Présentation générale de la directive REC
- Définition : Directive (UE) 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques
- Objectif : Renforcer la capacité des infrastructures essentielles à résister et à se rétablir face aux incidents physiques et cyber
- Complémentarité : Fonctionne en parallèle avec la directive NIS 2 qui se concentre sur la cybersécurité
- Périmètre élargi : 11 secteurs critiques couverts (contre 2 dans la précédente directive)
Secteurs et entités concernés
- Secteurs couverts : Énergie, transports, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, administration publique, espace, production et distribution alimentaire
- Critères de désignation : Taille, part de marché, couverture géographique, importance pour maintenir des services essentiels
- Identification : Processus de désignation par les autorités nationales compétentes
Exigences pratiques pour les entités critiques
- Évaluation des risques tous-risques : Analyse des menaces naturelles, techniques, malveillantes et accidentelles
- Plan de résilience : Document stratégique et opérationnel détaillant les mesures de protection
- Continuité d’activité : Dispositifs pour maintenir les services en mode dégradé
- Gestion de crise : Organisation, procédures et moyens pour faire face aux incidents
- Tests et exercices : Simulations régulières de scénarios de crise
- Formation du personnel : Développement des compétences en gestion de crise
- Notification des incidents : Obligation de signalement des incidents significatifs
Mesures techniques et organisationnelles
- Protection physique : Sécurisation des sites, contrôles d’accès, vidéosurveillance
- Redondance des systèmes : Duplication des équipements critiques et diversification des fournisseurs
- Sites de secours : Infrastructures alternatives prêtes à prendre le relais
- Autonomie énergétique : Groupes électrogènes, UPS, sources d’énergie alternatives
- Sécurisation des chaînes d’approvisionnement : Évaluation et surveillance des fournisseurs critiques
- Protection contre les risques naturels : Mesures adaptées aux spécificités géographiques
- Coordination intersectorielle : Gestion des interdépendances entre secteurs critiques
Gouvernance et surveillance
- Autorité nationale : Désignation d’un point de contact unique
- Pouvoirs d’inspection : Contrôles sur site et à distance
- Évaluation de conformité : Audits par des organismes indépendants
- Sanctions : Régime de pénalités en cas de non-conformité
- Coopération européenne : Groupe sur la résilience des entités critiques
- Soutien technique : Assistance aux entités pour la mise en conformité
- Partage d’informations : Mécanismes de communication entre entités critiques
Processus de mise en conformité
- Analyse d’écart initiale : Évaluation de la situation actuelle par rapport aux exigences
- Cartographie des dépendances : Identification des interdépendances critiques
- Hiérarchisation des risques : Priorisation selon la probabilité et l’impact
- Élaboration documentaire : Rédaction des plans et procédures exigés
- Investissements matériels : Déploiement des équipements de sécurité et redondance
- Formation des équipes : Préparation du personnel à la gestion des incidents
- Exercices de validation : Test des dispositifs et procédures mis en place
Interdépendances avec d’autres réglementations
- Directive NIS 2 : Complémentarité entre sécurité physique et cybersécurité
- RGPD : Protection des données personnelles dans les infrastructures critiques
- Réglementations sectorielles : Articulation avec les exigences spécifiques par secteur
- ISO 22301 : Alignement avec les standards de continuité d’activité
- ISO 31000 : Cohérence avec les méthodologies de gestion des risques
- Directive Seveso : Coordination pour les sites industriels à risques
