La Directive REC
(Résilience des Entités Critiques)
Renforcer la capacité des infrastructures essentielles à résister et à se rétablir face aux incidents physiques et cyber
Qu’est-ce que la Directive REC ?
La Directive européenne sur la Résilience des Entités Critiques (REC), adoptée le 14 décembre 2022, établit un cadre destiné à renforcer la solidité des infrastructures essentielles au sein de l’Union européenne. Elle a pour vocation de s’assurer que ces infrastructures puissent anticiper, résister et se rétablir face à des perturbations majeures, qu’elles proviennent de catastrophes naturelles, d’accidents ou d’actes malveillants.
L’ambition centrale de la directive est de garantir un haut niveau de résilience opérationnelle, en combinant des mesures de protection contre les menaces avec des dispositifs robustes de continuité d’activité. Elle encourage également une meilleure coordination et coopération entre les États membres, favorisant ainsi le partage d’informations et des réponses collectives plus efficaces lors de crises transfrontalières.
Complémentaire de la directive NIS2, qui se concentre sur la cybersécurité et la gestion des incidents numériques, la directive REC couvre quant à elle la dimension physique et organisationnelle de la résilience. Ensemble, ces deux textes forment un socle cohérent pour assurer la sécurité et la continuité des services essentiels dans l’ensemble de l’Union européenne.
Les secteurs concernés
L’identification des entités critiques relevant de la directive REC repose sur l’évaluation nationale des risques menée par chaque État membre. Cette analyse permet de déterminer quelles organisations, parmi les secteurs essentiels couverts par la directive – énergie, transports, secteur bancaire, infrastructures de marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, administration publique, spatial et alimentation – doivent être considérées comme entités critiques.
Une fois ce processus terminé, les États membres ont l’obligation de notifier officiellement les entités concernées. Cette notification confirme leur statut d’entité critique et précise les responsabilités qui en découlent, notamment la mise en place de mesures de sécurité renforcées et de plans de résilience adaptés. L’objectif est de garantir que chaque entité identifiée soit pleinement consciente de son rôle stratégique et des exigences en matière de résilience et de continuité d’activité.
Comment préparer sa mise en conformité
Les attendus du régulateur dans le cadre de la Directive REC se traduisent par un ensemble d’obligations destinées à renforcer la résilience des entités critiques. Celles-ci doivent mettre en place une démarche structurée couvrant à la fois la gestion des risques, la continuité des activités et la coopération avec les autorités. Concrètement, cela implique de :
Réaliser une analyse de risques, incluant explicitement les risques liés au changement climatique, les risques technologiques, ou encore les risques anthropiques, tels que les accidents industriels et les actes de terrorisme.
Déployer des mesures organisationnelles et techniques de prévention, afin de réduire les vulnérabilités.
Élaborer des plans de continuité d’activité et de reprise, garantissant la disponibilité des services essentiels en cas de perturbation.
Mettre en place une gouvernance de la résilience, avec une répartition claire des responsabilités, des actions de formation et la promotion d’une véritable culture d’entreprise.
Notifier les autorités nationales en cas d’incident grave affectant la continuité des services.
Coopérer avec les régulateurs et se soumettre à leurs contrôles dans un cadre de supervision régulière.
En complément des autres cadres européens, la Directive REC apporte une approche globale et systémique de la résilience. Elle vient ainsi renforcer la directive NIS2 (axée sur la cybersécurité) et le règlement DORA (spécifique au secteur financier), en intégrant la dimension physique, organisationnelle et climatique des menaces.
Les Objectifs de formation
Cette formation vise à permettre aux participants de :
Comprendre en profondeur la Directive REC, son périmètre, ses obligations et son articulation avec NIS2.
Identifier les secteurs et entités concernées, ainsi que les obligations de mise en conformité.
Conduire une analyse de risques intégrant le changement climatique et les catastrophes naturelles.
Élaborer et documenter les plans de continuité et d’adaptation conformes aux exigences du texte.
Constituer les preuves attendues par les régulateurs (politiques, procédures, rapports, exercices, audits).
Mettre en place une gouvernance et une culture de résilience, en intégrant la chaîne d’approvisionnement et les prestataires critiques.
Public et Prérequis
- Dirigeants et responsables d’entités opérant dans un secteur critique
- Responsables conformité, risk managers, responsables sûreté et continuité d’activité.
- RSSI, DPO, directeurs des opérations et directeurs généraux impliqués dans la gouvernance des risques.
- Connaissances de base en gestion des risques, conformité réglementaire ou continuité d’activité. Une familiarité avec les cadres NIS2, DORA, ISO 22301 (continuité d’activité) ou ISO 27001 (sécurité de l’information) constitue un atout, mais n’est pas obligatoire.
Formation en présentiel ou en e-Learning
- Module 1 : Résilience et processus de gestion des incidents
- Module 2 : Elaborez votre stratégie d’atténuation des risques
- Module 3 : Gestion et communication de crise
- La Directive REC :
- Module 4 : Pourquoi la Directive REC
- Module 5 : Quelles sont les entreprises impactées
- Module 6 : Les fondements, les impacts et le régime de sanction de la directive
- Module 7 : Comment préparer sa mise en conformité
- Module 8 : Interdépendances avec d’autres réglementations et normes
