Innovation
Congé maternité des avocates « à leur compte » : un défi organisationnel et financier (Part 2)
Directive REC : définition, obligations et transposition en France via la loi Résilience
Points clés de l'article
- La directive REC (UE 2022/2557) impose aux entités critiques européennes des obligations de résilience face aux risques physiques et opérationnels, en remplacement de la directive de 2008 sur les infrastructures critiques.
- Le périmètre passe de 6 à 18 secteurs d'activité et de 500 à environ 15 000 entités concernées en France.
- Chaque entité désignée doit réaliser une analyse de risques, établir un plan de résilience et notifier tout incident perturbant ses services essentiels.
- La transposition française s'effectue via le projet de loi Résilience, en cours d'examen parlementaire, qui désigne des autorités sectorielles de contrôle et prévoit un régime de sanctions.
- La directive REC s'articule avec NIS2 (cybersécurité) et DORA (résilience numérique financière) pour couvrir l'ensemble du spectre des menaces pesant sur les infrastructures critiques.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce que la directive REC ? Définition, objectifs et cadre européen
Périmètre d'application : quelles entreprises sont qualifiées d'entités critiques ?
Les 18 secteurs d'activité concernés par la directive
Obligations principales : analyse des risques, plan de résilience et notification d'incidents
La transposition française : projet de loi Résilience et calendrier législatif
Articulation avec NIS2 et DORA : cybersécurité et résilience opérationnelle numérique
Sanctions, contrôles et compétences des autorités sectorielles
Comment se mettre en conformité : feuille de route pour les directions juridiques
Qu'est-ce que la directive REC ? Définition, objectifs et cadre européen
La directive REC (Resilience of Critical Entities), adoptée le 14 décembre 2022 sous la référence UE 2022/2557, établit un cadre harmonisé pour renforcer la résilience des entités fournissant des services essentiels au fonctionnement du marché intérieur européen. Elle remplace la directive 2008/114/CE, qui ne couvrait que les infrastructures critiques européennes dans 2 secteurs (énergie et transports).
Le texte part d'un constat : les interdépendances entre secteurs se sont multipliées, et les menaces — catastrophes naturelles, attaques terroristes, sabotages, pandémies — ne se limitent plus au périmètre numérique couvert par la directive NIS2. La directive REC vise donc les risques physiques et opérationnels susceptibles de perturber la fourniture de services essentiels à la population et à l'économie.
Concrètement, chaque État membre doit identifier ses entités critiques, leur imposer des mesures de résilience proportionnées et superviser leur mise en œuvre. La date limite de transposition était fixée au 17 octobre 2024. La France, comme plusieurs autres États membres, accuse un retard sur ce calendrier.
Périmètre d'application : quelles entreprises sont qualifiées d'entités critiques ?
Une entité est qualifiée de « critique » lorsqu'elle fournit un ou plusieurs services essentiels listés par la directive et qu'une perturbation de ces services aurait un effet significatif sur l'ordre public, la sécurité, la santé ou l'économie. La désignation relève de chaque État membre, sur la base d'une évaluation nationale des risques réalisée tous les 4 ans.
En France, le passage de l'ancien régime des opérateurs d'importance vitale (OIV) au nouveau cadre REC élargit considérablement le champ. Le nombre d'entités concernées passerait d'environ 500 OIV à près de 15 000 entités critiques, selon les estimations du gouvernement. Cet élargissement s'explique par l'extension sectorielle et par l'abaissement des seuils de désignation.
Les critères de désignation incluent notamment : le nombre d'utilisateurs dépendant du service, l'effet d'une perturbation sur d'autres secteurs (effet en cascade), la part de marché de l'entité et la zone géographique affectée. Les entités désignées en seront notifiées individuellement par l'autorité compétente.
| Critère | Ancien régime (OIV) | Nouveau régime (REC) |
|---|---|---|
| Nombre de secteurs | 6 | 18 |
| Entités estimées en France | ~500 | ~15 000 |
| Base juridique | Code de la défense | Directive UE 2022/2557 |
| Évaluation des risques | Nationale, non formalisée | Nationale, tous les 4 ans |
| Couverture des risques | Principalement sécuritaire | Physique, opérationnel, climatique |
Les 18 secteurs d'activité concernés par la directive
La directive REC couvre 18 secteurs, contre 6 dans le régime OIV français. Cette extension reflète la prise en compte des interdépendances entre infrastructures.
Les secteurs désignés sont les suivants :
- Énergie (électricité, gaz, pétrole, hydrogène, chauffage urbain)
- Transports (aérien, ferroviaire, maritime, routier, fluvial)
- Banque
- Infrastructures des marchés financiers
- Santé
- Eau potable
- Eaux usées
- Infrastructures numériques
- Gestion des services TIC (B2B)
- Administration publique
- Espace
- Production, transformation et distribution de denrées alimentaires
- Fabrication (dispositifs médicaux, produits informatiques, équipements de transport, etc.)
- Fournisseurs de services numériques
- Recherche
- Services postaux et d'expédition
- Gestion des déchets
- Produits chimiques
Pour chaque secteur, la directive précise les types de services considérés comme essentiels. Une entreprise opérant dans plusieurs secteurs peut être désignée au titre de chacun d'entre eux.
Identifier si votre entreprise entre dans le périmètre REC suppose une analyse croisée entre secteur d'activité, criticité du service et seuils de désignation.
Échangez avec un avocat spécialisé en cybersécurité et résilience
Obligations principales : analyse des risques, plan de résilience et notification d'incidents
La directive impose 3 obligations structurantes à chaque entité désignée.
Analyse des risques
L'entité doit réaliser une évaluation des risques pesant sur la continuité de ses services essentiels. Cette analyse couvre les risques naturels (inondations, séismes, pandémies), les risques d'origine humaine (terrorisme, sabotage, vol) et les risques techniques (défaillance d'infrastructure, rupture d'approvisionnement). Elle doit être actualisée à chaque changement significatif et au minimum tous les 4 ans, en cohérence avec l'évaluation nationale.
Plan de résilience
Sur la base de cette analyse, l'entité élabore un plan de résilience détaillant les mesures de prévention, de protection, d'atténuation, de continuité d'activité et de rétablissement. Ce plan doit être proportionné aux risques identifiés et à la taille de l'entité. Il inclut des mesures de sécurité physique (contrôle d'accès, surveillance), de gestion de crise et de formation du personnel.
Notification d'incidents
Tout incident perturbant ou susceptible de perturber significativement la fourniture d'un service essentiel doit être notifié à l'autorité compétente dans un délai de 24 heures. Un rapport détaillé doit suivre dans un délai d'un mois. Les critères de notification incluent le nombre d'utilisateurs affectés, la durée de la perturbation et sa portée géographique.
| Obligation | Contenu | Fréquence |
|---|---|---|
| Analyse des risques | Cartographie des menaces physiques et opérationnelles | Tous les 4 ans minimum |
| Plan de résilience | Prévention, protection, continuité, rétablissement | Mise à jour continue |
| Notification d'incidents | Alerte initiale + rapport détaillé | 24 h + 1 mois |
La transposition française : projet de loi Résilience et calendrier législatif
La France transpose la directive REC — ainsi que NIS2 — via le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dit « loi Résilience ». Ce texte a été présenté en Conseil des ministres le 15 octobre 2024 et est en cours d'examen parlementaire au premier semestre 2025.
Le projet de loi confie à l'ANSSI (Agence nationale de la sécurité des systèmes d'information) un rôle de coordination, tandis que des autorités sectorielles seront désignées pour chaque secteur couvert. Ces autorités seront chargées de la désignation des entités critiques, du contrôle du respect des obligations et de la gestion des notifications d'incidents.
Le texte prévoit une période de mise en conformité après la désignation formelle des entités. Les délais exacts dépendront des décrets d'application, mais les travaux parlementaires évoquent un délai de 18 mois à compter de la notification de désignation pour satisfaire l'ensemble des obligations.
La date limite de transposition européenne (17 octobre 2024) étant dépassée, les entités potentiellement concernées ont intérêt à anticiper sans attendre la publication définitive de la loi.
La transposition française de la directive REC crée de nouvelles obligations pour un périmètre élargi d'entreprises. Anticiper la mise en conformité réduit le risque de sanctions.
Consultez un avocat spécialisé en résilience et cybersécurité
Articulation avec NIS2 et DORA : cybersécurité et résilience opérationnelle numérique
La directive REC ne couvre pas les risques cyber, qui relèvent de la directive NIS2 (UE 2022/2555), adoptée le même jour. Les deux textes sont conçus comme complémentaires : REC traite la résilience physique et opérationnelle, NIS2 traite la cybersécurité. Une entité désignée comme critique au titre de REC est automatiquement considérée comme entité essentielle au sens de NIS2.
Pour le secteur financier, le règlement DORA (Digital Operational Resilience Act, UE 2022/2554) constitue une lex specialis qui prime sur NIS2 en matière de résilience numérique. Les établissements financiers désignés au titre de REC doivent donc respecter simultanément REC (résilience physique) et DORA (résilience numérique).
Cette superposition crée un maillage réglementaire dense. Pour les directions juridiques, l'enjeu consiste à cartographier les obligations applicables à leur entité en croisant les 3 textes :
- REC : risques physiques, opérationnels, climatiques
- NIS2 : risques cyber, sécurité des systèmes d'information
- DORA : résilience numérique spécifique au secteur financier
Les exigences de notification d'incidents, en particulier, diffèrent selon les textes en termes de délais et d'autorités destinataires. Une coordination interne entre direction juridique, direction des systèmes d'information et direction de la sûreté est indispensable.
Sanctions, contrôles et compétences des autorités sectorielles
Le projet de loi Résilience prévoit un régime de sanctions administratives en cas de manquement aux obligations issues de la directive REC. Les montants envisagés dans les travaux parlementaires atteignent jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé — un plafond aligné sur celui de NIS2.
Les autorités sectorielles désignées par décret disposeront de pouvoirs de contrôle incluant :
- Des audits sur pièces et sur place
- Des demandes d'information et de documentation
- Des injonctions de mise en conformité assorties d'astreintes
- Le prononcé de sanctions financières
La directive prévoit également que les autorités puissent exiger la communication des résultats de l'analyse des risques et du plan de résilience. Le défaut de notification d'un incident constitue un manquement autonome, sanctionnable indépendamment de la gravité de l'incident lui-même.
Pour les entités critiques d'importance européenne particulière (fournissant un service essentiel dans 6 États membres ou plus), la Commission européenne peut organiser des missions consultatives spécifiques.
Comment se mettre en conformité : feuille de route pour les directions juridiques
La mise en conformité avec la directive REC suppose une démarche structurée en plusieurs étapes. Voici une feuille de route opérationnelle adaptée aux directions juridiques.
Étape 1 — Qualifier l'exposition de l'entreprise
Vérifier si l'entreprise opère dans l'un des 18 secteurs couverts, identifier les services potentiellement essentiels et évaluer la probabilité de désignation au regard des critères de la directive (nombre d'utilisateurs, part de marché, zone géographique, effet en cascade).
Étape 2 — Cartographier les obligations croisées
Croiser les exigences REC avec celles de NIS2 et, le cas échéant, de DORA. Identifier les recoupements (notification d'incidents, gouvernance des risques) et les spécificités propres à chaque texte.
Étape 3 — Réaliser l'analyse des risques
Conduire une évaluation des risques physiques et opérationnels couvrant l'ensemble des menaces listées par la directive. Associer les directions opérationnelles (sûreté, SI, continuité d'activité) à cet exercice.
Étape 4 — Élaborer le plan de résilience
Formaliser les mesures de prévention, protection, continuité et rétablissement. Documenter les procédures de gestion de crise et les dispositifs de formation du personnel.
Étape 5 — Mettre en place le dispositif de notification
Définir les processus internes de détection, qualification et remontée des incidents. Identifier l'autorité sectorielle compétente et préparer les modèles de notification conformes aux exigences réglementaires.
Étape 6 — Organiser la gouvernance interne
Désigner un référent résilience au sein de l'entreprise. Mettre en place un comité de pilotage associant direction juridique, direction de la sûreté, DSI et direction générale. Planifier des revues périodiques du dispositif.
La conformité à la directive REC mobilise des compétences juridiques, opérationnelles et techniques. Un accompagnement spécialisé permet de structurer la démarche dès la phase d'analyse.
Trouvez un avocat spécialisé en cybersécurité et résilience
FAQ
La directive REC s'applique-t-elle aux PME ?
La directive ne fixe pas de seuil de taille. Une PME peut être désignée comme entité critique si elle fournit un service essentiel dans l'un des 18 secteurs couverts et que sa perturbation aurait un effet significatif. En pratique, la désignation dépendra des critères retenus par chaque État membre dans son évaluation nationale des risques.
Quelle est la différence entre la directive REC et NIS2 ?
La directive REC couvre les risques physiques et opérationnels (catastrophes naturelles, sabotage, pandémies), tandis que NIS2 traite les risques cyber et la sécurité des systèmes d'information. Les deux textes sont complémentaires : une entité critique au sens de REC est automatiquement soumise à NIS2.
Quand la loi Résilience entrera-t-elle en vigueur en France ?
Le projet de loi est en cours d'examen parlementaire au premier semestre 2025. La date d'entrée en vigueur dépendra de l'adoption définitive du texte et de la publication des décrets d'application. Les entités potentiellement concernées disposeraient ensuite d'un délai estimé à 18 mois pour se mettre en conformité.
Comment savoir si mon entreprise sera désignée comme entité critique ?
La désignation sera effectuée par les autorités sectorielles françaises, sur la base de l'évaluation nationale des risques. Les critères incluent le secteur d'activité, le nombre d'utilisateurs du service, la zone géographique couverte et l'effet potentiel en cascade sur d'autres secteurs. Chaque entité désignée recevra une notification individuelle.
Quelles sanctions sont prévues en cas de non-conformité ?
Le projet de loi Résilience prévoit des sanctions administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Les autorités sectorielles pourront également prononcer des injonctions de mise en conformité et des astreintes.
Pour aller plus loin
Directive (UE) 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques - Légifrance
Avis sur le projet de loi relatif à la résilience des activités d'importance vitale - Conseil d'État
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
