Directive UE
REC : Directive Résilience des Entités Critiques
La directive (UE) 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques, dite directive REC, établit un cadre harmonisé pour renforcer la capacité des entités fournissant des services essentiels à prévenir, résister et se remettre d'incidents perturbant leur activité. Complémentaire de NIS2, elle exige la résilience physique des entités critiques face à tous les types de menaces — naturelles, accidentelles ou intentionnelles — au-delà du seul périmètre cyber.
Détails et contexte
La directive vise à renforcer, en fixant un standard européen minimum, la préparation et la réponse aux risques de toute nature auxquels sont exposées les entités des États membres fournissant des biens ou services nécessaires au fonctionnement du marché intérieur. Onze secteurs sont couverts : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux résiduaires, infrastructures numériques, administration publique, espace, production et distribution de denrées alimentaires.
La directive impose trois principales obligations aux États membres : développer une stratégie nationale, évaluer les risques auxquels les entités critiques sont exposées, et recenser les entités soumises à des exigences spécifiques de résilience. Les évaluations des risques rendent compte des risques naturels et d'origine humaine, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides ou terroristes. Le délai de transposition était fixé au 17 octobre 2024, à l'identique de NIS2.
Lien avec NIS2
Les entités désignées comme critiques au titre de la directive REC sont automatiquement considérées comme entités essentielles au titre de la directive NIS2. Cette articulation organise une approche coordonnée : compte tenu de l'importance de la cybersécurité pour la résilience, une approche cohérente entre REC et NIS2 est nécessaire, NIS2 traitant la cybersécurité de manière complète tandis que REC couvre la sécurité physique et organisationnelle face à l'ensemble des risques.
En France, REC se transpose par l'adaptation du dispositif national de Sécurité des Activités d'Importance Vitale (SAIV), complété de nouvelles obligations alignées sur les exigences européennes. Les mesures REC s'articulent directement avec les obligations de l'Article 21 §2 de NIS2 relatif aux mesures de gestion des risques.