Directive REC : où en est la transposition en Europe ?
Publié le 26 janvier 2026
- Cybersécurité
En bref
- La directive européenne REC (Résilience des Entités Critiques) vise à renforcer la résilience des infrastructures critiques (énergie, transport, santé…) dans toute l’Europe
- Sa transposition progresse de manière très hétérogène en Europe, avec des pays répartis en différents niveaux de maturité :
- Pays avancés : projet de loi approuvé
- Pays moyennement avancés : projet de loi en cours
- Pays peu avancés : niveau de transposition intermédiaire
Qu’est-ce que la directive REC ?
La directive (UE) 2022/2557 du 14 décembre 2022, connue sous le nom de directive sur la résilience des entités critiques (REC), établit un cadre juridique européen destiné à garantir que les services essentiels au maintien des fonctions sociétales ou économiques vitales soient assurés de manière continue dans l’ensemble du marché intérieur. Elle remplace la directive 2008/114/CE, jugée obsolète face à la multiplication des menaces (cyber, physiques, climatiques, hybrides) et à l’interconnexion croissante des infrastructures à l’échelle européenne.
La directive REC impose aux États membres de recenser, superviser et accompagner les entités publiques ou privées jugées critiques, dans 11 secteurs clés tels que l’énergie, les transports, la santé ou encore l’eau. Ces entités devront mettre en œuvre des mesures organisationnelles et techniques leur permettant de prévenir, résister, atténuer et se remettre d’incidents susceptibles d’affecter la fourniture des services essentiels.
La directive devait être transposée en droit national au plus tard le 17 octobre 2024, imposant un calendrier contraint aux autorités nationales. De plus, le texte prévoit l’adoption par chaque État membre, d’ici au 17 janvier 2026, d’une stratégie nationale de résilience, fondée sur une analyse des risques et assortie de mesures de soutien. Il organise une coordination renforcée entre les autorités compétentes nationales et européennes, en lien étroit avec les exigences de cybersécurité prévues par la directive NIS2.
Toutefois, la transposition de la directive progresse de manière hétérogène au sein de l’Union, certains États membres ayant pleinement intégré les exigences dans leur droit national.
Cet article compare le niveau de transposition dans chaque État membre en date du 9 janvier 2026.
Retrouvez également l’état des lieux de la transposition de la Directive NIS2.
Transposition de la directive REC en Europe
Cette carte, mise à jour le 9 janvier 2026, présente les différents niveaux de maturité de l’ensemble des pays européens face à la Directive REC.
- Niveau de maturité 1 :
Peu d’avancées ou peu d’informations communiquées sur la transposition. Aucun pays n’est à un niveau de maturité 1. - Niveau de maturité 2 :
De nombreux évènements clés et un niveau de transposition intermédiaire. Les pays concernés sont : Malte, Suède, Bulgarie. - Niveau de maturité 3 :
Projet de loi en cours de proposition auprès des instances législatives. Les pays concernés sont : Pologne, Luxembourg, France, Espagne, Pays-Bas, Allemagne. - Niveau de maturité 4 :
Projet de loi approuvé. Les pays concernés sont : Danemark, Irlande, Italie, Portugal, Estonie, Slovaquie, Lituanie, Hongrie, Roumanie, Slovénie, Finlande, Belgique, Croatie, Grèce, Lettonie, République Tchèque, Autriche, Chypre.
Pays ayant approuvé leur transposition (maturité 4)
Pays ayant avancé significativement dans le processus de transposition (maturité 3)
Pays avec niveau de transposition intermédiaire (maturité 2)
Focus sur certains pays européens
Niveau de maturité : 4
La Loi LXXXIV 2024 a été adoptée le 30 décembre 2024 et est entrée en vigueur dès sa publication dans le Magyar Közlöny (Journal Officiel de la Hongrie). Le décret gouvernemental 474/2024 (XII. 31.) détaille la mise en œuvre de la loi.
Spécificités nationales :
- Le décret applicatif publié par la Hongrie fournit un socle commun de 16 mesures applicables à toutes les entités critiques hongroises. A celui-ci s’ajoute une liste de mesures supplémentaires à appliquer aux entités selon leur niveau de criticité (2 mesures pour le niveau 1 ; 18 mesures pour le niveau 2 ; 25 mesures pour le niveau 3).
- Ces trois niveaux de criticité sont identifiés par les autorités compétentes, selon le nombre d’usagers du service que l’entité fournit, sa couverture géographique, le nombre de secteurs concernés, et l’impact d’un évènement extraordinaire.
Autorité(s) compétente(s) :
- Les autorités compétentes sont les ministères de tutelle des organismes critiques, dirigés par un Comité interministériel pour la résilience (CIR). En Hongrie, l’organisme central des services professionnels de gestion des catastrophes est désigné comme l’autorité générale responsable de la désignation des infrastructures critiques.
Niveau de maturité : 3
Le ministère de l’Intérieur (BMI) a publié le 2 septembre 2025 un nouveau projet de loi pour la Résilience des Infrastructure Critiques (KritisDG), actuellement en cours d’examen au Bundestag.
Etapes clés :
- 24 mai 2024 : Le projet de loi est transmis au Bundesrat (chambre haute du parlement allemand) pour examen.
- 14 juin 2024 : Le Bundesrat rend un avis sur le projet de loi.
- 5 décembre 2024 : Le Bundestag tient une première lecture du projet de loi
- 2 septembre 2025 : Le ministère de l’Intérieur (BMI) publie un nouveau projet de loi pour la Résilience des Infrastructure Critiques (Kritis Dachgesetz).
- 10 septembre 2025 : Le cabinet fédéral a approuvé le projet de loi Kritis DG et a donc adopté le projet gouvernemental.
- 6 novembre 2025 : Le Bundestag tient une première lecture du nouveau projet de loi Kristis DG.
Spécificités nationales :
- L’Allemagne a déjà identifié en 2009 une liste d’opérateurs « Kritis », qui constitue les entités essentielles aux activités jugées critiques à l’infrastructure nationale.
- Le projet de loi « KRITIS-Dachgesetz », est une loi-cadre nationale qui introduit des obligations générales, transversales et proportionnées en matière de protection physique des infrastructures critiques, selon une approche « tous risques ». Les obligations de REC ont donc vocation à être appliquées a minima aux opérateurs Kritis déjà identifiés.
Autorité(s) compétente(s) :
- Le Bureau de la Sécurité de l’Information (BSI)
- L’Office fédéral de la protection civile (BBK)
Niveau de maturité : 3
Le projet de loi regroupant NIS 2, REC et le texte sur la résilience du secteur financier a été présenté en Conseil des ministres le 15 octobre 2024. Il est actuellement en cours d’examen à l’Assemblée nationale.
Etapes clés :
- 15 octobre 2024 : Dépôt du projet de loi au Sénat par le gouvernement, avec engagement de la procédure accélérée.
- 12 mars 2025 : Adoption en première lecture par le Sénat (texte n° 78, 2024-2025), et transmission du texte à l’Assemblée Nationale le 13 mars.
- Mars à juillet 2025 : Sessions d’experts interrogés par la commission spéciale.
- 10 septembre 2025 : Publication du rapport de la Commission spéciale et adoption à l’unanimité.
Spécificités nationales :
- La France choisit d’intégrer la directive REC en complétant son dispositif national de sécurité des activités d’importance vitale (SAIV) datant de 2006, notamment en conservant les notions structurantes du droit national, les infrastructures critiques étant définies comme les Points d’Importance Vitale (PIV) et les Systèmes d’Information d’Importance Vitale (SIIV), tout en élargissant leur périmètre et en y intégrant les nouvelles obligations européennes.
- Les OIV doivent détailler des mesures de résilience adaptées dans un « plan de résilience opérateur » (PRO), ainsi qu’un « plan particulier de résilience » (PPR) pour chaque point d’importance vitale (PIV).
Autorité(s) compétente(s) :
- Agence nationale de la sécurité des systèmes d’information (ANSSI)
- Secrétariat général de la défense et de la sécurité nationale (SGDSN)
Niveau de maturité : 4
L’Italie a finalisé la transposition de la directive REC par le décret législatif « n°134 » du 4 septembre 2024, publié au Journal officiel n°223 du 23 septembre 2024. En juillet, le Rapport final de la consultation sur la Stratégie pour la résilience des entités critiques a été publié, marquant l’avancée du travail de développement de la stratégie nationale prévu par la directive.
Spécificités nationales :
- Aucun référentiel d’exigences n’a été publié à ce jour.
- La transposition nationale italienne de la Directive REC inclut spécifiquement le secteur des eaux irriguées, en plus des 11 secteurs initialement prévus par le cadre européen.
Autorité(s) compétente(s) :
- Les autorités compétentes sont les ministères de tutelle des organismes critiques, dirigés par un Comité interministériel pour la résilience (CIR), sous la supervision générale de la délégation du Sous-Secrétaire d’Etat Alfredo Monatavano.
Niveau de maturité : 3
Un projet de loi intitulé « Ley de medidas para la protección y resiliencia de las entidades críticas », a été approuvé le 27 mai 2025, et des organes de mise en œuvre déjà identifiés. Une phase de consultation publique s’est clôturée le 10 juin.
Etapes clés :
- 29 octobre 2024 : Congrès sur la protection des infrastructures et la résilience des entités critiques.
- 27 mai 2025 : le Conseil des ministres approuve le projet de loi.
- Du 27 mai au 10 juin : Phase de consultation publique.
Spécificités nationales :
- Le texte prévoit la création d’un mécanisme national de certification, afin d’attester des niveaux de qualité, de sécurité et de conformité des entités. Le contenu et le mécanisme de certification sera déterminé par de futurs règlements.
Autorité(s) compétente(s) :
- Le Secrétariat d’État à la Sécurité est l’autorité centrale compétente, responsable de la supervision, de l’élaboration des plans et de la mise en œuvre du mécanisme de certification.
- Le CNPREC (Centro Nacional para la Protección y la Resiliencia de las Entidades Críticas) assure l’identification des entités critiques, leur notification et agit comme point de contact en cas d’incident.
- La Commission nationale pour la protection et la résilience des entités critiques est un organe collégial chargé d’approuver les plans stratégiques sectoriels et d’identifier les entités concernées.
- Le groupe de travail interministériel apporte un appui à l’élaboration de la stratégie nationale et à l’évaluation des menaces.
Niveau de maturité : 4
Le décret-loi « n°22/2025 », transposant la directive REC, a été approuvé le 12 mars et publié le 19 mars 2025. Le texte est entré en vigueur le 24 mars 2025.
Spécificités nationales :
- Aucun référentiel d’exigences n’a été publié à ce jour.
- Les entités critiques doivent tester régulièrement leurs plans de résilience et de sécurité via des exercices encadrés par les autorités sectorielles et le Secrétaire général du Système de sécurité intérieure (SGSSI), avec communication préalable, rapport post-exercice et possibilité d’exercices transversaux incluant d’autres États membres de l’UE.
Autorité(s) compétente(s) :
La transposition de la directive CER (Directive UE 2022/2557) via le Decreto Lei n.º 22/2025 prévoit un cadre de gouvernance dual : au niveau national, le Secrétaire général du Système de Sécurité Intérieure (SGSSI) assure la coordination globale des activités liées à la résilience des entités critiques et sert de point de contact central pour la coopération européenne. Au niveau sectoriel, chaque Autoridade Setorial Competente (ASC) est chargée d’identifier les entités critiques de son secteur, de superviser la mise en œuvre des mesures de résilience et de transmettre les informations au SGSSI.
Niveau de maturité : 3
Le projet de loi « Wet weerbaarheid kritieke entiteiten (Wwke) » a clôturé sa consultation publique le 1er juillet 2024. Il a reçu l’avis du Conseil d’État le 20 février 2025 et a été soumis à la Chambre des Représentants, qui a publié son rapport sur le projet de loi le 4 septembre 2025.
Etapes clés :
- 21 mai 2024 : Publication du projet de loi de transposition NIS2 et du projet de loi sur la résilience des entités critiques (Wwke).
- 21 mai – 2 juillet 2024 : Consultation publique.
- 2 juillet 2024 : Clôture de la consultation interne sur la résilience des entités critiques.
- Le 20 février 2025, la proposition de loi a été validée par le Conseil d’Etat
- Le 4 septembre 2025, la Chambre des Représentants a publié son rapport sur le projet de loi.
- Du 10 novembre au 21 décembre 2025 : Nouvelle phase de consultation publique sur le projet de loi.
Spécificités nationales :
- L’autorité compétente peut reconnaître certains actes sectoriels de l’UE comme équivalents aux mesures de l’article 16, qui impose aux entités critiques de mettre en place des mesures techniques, de sécurité et organisationnelles proportionnées pour assurer leur résilience, auquel cas ces mesures ne s’appliquent pas aux entités concernées.
- Les Pays-Bas disposent déjà d’une politique de protection et de renforcement cyclique de l’infrastructure vitale (Aanpak vitaal) que la REC va renforcer. Cette politique s’articule autour de l’instrumentarium vital, un cycle de processus d’évaluation à répéter au minimum tous les quatre ans.
- La procédure est appliquée par le ministre compétent, et dans le cas où une évolution, une actualité ou une menace le justifie, peut être appliquée avant les quatre ans minimums à la décision du ministre compétent ou du ministre de la Justice et de la Sécurité.
Autorité(s) compétente(s) :
- Le ministère de la Justice et de la Sécurité coordonne la stratégie nationale.
- Chaque ministère est responsable des entités de son secteur d’activité. Les ministères désignent les superviseurs pour contrôler le respect des obligations, incluant audits et inspections.
La directive REC constitue un pilier majeur du cadre réglementaire européen en matière de résilience des entités critiques. Comprendre l’état de sa transposition est essentiel pour anticiper les exigences à venir et structurer une démarche de conformité et de résilience durable. Wavestone accompagne les acteurs publics et privés dans cette transformation.
