E. LA RÉSILIENCE DES ENTITÉS CRITIQUES
L'Union européenne a adopté la directive (UE) 2022/2557, dite « REC », pour répondre à la montée des menaces pesant sur les infrastructures et services essentiels : catastrophes naturelles, attaques terroristes, cyberattaques, crises sanitaires, tensions géopolitiques... L'actualité de ces dernières années et des événements récents ont mis en évidence la vulnérabilité de beaucoup de ces « entités critiques » et la nécessité d'adopter des mesures communes pour y remédier. Tel est l'objet de la directive REC, qui vise à assurer un haut niveau de résilience des entités critiques, c'est-à-dire de réduire les vulnérabilités et renforcer leur capacité à faire face à des menaces ou à des incidents majeurs pouvant avoir un impact significatif sur la société ou l'économie. La résilience englobe non seulement la prévention et la protection contre les incidents, mais aussi l'ensemble des mesures qui permettent une reprise rapide et efficace des activités après un événement perturbateur. Elle s'applique aux entités critiques désignées par les États membres et opérant dans des secteurs stratégiques comme l'énergie, les transports, la santé, les infrastructures financières ou publiques, entre autres.
En application de l'article 4 de cette directive, les États membres sont tenus d'adopter une stratégie visant à renforcer la résilience des entités critiques. La directive prévoit également que les obligations qui leur sont imposées doivent être proportionnées à leur taille et à leur capacité. Les PME considérées comme entités critiques bénéficient d'une adaptation de ces obligations, que ce soit en matière d'évaluation des risques, de plans de résilience, de notification des incidents, de mesures organisationnelles et techniques qu'elles mettent en place. En outre, les autorités nationales doivent accompagner les PME dans la mise en conformité, tout en adaptant les contrôles à leur situation14(*).
Au total, dans leur stratégie, les États membres doivent donc fournir une description des mesures déjà en place visant à faciliter la mise en oeuvre de ces obligations par les PME qui ont été recensées en tant qu'entités critiques. La proposition de directive de la Commission européenne étend cette obligation aux mesures de facilitation mises en oeuvre pour les SMC qui ont été recensées en tant qu'entités critiques.
En tout état de cause, la portée de cette disposition est difficile à évaluer, ne serait-ce que parce que la directive (UE) 2022/2557 prévoit que chaque État membre doit identifier ses entités critiques au plus tard le 17 juillet 2026, puis transmettre à la Commission « le nombre d'entités critiques recensées pour chaque secteur »15(*). Ce n'est qu'une fois ce recensement achevé qu'il sera possible de déterminer combien de PME et de SMC sont concernées. Par ailleurs, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui transpose, entre autres, cette directive, a été adopté par le Sénat le 12 mars dernier et a été examiné, à l'Assemblée nationale, par la commission spéciale à laquelle il a été renvoyé le 10 septembre, mais n'a pas encore été inscrit à son ordre du jour.
Quoi qu'il en soit, la stratégie française, qui sera adoptée en début d'année prochaine, ne devrait être que peu impactée par cette modification, car les mesures imposées aux entités publiques comme privées dépendent des risques identifiés pour chaque secteur, de l'état de la menace, ainsi que de la situation précise de chaque opérateur. Sa qualité de petite ou moyenne entreprise ou d'entreprise de taille intermédiaire ne fait pas l'objet d'une prise en compte spécifique.
EXTENSION AUX SMC DE MESURES DÉJÀ EN PLACE POUR LES PME
|
- Règlement 2016/679 - Règlement 2016/1036 - Règlement 2016/1037 - Règlement 2017/1129 - Règlement 2023/1542 |
- RGPD - Défense contre les importations faisant l'objet d'un dumping - Défense contre les importations subventionnées - Prospectus - Batteries |
- Insertion de la définition des petites entreprises à moyenne capitalisation - Prise en compte des besoins spécifiques des SMC en matière d'élaboration de codes de conduite - Prise en compte des besoins spécifiques des SMC s'agissant des mécanismes de certification en matière de protection des données, des labels et des marques - Extension du champ d'application de l'assistance aux PME au moyen d'un service spécialisé qui fournit des informations générales et des explications sur les procédures et sur la marche à suivre pour introduire une plainte, ou en publiant des questionnaires type - Même extension en matière de défense contre les importations qui font l'objet de subventions de la part de pays non membres de l'Union européenne - Extension de l'utilisation du prospectus allégé afin de réduire le coût de leur cotation et les rendre potentiellement plus attractives pour les investisseurs, de sorte de faciliter leur accès au financement - Extension de l'exclusion du champ d'application du devoir de diligence |
|
- Directive 2014/65 - Directive 2022/2557 |
- Marchés d'instruments financiers - Résilience des entités critiques |
- Extension des dispositions destinées à faciliter l'accès des PME aux marchés des capitaux - Obligation faite aux États membres de décrire les mesures de facilitation destinées aux SMC |
Source : Sénat, commission des affaires européennes
* 14 Sur appréciation des États membres, certaines très petites entreprises (TPE) ou PME dont l'activité n'a pas d'impact significatif sur la fourniture de services essentiels peuvent être exemptées des obligations de la directive.
* 15 À titre de comparaison, il existe environ 15 000 entités régulées au titre de la directive « NIS2 » (cybersécurité), mais dont le périmètre est plus large et différent que celui de la directive REC.