orientations supplémentaires en ce qui concerne les seuils de signalement.
AMENDEMENTS
La commission du marché intérieur et de la protection des consommateurs invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à prendre en considération les amendements suivants:
Amendement 1
Proposition de directive
Considérant 1
|
|
Texte proposé par la Commission |
Amendement |
(1) La directive 2008/114/CE17 du Conseil établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l’énergie et des transports, dont la perturbation des activités ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l’évaluation de la directive 2008/114/CE réalisée en 201918 a montré qu’en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. Par conséquent, il est nécessaire de réorienter l’approche en vue de garantir la résilience des entités critiques, c’est-à-dire leur capacité à atténuer les conséquences d’incidents susceptibles de perturber leur fonctionnement, à les absorber, à s’y adapter et à s’en remettre. |
(1) La directive 2008/114/CE17 du Conseil établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l’énergie et des transports, dont la perturbation des activités ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l’évaluation de la directive 2008/114/CE réalisée en 201918 a montré qu’en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. Par conséquent, il est nécessaire de réorienter l’approche en vue de garantir la résilience des entités critiques, c’est-à-dire leur capacité à atténuer les conséquences d’incidents ou de menaces susceptibles de perturber leur fonctionnement, le fonctionnement du marché intérieur ou la libre circulation des services essentiels, ainsi qu’à s’en protéger, à les absorber, à s’y adapter et à s’en remettre. |
__________________ |
__________________ |
17 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75). |
17 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75). |
18 SWD(2019) 308. |
18 SWD(2019) 308. |
Amendement 2
Proposition de directive
Considérant 2
|
|
Texte proposé par la Commission |
Amendement |
(2) Malgré les mesures existantes au niveau de l’Union[1] et au niveau national visant à soutenir la protection des infrastructures critiques dans l’Union, les entités qui exploitent ces infrastructures ne sont pas équipées de manière adéquate pour faire face aux risques actuels et anticipés pesant sur leurs activités, qui pourraient entraîner des perturbations dans la fourniture de services essentiels à l’exercice de fonctions sociétales ou d’activités économiques vitales. Cette situation est la conséquence du paysage dynamique des menaces, caractérisé par l’évolution de la menace terroriste et par les interdépendances croissantes entre les infrastructures et les secteurs, ainsi que par l’accroissement du risque physique lié aux catastrophes naturelles et au changement climatique, qui augmente la fréquence et l’ampleur des phénomènes météorologiques extrêmes et entraîne des changements à long terme des conditions climatiques moyennes, susceptibles de réduire la capacité et l’efficacité de certains types d’infrastructures si des mesures de résilience ou d’adaptation au changement climatique ne sont pas mises en place. En outre, les secteurs et types d’entités concernés critiques ne sont pas systématiquement reconnus comme critiques dans tous les États membres. |
(2) Malgré les mesures existantes au niveau de l’Union19 et au niveau national visant à soutenir la protection des infrastructures critiques dans l’Union, les entités qui exploitent ces infrastructures ne sont pas équipées de manière adéquate pour faire face aux risques actuels et anticipés pesant sur leurs activités, qui pourraient entraîner des perturbations dans la fourniture de services essentiels à l’exercice de fonctions sociétales ou d’activités économiques vitales. Cette situation est la conséquence du paysage dynamique des menaces, caractérisé par l’évolution de la menace terroriste et par les interdépendances croissantes entre les infrastructures et les secteurs, ainsi que par l’accroissement du risque physique lié aux catastrophes naturelles et au changement climatique, qui augmente la fréquence et l’ampleur des phénomènes météorologiques extrêmes et entraîne des changements à long terme des conditions climatiques moyennes, susceptibles de réduire la capacité et l’efficacité de certains types d’infrastructures si des mesures de résilience ou d’adaptation au changement climatique ne sont pas mises en place. En outre, les secteurs et types d’entités concernés critiques ne sont pas systématiquement reconnus comme critiques dans tous les États membres. En raison de l’accroissement des interdépendances transsectorielles et transfrontières entre les infrastructures critiques, un incident dans un État membre peut avoir de graves conséquences sur les activités dans un autre État membre. Afin de parvenir à un niveau élevé de résilience des infrastructures critiques dans toute l’Union, les services et les infrastructures essentiels devraient être protégés et résilients dans tous les États membres. |
Amendement 3
Proposition de directive
Considérant 3
|
|
Texte proposé par la Commission |
Amendement |
(3) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, des infrastructures du marché financier, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables. |
(3) Ces interdépendances croissantes découlent d’un réseau de fourniture de services essentiels de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des banques, des infrastructures du marché financier, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation des services essentiels, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de ces services dans l’ensemble du marché intérieur, que ce soit pour les particuliers, les consommateurs ou les entreprises. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables. |
Amendement 4
Proposition de directive
Considérant 4
|
|
Texte proposé par la Commission |
Amendement |
(4) Les entités participant à la fourniture de services essentiels sont de plus en plus soumises à des exigences divergentes imposées par les législations des États membres. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités risque non seulement d’avoir une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, mais entrave aussi le bon fonctionnement du marché intérieur. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont considérés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte des charges administratives supplémentaires et inutiles pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. |
(4) Les entités participant à la fourniture de services et d’infrastructures essentiels sont de plus en plus soumises à des exigences divergentes imposées par les législations des États membres. Le fait que certains États membres imposent des exigences de sécurité moins strictes à ces entités entraîne non seulement des inégalités dans les niveaux de résilience et des différences en matière de désignation et de contrôle des entités critiques entre les États membres, a une incidence négative sur le maintien de fonctions sociétales ou d’activités économiques vitales dans l’ensemble de l’Union, mais entrave aussi les conditions de concurrence équitables et le bon fonctionnement du marché intérieur. Des types d’entités similaires sont considérés comme critiques dans certains États membres mais pas dans d’autres, et ceux qui sont considérés comme critiques sont soumis à des exigences différentes selon les États membres. Il en résulte des charges administratives supplémentaires et inutiles pour les entreprises exerçant des activités transfrontières, notamment pour les entreprises actives dans des États membres imposant des exigences plus strictes. Un cadre européen devrait donc également avoir pour effet de créer des conditions de concurrence équitables pour les entités critiques au sein de l’Union. |
Amendement 5
Proposition de directive
Considérant 5
|
|
Texte proposé par la Commission |
Amendement |
(5) Il est donc nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture de services essentiels dans le marché intérieur et de renforcer la résilience des entités critiques. |
(5) Il est donc nécessaire d’établir des règles minimales harmonisées afin de garantir la fourniture et la libre circulation de services essentiels dans le marché intérieur et de renforcer la résilience des entités critiques et des infrastructures essentielles nécessaires aux activités sociétales ou économiques vitales au sein de l’Union. À cet égard, l’objectif de la présente directive devrait être de rendre les infrastructures et les entités critiques résilientes, renforçant ainsi leur capacité à garantir la prestation continue de services et d’infrastructures essentiels ou, au moins, de rétablir rapidement leur fonctionnement après un incident. Les opérateurs des infrastructures critiques fournissant des services essentiels dans le marché intérieur dans divers secteurs nécessaires aux fonctions sociétales et aux activités économiques vitales devraient devenir résilients face à un éventail de risques actuels ou dont la survenue est prévisible. |
Amendement 6
Proposition de directive
Considérant 6
|
|
Texte proposé par la Commission |
Amendement |
(6) Afin d’atteindre cet objectif, les États membres devraient recenser les entités critiques qui devraient être soumises à des exigences et à une surveillance spécifiques, mais qui devraient aussi bénéficier d’un soutien et de conseils particuliers visant à atteindre un niveau élevé de résilience face à tous les risques pertinents. |
(6) Afin d’atteindre cet objectif, les États membres devraient recenser les entités critiques qui fournissent des services ou des infrastructures essentiels relevant de secteurs et sous-secteurs existants au niveau national tels que visés à l’annexe, qui devraient être soumises à des exigences et à une surveillance spécifiques, mais qui devraient aussi bénéficier d’un soutien et de conseils particuliers visant à atteindre un niveau élevé de résilience face à tous les risques et crises potentielles pertinents. |
Amendement 7
Proposition de directive
Considérant 8
|
|
Texte proposé par la Commission |
Amendement |
(8) Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques et dans un souci d’uniformité, une approche cohérente entre la présente directive et la directive (UE) XX/YY du Parlement européen et du Conseil20 [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (ci-après la «directive SRI 2»)] est indispensable, chaque fois que c’est possible. Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques en matière de cybersécurité, la directive SRI 2 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est dûment traitée dans la directive SRI 2, les questions qu’elle englobe devraient être exclues du champ d’application de la présente directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques. |
(8) Compte tenu de l’importance de la cybersécurité pour la résilience des entités critiques et dans un souci d’uniformité, une approche cohérente entre la présente directive et la directive (UE) XX/YY du Parlement européen et du Conseil20 [proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (ci-après la «directive SRI 2»)] est indispensable, chaque fois que c’est possible. Compte tenu de la fréquence plus élevée et des caractéristiques particulières des risques en matière de cybersécurité, la directive SRI 2 impose des exigences complètes à un grand nombre d’entités afin de garantir leur cybersécurité. Étant donné que la cybersécurité est dûment traitée dans la directive SRI 2, les questions qu’elle englobe devraient être exclues du champ d’application de la présente directive, sans préjudice du régime particulier applicable aux entités du secteur des infrastructures numériques. Il convient de garantir une approche cohérente entre ces textes, notamment en s’assurant que des entités au titre de la directive SRI 2 susceptibles d’être soumises à des obligations en vertu de la présente directive, le cas échéant, disposent d’un point de contact unique et d’un ensemble commun de règles. Par conséquent, la supervision des entités identifiées comme critiques ou comme équivalentes aux entités critiques en vertu de la présente directive incombera aux autorités compétentes désignées au titre de la directive SRI 2, pour les aspects qui relèvent du champ d’application de la directive SRI 2. En outre, les entités qui sont identifiées comme des entités essentielles au titre de la directive SRI 2 mais qui ne sont pas considérées comme des entités critiques au titre de la présente directive devraient également renforcer la résilience de leurs infrastructures physiques, le cas échéant. |
__________________ |
__________________ |
20 [Référence à la directive SRI 2, après adoption.] |
20 Directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (JO L … du ..., p. ...). |
Amendement 8
Proposition de directive
Considérant 10
|
|
Texte proposé par la Commission |
Amendement |
(10) Afin de garantir une approche globale de la résilience des entités critiques, chaque État membre devrait disposer d’une stratégie définissant les objectifs et les mesures à mettre en œuvre. À cet effet, les États membres devraient veiller à ce que leurs stratégies de cybersécurité prévoient un cadre d’action pour une coordination renforcée entre l’autorité compétente en vertu de la présente directive et l’autorité compétente en vertu de la directive SRI 2 dans le contexte du partage d’informations relatives aux incidents et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. |
Afin de garantir une approche globale de la résilience des entités critiques, compte tenu des objectifs fixés dans la stratégie de résilience de l’Union rédigée par le groupe sur la résilience des entités critiques, chaque État membre devrait adopter une stratégie nationale définissant les objectifs et les mesures à mettre en œuvre. À cet effet, les États membres devraient veiller à ce que leurs stratégies de cybersécurité prévoient un cadre d’action pour une coordination renforcée entre l’autorité compétente en vertu de la présente directive et l’autorité compétente en vertu de la directive SRI 2 dans le contexte du partage d’informations relatives aux incidents et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. |
Amendement 9
Proposition de directive
Considérant 11
|
|
Texte proposé par la Commission |
Amendement |
(11) Les mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient adopter une approche fondée sur les risques orientant les efforts vers les entités les plus utiles à l’exercice de fonctions sociétales ou d’activités économiques vitales. Afin de garantir une telle approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation de tous les risques naturels et d’origine humaine susceptibles d’affecter la fourniture de services essentiels, y compris les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies, et les menaces antagonistes, dont les infractions terroristes. Lorsqu’ils procèdent à ces évaluations des risques, les États membres devraient tenir compte d’autres évaluations générales ou sectorielles des risques effectuées en vertu d’autres actes du droit de l’Union et prendre en considération les dépendances entre les secteurs, y compris à l’égard des autres États membres et des pays tiers. Les résultats de l’évaluation des risques devraient être utilisés dans le processus de recensement des entités critiques et pour aider ces entités à satisfaire aux exigences en matière de résilience énoncées par la présente directive. |
(11) Les mesures prises par les États membres pour recenser les entités critiques et contribuer à garantir leur résilience devraient adopter une approche fondée sur les risques orientant les efforts vers les entités les plus utiles à la prestation de services essentiels vitaux pour des fonctions sociétales ou des activités économiques. Afin de garantir une telle approche ciblée, chaque État membre devrait procéder, dans un cadre harmonisé, à une évaluation de tous les risques pertinents, notamment transsectoriels, transfrontières, naturels et d’origine humaine susceptibles d’affecter la fourniture de services essentiels, y compris les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies, et les menaces antagonistes, dont les infractions terroristes. Lorsqu’ils procèdent à ces évaluations des risques, les États membres devraient tenir compte d’autres évaluations générales ou sectorielles des risques effectuées en vertu d’autres actes du droit de l’Union et prendre en considération les dépendances entre les secteurs, y compris à l’égard des autres États membres et des pays tiers, et les risques résultant de la population générale ou du marché intérieur. Les États membres ne devraient pas considérer comme des risques les aléas de l’entreprise normalement associés aux activités découlant des conditions du marché, ni les événements pouvant découler d’une décision démocratique. Les résultats de l’évaluation des risques devraient être utilisés dans le processus de recensement des entités critiques et pour aider ces entités à satisfaire aux exigences en matière de résilience énoncées par la présente directive. |
Amendement 10
Proposition de directive
Considérant 12
|
|
Texte proposé par la Commission |
Amendement |
(12) Afin de garantir que toutes les entités concernées sont soumises à ces exigences et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir compte des spécificités nationales. Par conséquent, il convient de définir des critères de recensement des entités critiques. Dans un souci d’efficacité, d’efficience, de cohérence et de sécurité juridique, il convient également d’établir des règles appropriées applicables à la notification et à la coopération relatives à ce recensement, ainsi qu’aux conséquences juridiques de celui-ci. Afin de permettre à la Commission d’évaluer la bonne application de la présente directive, les États membres devraient lui communiquer, d’une manière aussi détaillée et spécifique que possible, les informations pertinentes et, en tout état de cause, la liste des services essentiels, le nombre d’entités critiques recensées dans chaque secteur et sous-secteur mentionné à l’annexe et le ou les services essentiels fournis par chaque entité, ainsi que les seuils éventuellement appliqués. |
(12) Afin de garantir que toutes les entités concernées sont soumises à ces exigences et de réduire les divergences à cet égard, il importe d’établir des règles harmonisées permettant un recensement cohérent des entités critiques dans l’ensemble de l’Union, tout en permettant aux États membres de tenir compte des spécificités nationales dans les secteurs et sous-secteurs de leur territoire mentionnés à l’annexe. Par conséquent, il convient de définir, en coopération étroite avec les autorités responsables, des critères et des spécifications communs de recensement des entités critiques, fondés sur des méthodes et des indicateurs minimaux pour chaque secteur et sous-secteur. Dans un souci d’efficacité, d’efficience, de cohérence et de sécurité juridique, il convient également d’établir des règles appropriées applicables à la notification et à la coopération relatives à ce recensement, ainsi qu’aux conséquences juridiques de celui-ci. Afin de permettre à la Commission d’évaluer la bonne application de la présente directive, les États membres devraient lui communiquer, d’une manière aussi détaillée et spécifique que possible, les informations pertinentes et, en tout état de cause, la liste des services essentiels, le nombre d’entités critiques recensées dans chaque secteur et sous-secteur mentionné à l’annexe et le ou les services essentiels fournis par chaque entité, ainsi que les seuils éventuellement appliqués. Afin d’éviter une application divergente de la présente directive et d’améliorer le fonctionnement du marché intérieur, la Commission, en coopération avec les États membres, devrait publier des lignes directrices détaillées et formuler des recommandations aidant les États membres à dresser la liste des services et infrastructures essentiels et des entités critiques dans chaque secteur et sous-secteur national mentionné à l’annexe. |
Amendement 11
Proposition de directive
Considérant 15
|
|
Texte proposé par la Commission |
Amendement |
(15) L’acquis de l’UE en matière de services financiers impose aux entités financières l’obligation de gérer de manière exhaustive tous les risques auxquels elles sont confrontées, y compris les risques opérationnels, et d’assurer la continuité des activités. Les obligations découlent notamment du règlement (CE) nº 648/2012 du Parlement européen et du Conseil22, de la directive 2014/65/UE du Parlement européen et du Conseil23 et du règlement (UE) nº 600/2014 du Parlement européen et du Conseil24, ainsi que du règlement (UE) nº 575/2013 du Parlement européen et du Conseil25 et de la directive 2013/36/UE du Parlement européen et du Conseil26. La Commission a récemment proposé de compléter ce cadre par le règlement XX/YYYY du Parlement européen et du Conseil [proposition de règlement sur la résilience opérationnelle numérique du secteur financier27], qui impose aux entreprises financières des obligations en matière de gestion des risques liés aux technologies de l’information et de la communication, y compris la protection des infrastructures physiques correspondantes. Étant donné que la résilience des entités énumérées aux points 3 et 4 de l’annexe est couverte de manière exhaustive par l’acquis de l’UE en matière de services financiers, ces entités devraient également être considérées comme des entités critiques aux seules fins du chapitre II de la présente directive. Afin de garantir une application cohérente des règles relatives aux risques opérationnels et à la résilience numérique dans le secteur financier, le soutien des États membres au renforcement de la résilience globale des entités financières considérées comme équivalentes aux entités critiques devrait être assuré par les autorités désignées en vertu de l’article 41 du [règlement sur la résilience opérationnelle numérique du secteur financier], et soumis aux procédures établies dans cet acte législatif d’une manière pleinement harmonisée. |
(15) L’acquis de l’UE en matière de services financiers impose aux entités financières l’obligation de gérer de manière exhaustive tous les risques auxquels elles sont confrontées, y compris les risques opérationnels, et d’assurer la continuité des activités. Les obligations découlent notamment du règlement (CE) nº 648/2012 du Parlement européen et du Conseil22, de la directive 2014/65/UE du Parlement européen et du Conseil23 et du règlement (UE) nº 600/2014 du Parlement européen et du Conseil24, ainsi que du règlement (UE) nº 575/2013 du Parlement européen et du Conseil25 et de la directive 2013/36/UE du Parlement européen et du Conseil26. La Commission a récemment proposé de compléter ce cadre par le règlement XX/YYYY du Parlement européen et du Conseil [proposition de règlement sur la résilience opérationnelle numérique du secteur financier27], qui impose aux entreprises financières des obligations en matière de gestion des risques liés aux technologies de l’information et de la communication, y compris la protection des infrastructures physiques correspondantes. Étant donné que la résilience des entités énumérées aux points 3 et 4 de l’annexe est couverte de manière exhaustive par l’acquis de l’UE en matière de services financiers, ces entités devraient également être considérées comme des entités critiques aux seules fins du chapitre II de la présente directive; par conséquent, ces entités ne devraient pas être soumises aux obligations énoncées aux chapitres III à VI. Afin de garantir une application cohérente des règles relatives aux risques opérationnels et à la résilience numérique dans le secteur financier, le soutien des États membres au renforcement de la résilience globale des entités financières considérées comme équivalentes aux entités critiques devrait être assuré par les autorités désignées en vertu de l’article 41 du [règlement sur la résilience opérationnelle numérique du secteur financier], et soumis aux procédures établies dans cet acte législatif d’une manière pleinement harmonisée. |
__________________ |
__________________ |
22 Règlement (UE) nº 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1). |
22 Règlement (UE) nº 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1). |
23 Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349). |
23 Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349). |
24 Règlement (UE) nº 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) nº 648/2012 (JO L 173 du 12.6.2014, p. 84). |
24 Règlement (UE) nº 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) nº 648/2012 (JO L 173 du 12.6.2014, p. 84). |
25 Règlement (UE) nº 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) nº 648/2012 (JO L 176 du 27.6.2013, p. 1). |
25 Règlement (UE) nº 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) nº 648/2012 (JO L 176 du 27.6.2013, p. 1). |
26 Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338). |
26 Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338). |
27 Proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, COM(2020) 595. |
27 Proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, COM(2020) 595. |
Amendement 12
Proposition de directive
Considérant 16
|
|
Texte proposé par la Commission |
Amendement |
(16) Les États membres devraient désigner les autorités chargées de superviser l’application des règles de la présente directive et, s’il y a lieu, de les faire respecter, et veiller à ce que ces autorités disposent des pouvoirs et des ressources adéquats. Compte tenu des différences entre les structures de gouvernance nationales et afin de préserver les dispositifs sectoriels existants ou les organismes de surveillance et de réglementation de l’Union, et afin d’éviter la duplication des efforts, les États membres devraient pouvoir désigner plus d’une autorité compétente. Dans ce cas, ils devraient toutefois définir clairement les tâches respectives des autorités concernées et veiller à ce qu’elles coopèrent de manière harmonieuse et efficace. Toutes les autorités compétentes devraient également coopérer plus généralement avec d’autres autorités concernées, tant au niveau national qu’au niveau de l’Union. |
(16) Les États membres devraient désigner les autorités chargées de superviser l’application des règles de la présente directive et de les faire respecter, et veiller à ce que ces autorités disposent des pouvoirs et des ressources adéquats. Compte tenu des différences entre les structures de gouvernance nationales et afin de préserver les dispositifs sectoriels existants ou les organismes de surveillance et de réglementation de l’Union, et afin d’éviter la duplication des efforts, les États membres devraient pouvoir désigner plus d’une autorité compétente. Dans ce cas, ils devraient toutefois définir clairement les tâches respectives des autorités concernées et veiller à ce qu’elles coopèrent de manière harmonieuse et efficace. Toutes les autorités compétentes devraient également coopérer plus généralement avec d’autres autorités concernées, tant au niveau national qu’au niveau de l’Union. |
Amendement 13
Proposition de directive
Considérant 17
|
|
Texte proposé par la Commission |
Amendement |
(17) Afin de faciliter la coopération et la communication transfrontières et de permettre la mise en œuvre effective de la présente directive, et sans préjudice des exigences juridiques sectorielles de l’Union, chaque État membre devrait désigner, au sein de l’une des autorités qu’il a désignées comme autorité compétente en vertu de la présente directive, un point de contact unique chargé de coordonner les questions liées à la résilience des entités critiques et à la coopération transfrontière à cet égard au niveau de l’Union. |
(17) Afin de faciliter la coopération et la communication transfrontières et de permettre la mise en œuvre effective de la présente directive, et sans préjudice des exigences juridiques sectorielles de l’Union, chaque État membre devrait désigner, au sein de l’une des autorités qu’il a désignées comme autorité compétente en vertu de la présente directive, un point de contact unique chargé de coordonner les questions liées à la résilience des entités critiques et à la coopération transfrontière à cet égard au niveau de l’Union. Il convient que le point de contact unique assure la coordination de toutes les communications et la liaison avec les autorités compétentes de son État membre, les points de contact uniques des autres États membres, le groupe sur la résilience des entités critiques établi par la présente directive, ainsi que les entités identifiées comme des entités critiques au titre de la présente directive. Afin de faciliter la coopération et la communication avec les États membres, les entités identifiées comme des entités critiques au titre de la présente directive devraient également désigner un point de contact de référence au sein de l’entité. Le point de contact de référence devrait être utilisé par l’entité critique pour assurer la liaison, la coordination et la communication avec les États membres sur des mesures relatives aux aspects organisationnels et techniques de la mise en œuvre de la présente directive. À cette fin, les points de contact uniques devraient utiliser des canaux de signalement efficaces, sécurisés, normalisés et harmonisés. |
Amendement 14
Proposition de directive
Considérant 18
|
|
Texte proposé par la Commission |
Amendement |
(18) Étant donné qu’en vertu de la directive SRI 2, les entités recensées en tant qu’entités critiques, ainsi que les entités identifiées dans le secteur des infrastructures numériques qui doivent être considérées comme équivalentes aux entités critiques en vertu de la présente directive sont soumises aux exigences en matière de cybersécurité imposées par la directive SRI 2, les autorités compétentes désignées en vertu des deux directives devraient coopérer, notamment en ce qui concerne les risques et incidents de cybersécurit |