Retour aux actualitésDirective CER

    Directive CER : résilience des entités critiques, le pendant physique de NIS2

    15 min de lecture

    Adoptée le 14 décembre 2022 et transposée en droit français en 2024-2025, la directive (UE) 2022/2557 dite CER (Critical Entities Resilience) impose aux entités critiques européennes de renforcer leur résilience face à un large spectre de menaces : catastrophes naturelles, terrorisme, sabotage, menaces hybrides, conflits armés. Souvent éclipsée par sa cousine NIS2, la CER constitue pourtant un pilier essentiel de la stratégie de sécurité européenne.

    Qu'est-ce que la directive CER ?

    La directive CER remplace la directive 2008/114/CE sur les infrastructures critiques européennes. Là où NIS2 se concentre sur la cybersécurité des réseaux et systèmes d'information, la CER traite de la résilience physique et organisationnelle des entités jugées critiques pour le maintien des fonctions sociétales et économiques essentielles.

    Les deux textes ont été pensés comme complémentaires : toute entité désignée critique au titre de la CER doit également respecter les obligations cyber de NIS2.

    Quels secteurs et entités sont concernés ?

    La directive CER cible 11 secteurs jugés critiques :

    • Énergie : électricité, chauffage urbain, pétrole, gaz, hydrogène.
    • Transports : aérien, ferroviaire, routier, maritime, fluvial.
    • Banques et infrastructures de marché financier.
    • Santé : hôpitaux, fabrication de médicaments et de dispositifs médicaux critiques.
    • Eau potable et eaux usées.
    • Infrastructures numériques : datacenters, IXP, fournisseurs DNS.
    • Administration publique.
    • Espace : opérateurs de stations sol pour services satellitaires.
    • Production, transformation et distribution alimentaire.

    Les États membres désignent nominativement les entités critiques sur la base d'analyses de risques nationales. Une entité peut être également désignée comme critique d'importance européenne si elle fournit des services essentiels dans au moins 6 États membres. En France, la désignation est articulée avec le dispositif OIV (Opérateurs d'Importance Vitale) déjà existant.

    Les principales obligations imposées par la CER

    1. Évaluation des risques au niveau national et au niveau de l'entité

    Les États membres doivent réaliser une évaluation des risques nationale tous les 4 ans. Chaque entité critique doit en parallèle conduire sa propre évaluation des risques couvrant un large spectre de menaces : catastrophes naturelles, accidents technologiques, terrorisme, infiltration, sabotage, menaces hybrides, conflits armés.

    2. Mesures de résilience à mettre en œuvre

    Sur la base de cette analyse, l'entité doit déployer des mesures techniques, sécuritaires et organisationnelles, parmi lesquelles :

    • Protection physique des sites critiques (contrôle d'accès, vidéosurveillance, sécurisation périmétrique).
    • Gestion de la sécurité du personnel (criblage, formation, sensibilisation).
    • Plans de continuité et de reprise d'activité testés régulièrement.
    • Diversification des fournisseurs et redondance des chaînes critiques.
    • Procédures de gestion de crise et coordination avec les autorités.
    • Plans de gestion des incidents avec retours d'expérience.

    3. Notification des incidents perturbateurs

    Les entités critiques doivent notifier sans délai (au plus tard sous 24 heures) toute perturbation significative de leur service à l'autorité compétente. Un rapport détaillé doit suivre dans le mois.

    4. Désignation d'un point de contact unique

    Chaque entité doit désigner un responsable résilience au plus haut niveau, point de contact unique avec les autorités, garant du suivi des obligations CER.

    5. Habilitation du personnel sensible

    Pour les fonctions sensibles, des procédures de vérification d'antécédents peuvent être mises en place, dans le respect strict du droit national et du RGPD.

    Calendrier d'application en France

    • 17 octobre 2024 : date limite de transposition par les États membres.
    • 17 janvier 2026 : adoption de la stratégie nationale de résilience.
    • 17 juillet 2026 : première identification officielle des entités critiques.
    • 9 mois après désignation : entrée en vigueur des obligations pour chaque entité critique.

    En France, la transposition s'appuie sur la loi de programmation militaire, le code de la défense (articles relatifs aux OIV) et de nouveaux textes spécifiques portés par le SGDSN et l'ANSSI.

    Sanctions prévues

    Chaque État membre fixe son régime de sanctions, qui doit être « effectif, proportionné et dissuasif ». En France, les sanctions s'inspirent du dispositif OIV existant et peuvent atteindre :

    • Plusieurs centaines de milliers d'euros d'amende administrative.
    • Sanctions pénales pour les manquements graves.
    • Mesures coercitives : injonctions, contrôles renforcés, publication des sanctions.
    • Mise en cause de la responsabilité personnelle des dirigeants.

    CER et NIS2 : deux facettes d'une même résilience

    CritèreCERNIS2
    ObjetRésilience physique et organisationnelleCybersécurité des réseaux et SI
    Périmètre11 secteurs critiques, entités désignées18 secteurs, plus de 12 000 entités en France
    DésignationNominative par l'ÉtatAuto-évaluation
    Autorité françaiseSGDSN / ministères de tutelleANSSI
    Notification incident24h / 1 mois (rapport)24h / 72h / 1 mois

    Plan de mise en conformité CER en 6 étapes

    1. Confirmer le statut d'entité critique auprès de l'autorité de désignation.
    2. Réaliser une analyse de risques tous risques incluant menaces physiques, hybrides, climatiques et chaîne d'approvisionnement.
    3. Cartographier les services et actifs essentiels ainsi que leurs interdépendances.
    4. Mettre à jour le plan de continuité et de reprise d'activité en intégrant les scénarios CER.
    5. Renforcer la sécurité physique, la gouvernance de crise et la sécurité du personnel.
    6. Désigner le responsable résilience et formaliser les procédures de notification d'incident.

    Articulation avec les programmes existants (OIV, NIS2, DORA, ISO 22301)

    Les entités déjà OIV ou ISO 22301 disposent d'un socle solide qui couvre une large partie des exigences CER. La valeur ajoutée d'un projet CER consiste à unifier les démarches de résilience cyber (NIS2/DORA) et de résilience opérationnelle (CER/ISO 22301) sous une gouvernance commune, portée au niveau du comité exécutif.

    Conclusion : faire de la résilience un avantage stratégique

    Dans un contexte géopolitique tendu, la directive CER consacre la résilience comme exigence stratégique au niveau européen. Pour les entités concernées, c'est l'occasion de structurer durablement leur capacité à absorber, résister et se rétablir face aux chocs, qu'ils soient cyber, physiques ou hybrides.

    CyberConform accompagne les opérateurs critiques (énergie, santé, transports, infrastructures numériques, agroalimentaire) dans leur mise en conformité combinée CER/NIS2 : analyse de risques tous risques, gouvernance de crise, plan de continuité, sécurité physique et coordination avec les autorités (SGDSN, ANSSI, ministères de tutelle).

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit