Le Parlement européen a adopté par 595 voix pour, 17 contre et 24 abstentions, une résolution législative sur la proposition de directive du Parlement européen et du Conseil sur la résilience des entités critiques.
La position arrêtée par le Parlement européen en première lecture suivant la procédure législative ordinaire modifie la proposition de la Commission comme suit :
Objet
La directive fixe un cadre de l'Union visant tant à renforcer la résilience des entités critiques dans le marché intérieur en établissant des règles minimales harmonisées qu'à les aider au moyen de mesures de soutien et de supervision cohérentes et spécifiques.
La directive :
- impose aux États membres l’obligation d'adopter des mesures spécifiques visant à garantir que les services qui sont essentiels au maintien de fonctions sociétales ou d'activités économiques vitales, soient fournis sans entrave dans le marché intérieur, en particulier l'obligation de recenser les entités critiques et l’obligation d’aider les entités critiques à s'acquitter des obligations qui leur incombent;
- établit des procédures communes en matière de coopération et d’établissement de rapports sur l'application de la présente directive;
- prévoit des mesures visant à atteindre un niveau élevé de résilience des entités critiques afin de garantir la fourniture de services essentiels dans l'Union et d'améliorer le fonctionnement du marché intérieur.
La directive harmonise aussi la définition des infrastructures critiques pour qu’elle soit la même dans tous les États membres.
Champ d’application
La nouvelle législation renforce les conditions requises pour mener l’évaluation des risques et le signalement d’acteurs considérés comme essentiels. Elle couvre 11 secteurs, à savoir les secteurs de l’énergie, des transports, des banques, des infrastructures de marché financier, de la santé, de l’eau potable, des eaux résiduaires, des infrastructures numériques, de l’administration publique, de l’espace et de l’alimentation (production, transformation et distribution de denrées alimentaires).
La directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de la défense et de leur pouvoir de garantir d'autres fonctions essentielles de l'État, notamment celles qui ont pour objet d'assurer l'intégrité territoriale de l'État et le maintien de l'ordre public. Les obligations prévues dans la directive n'impliquent pas la fourniture d'informations dont la divulgation serait contraire aux intérêts essentiels des États membres en matière de sécurité nationale, de sécurité publique ou de défense.
Stratégie pour la résilience des entités critiques
À la suite d'une consultation ouverte aux parties prenantes concernées dans la mesure du possible, chaque État membre adoptera, au plus tard trois ans à compter de la date d'entrée en vigueur de la directive, une stratégie visant à renforcer la résilience des entités critiques.
Les évaluations des risques d'États membres rendront compte des risques naturels et d'origine humaine pertinents, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides ou autres menaces antagonistes, lesquelles comprennent les infractions terroristes.
Au plus tard trois ans et six mois à compter de la date d'entrée en vigueur de la directive, chaque État membre recensera les entités critiques pour les secteurs couverts.
Point de contact unique
Chaque État membre devra désigner une ou plusieurs autorités compétentes chargées de veiller à l'application correcte des règles énoncées dans la directive au niveau national. Il devra également désigner un point de contact unique, chargé d'exercer une fonction de liaison afin d'assurer la coopération transfrontière avec les points de contact uniques des autres États membres et avec le groupe sur la résilience des entités critiques. Un État membre pourra prévoir que son point de contact unique exerce également une fonction de liaison avec la Commission et assure la coopération avec les pays tiers.
Mesures de résilience des entités critiques
Les États membres devront veiller à ce que les entités critiques prennent des mesures techniques, des mesures de sécurité et des mesures organisationnelles appropriées et proportionnées pour garantir leur résilience, sur la base des informations pertinentes fournies par les États membres concernant l'évaluation des risques d'État membre et les résultats de l'évaluation des risques d'entité critique.
Notification d'incidents
Les entités critiques devront notifier sans retard injustifié à l'autorité compétente les incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels. Sauf si elles sont dans l'incapacité de le faire pour des raisons opérationnelles, les entités critiques devront présenter une première notification au plus tard 24 heures après avoir pris connaissance d'un incident, suivie, s'il y a lieu, d'un rapport détaillé au plus tard un mois après.
Afin de déterminer l’importance de la perturbation, les paramètres suivants seront, en particulier, pris en compte: a) le nombre et la proportion d'utilisateurs affectés par la perturbation; b) la durée de la perturbation; c) la zone géographique concernée par la perturbation, en tenant compte de son éventuel isolement géographique.
Lorsqu’un incident a ou pourrait avoir un impact important sur la continuité de la fourniture de services essentiels à ou dans six États membres ou plus, les autorités compétentes des États membres affectés par l'incident devront notifier l’incident à la Commission.
Les États membres devront informer le public lorsqu'ils estiment qu'il serait dans l'intérêt général de le faire.
Groupe sur la résilience des entités critiques
Le groupe sur la résilience des entités critiques soutiendra la Commission et facilitera la coopération entre les États membres et l'échange d'informations sur les questions relatives à la directive. Lorsque le Parlement européen le demande, la Commission pourra inviter des experts du Parlement européen à assister aux réunions du groupe sur la résilience des entités critiques.