Résilience des entités critiques

2020/0365(COD)

La commission des libertés civiles, de la justice et des affaires intérieures a adopté le rapport de Michal ŠIMEČKA (Renew Europe, SK) sur la proposition de directive du Parlement européen et du Conseil concernant la résilience des entités critiques.

La proposition de directive vise à améliorer la fourniture, dans le marché intérieur, de services essentiels au maintien de fonctions sociétales ou d'activités économiques vitales en augmentant la résilience des entités critiques fournissant ces services. Le présent rapport vise à renforcer certains aspects de la directive proposée.

La commission compétente a recommandé que la position du Parlement européen adoptée en première lecture dans le cadre de la procédure législative ordinaire modifie la proposition comme suit:

Extension des définitions

Les députés ont proposé d'étendre la définition des services essentiels, de sorte que la protection de l'environnement, la santé, la sûreté publique, et l'état de droit soient également mentionnés.

Évaluation des risques par les États membres

En vue de renforcer la coopération entre les autorités compétentes des États membres, les députés ont proposé de mettre en place des points de contact uniques pour exercer une fonction de liaison et de coordination avec les entités critiques auprès des autorités compétentes et du groupe de résilience sur les entités critiques. Le point de contact unique devrait également simplifier et harmoniser les canaux de notification (principe du guichet unique).

Compte tenu des liens entre la cybersécurité et la sécurité physique des entités, les États membres devraient veiller à une mise en œuvre cohérente de la présente directive et de la future directive relative à des mesures visant à atteindre un niveau commun élevé de cybersécurité dans l’ensemble de l’Union (directive SRI 2).

Identification des entités critiques

La Commission devrait, en coopération avec les États membres, élaborer des recommandations et des lignes directrices pour aider les États membres à identifier les entités critiques.

Soutien des États membres aux entités critiques

Les députés ont proposé que les États membres aident les entités critiques à renforcer leur résilience. Ce soutien devrait comprendre l'élaboration de documents d'orientation et de méthodologies, le soutien à l'organisation d'exercices pour tester leur résilience et la formation du personnel des entités critiques.

Les États membres pourraient fournir des ressources financières aux entités critiques, sans préjudice des règles applicables en matière d'aides d'État, lorsque cela est nécessaire et justifié par des objectifs d'intérêt public.

Groupe de résilience sur les entités critiques

Le groupe de résilience sur les entités critiques devrait être composé de représentants des États membres et de la Commission. Lorsque cela est nécessaire à l'accomplissement de ses tâches, il devrait inviter des représentants des parties prenantes concernées à participer à ses travaux et le Parlement européen à y participer en tant qu'observateur.

Le groupe devrait, entre autres i) préparer une stratégie de l'Union en matière de résilience conformément aux objectifs énoncés dans la directive; ii) promouvoir et soutenir les évaluations coordonnées des risques et les actions conjointes entre entités critiques.

Notification des incidents

Les entités critiques devraient notifier, dès que cela est raisonnablement possible compte tenu des circonstances et, en tout état de cause, au plus tard 24 heures après avoir pris connaissance de l'incident en question, aux autorités compétentes des États membres tout incident qui perturbe ou est susceptible de perturber de manière significative leurs opérations. L'autorité compétente devrait informer le public d'un tel incident lorsqu'elle estime qu'il est dans l'intérêt public de le faire. L'autorité compétente devrait veiller à ce que l'entité critique concernée informe les utilisateurs de ses services qui pourraient être affectés par un tel incident et, le cas échéant, des mesures de sécurité ou des remèdes possibles.

La Commission et le groupe de résilience des entités critiques devraient traiter les informations fournies dans le cadre de ces notifications d'une manière qui respecte leur confidentialité et protège la sécurité et les intérêts commerciaux de l'entité ou des entités critiques concernées.

Il est également proposé que la Commission tienne un registre des incidents de l'Union dans le but de développer et de partager les meilleures pratiques et méthodologies.

Examen de la valeur ajoutée

La Commission devrait examiner périodiquement le fonctionnement de la directive et faire rapport au Parlement européen et au Conseil. Le rapport devrait évaluer l'impact et la valeur ajoutée de la directive pour assurer la résilience des entités critiques. Le premier rapport devrait être présenté au plus tard six ans après l'entrée en vigueur de la directive et devrait évaluer en particulier si le champ d'application de la directive devrait être étendu. À cette fin, la Commission devrait tenir compte des documents pertinents du groupe sur la résilience des entités critiques.