Directive REC : mieux protéger les infrastructures critiques face aux crises cyber ?
Publié le 17 juillet 2025
- Cybersécurité
- Secteur public
Qu’est-ce que la REC ?
La directive européenne sur la Résilience des Entités Critiques (REC) a été adoptée le 14 décembre 2022 et a pour but de garantir la résilience des infrastructures critiques au sein de l’Union européenne. Elle vise à renforcer la capacité de ces infrastructures à résister et à se remettre des perturbations, qu’elles soient d’origine naturelle ou humaine.
L’objectif principal de la directive est d’assurer un haut de niveau de résilience des entités critiques, tant en termes de capacité à se protéger face aux attaques, qu’en termes de capacité de continuité d’activité. En outre, la directive vise à renforcer la coordination et la coopération entre les États membres, afin d’améliorer le partage d’information et la mise en œuvre de réponses collectives pour les crises transfrontalières.
La directive REC complète la directive NIS2, une directive plus large qui impose des mesures de cybersécurité et des obligations de signalement aux entités essentielles et importantes de l’UE. Ensemble, NIS2 et REC contribuent à assurer la sécurité et la continuité des services essentiels dans l’UE, tant sur le plan cyber que physique.
Vue d’ensemble de la transposition de REC à l’échelle européenne
Les acteurs et secteurs concernés
Les États membres de l’Union européenne jouent un rôle central dans la mise en œuvre de la directive sur la résilience des entités critiques (REC).
- Ils sont responsables de la transposition de la directive dans leur législation nationale et de la mise en place des mesures applicables aux entités critiques : pour garantir la résilience des infrastructures critiques : cela inclut l’évaluation des risques, la préparation de plans de résilience et la définition et mise en œuvre de mesure de sécurité à l’échelle nationale.
- Ils désignent les entités critiques sur leurs périmètres nationaux respectifs et sont chargés de veiller à ce qu’elles respectent les obligations définies par la transposition, notamment en matière de notification des incidents.
- Enfin, les États membres doivent coordonner leurs efforts avec les autres pays de l’UE pour assurer une réponse harmonisée aux crises transfrontalières et le partage les informations pertinentes.
Les entités critiques sont des infrastructures et organisations vitales au bon fonctionnement de la société et de l’économie. La directive REC les décrit comme jouant un « rôle indispensable dans le maintien de fonctions sociétales ou d’activités économiques vitales dans le marché intérieur, dans le contexte d’une économie de l’Union de plus en plus interdépendante ».
Les entités critiques d’importance européenne particulière sont celles qui fournissent des services essentiels dans au moins six États membres de l’Union européenne. Ces entités jouent un rôle crucial dans le maintien des fonctions sociétales vitales et des activités économiques à l’échelle européenne et à ce titre, des obligations spécifiques à ces acteurs sont prévues.
L’éligibilité des entités critiques au titre de la directive REC est définie dans le cadre de l’évaluation des risques réalisée à l’échelle nationale par les États membres. Cette évaluation des risques permet d’identifier les entités critiques soumises à la REC, parmi les secteurs d’activités visés par la directive REC : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable et eaux résiduaires, infrastrucures numériques, administration publique, spatial, secteur de l’alimentation.
Une fois ces entités identifiées, les États membres sont tenus de les notifier officiellement. Cette notification informe les entités de leur statut d’entité critique et des obligations qui en découlent, telles que la mise en place de mesures de sécurité et de plans de résilience. Cette procédure veille à ce que les entités critiques soient pleinement conscientes de leur rôle et des attentes en matière de résilience et de sécurité.
Les obligations pour les entités critiques
1. Evaluation des risques
Les entités critiques procèdent à une évaluation des risques dans un délai de neuf mois suivant la réception de la notification de leur recensement. Cette évaluation doit être mise à jour selon les besoins et au moins tous les quatre ans. L’évaluation doit inclure plusieurs types de risques :
- Les risques naturels, tels que les inondations, les tempêtes, et les tremblements de terre.
- Les risques anthropiques, tels que les accidents industriels et les actes de terrorisme.
- Les risques technologiques, y compris les cyberattaques.
- Les dépendances et interdépendances entre les différents secteurs et entités critiques, y compris dans les États membres voisins et les pays tiers.
Si une entité critique a déjà réalisé d’autres évaluations des risques ou établi des documents en vertu d’obligations prévues dans d’autres actes juridiques, elle peut utiliser ces évaluations et documents pour satisfaire aux exigences de la REC. Cela permet d’éviter la duplication des efforts et d’assurer une cohérence dans la gestion des risques.
2. Plan de résilience et mesures à prendre
Les entités critiques doivent mettre en place et appliquer un plan de résilience ou des documents équivalents décrivant les mesures prises. Si elles ont déjà élaboré des documents ou pris des mesures en vertu d’autres obligations juridiques pertinentes, elles peuvent les utiliser pour satisfaire aux exigences de la REC. Chaque entité critique doit désigner un agent de liaison ou une personne ayant une fonction équivalente en tant que point de contact avec les autorités compétentes. Cette désignation permet de garantir une communication efficace et une coordination optimale avec les autorités, facilitant ainsi la mise en œuvre des mesures de résilience.
Les mesures à prendre se regroupent en six thématiques :
Tenir compte des mesures de réduction des risques de catastrophe et d’adaptation au changement climatique.
Assurer une protection adéquate des locaux et infrastructures critiques, par exemple avec des clôtures, barrières, outils et procédures de surveillance, et équipements de détection et de contrôle des accès.
Mettre en œuvre des procédures et protocoles de gestion des risques et des crises, ainsi que des procédures d’alerte pour réagir et résister aux conséquences des incidents et les atténuer.
Assurer la continuité des activités et déterminer d’autres chaînes d’approvisionnement pour reprendre la fourniture du service vital après un incident.
Définir les catégories de personnel exerçant des fonctions critiques, établir des droits d’accès aux locaux, infrastructures critiques et informations sensibles, mettre en place des procédures de vérification des antécédents, et définir des exigences et qualifications appropriées en matière de formation.
Organiser des séances de formation, fournir du matériel d’information et réaliser des exercices pour sensibiliser le personnel aux mesures de résilience.
3. Obligation de notification d’incident
Les entités critiques doivent notifier sans délai les incidents perturbant leurs services essentiels aux autorités compétentes, fournir des informations détaillées sur ces incidents, et coopérer avec les autorités pour atténuer les impacts et informer le public si nécessaire. Une première notification doit être présentée au plus tard 24 heures après la prise de connaissance de l’incident, suivie, si nécessaire, d’un rapport détaillé au plus tard un mois après.
Pour déterminer l’importance de la perturbation, les paramètres suivants sont pris en compte :
- Le nombre et la proportion d’utilisateurs affectés par la perturbation.
- La durée de la perturbation.
- La zone géographique concernée par la perturbation, en tenant compte de son éventuel isolement géographique.
Les notifications doivent inclure toutes les informations disponibles nécessaires pour permettre à l’autorité compétente de comprendre la nature, la cause et les conséquences possibles de l’incident, y compris toute information nécessaire pour déterminer les impacts transfrontaliers.
4. Transpositions nationales et articulation avec d’autres règlementations
Bien que la directive REC établisse un cadre commun pour renforcer la résilience des entités critiques à l’échelle européenne, sa mise en œuvre concrète dépend des choix de transposition opérés par chaque État membre.
Dans plusieurs pays européens, notamment la France, l’articulation de ces règlementations est encore débattue et doit prendre en compte non seulement la NIS2, mais également les règlementations applicables aux entités critiques (LPM, Kritis…) ainsi que les règlementations sectorielles applicables à ces acteurs.
Vers une conformité utile et durable
La directive REC vient compléter les règlementations existantes avec un approfondissement sur les enjeux de continuité d’activité et de sécurité physique pour les infrastructures critiques. Cet approfondissement s’inscrit dans un contexte d’inflation règlementaire dont l’articulation peut s’avérer complexe et floue.
Nous sommes convaincus que cette complexité appelle une réponse intégrant l’ensemble du contexte de l’entité, afin d’éviter de traiter les enjeux règlementaires de manière silotée.
Forts de nos expériences sur la conformité règlementaire (NIS/NIS2, LPM, DORA…) auprès d’une centaine de client, ainsi que sur nos expertises en cybersécurité (résilience, gestion de crise, audit de sécurité…), nous accompagnons les organisations dans le décryptage des impacts règlementaires, leur traduction opérationnelle et la construction de trajectoires et stratégies de mise en conformité adaptées à leurs enjeux.