TRANSPOSITION DE LA DIRECTIVE REC: QUELLES EVOLUTIONS POUR LE CADRE NORMATIF APPLICABLE AUX OIV?

Négociée pour l’essentiel sous présidence française du Conseil de l’Union européenne (PFUE) et adoptée le 14 décembre 2022, la directive REC vise à renforcer la résilience des infrastructures critiques de l’Union européenne dans 11 secteurs d'activité: énergie, transports, banque, marchés financiers, santé, eau potable, eaux résiduaires, numérique, administration publique, espace et alimentation. Ce texte s'inspire largement du dispositif sécurité des activités d’importance vitale (SAIV), en vigueur en France depuis 2006 sous la supervision du premier Ministre et détaillé aux articles L. 1332-1 à L. 1332-7 de notre code de la Défense. Le Gouvernement a engagé une procédure accélérée de transposition de ce texte le mardi 15 octobre 2024 (Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité), actuellement en première lecture à l'Assemblée Nationale.

La France compte environ 300 OIV, qui exercent leur autorité sur environ 1500 PIV dont ils sont tenus d'assurer la sécurité (source: Sénat 2025). La nouvelle loi ne devrait entraîner qu'une augmentation limitée du nombre d’OIV et de PIV, estimée à quelques dizaines, du fait notamment de l'élargissement du champ d'application à plusieurs sous-secteurs dont les réseaux de chaleur et de froid, l’hydrogène ou encore l’assainissement.

En effet, le SGDSN a précisé que si les modalités de désignation des opérateurs feront l'objet de dispositions réglementaires en cours de rédaction, elles ont globalement vocation à être conservées par rapport au dispositif actuel. Ainsi, le principe de non-subsidiarité devrait demeurer déterminant : en cas de défaillance, l’absence des activités de l’opérateur menacerait la continuité de la vie de la Nation.

Si les fondations de cette nouvelle réglementation pourront sembler familières à de nombreux OIV, celle-ci amorce néanmoins une mutation philosophique en privilégiant la résilience des infrastructures critiques par rapport à leur seule protection.

Dès lors, des obligations supplémentaires sont mises à la charge des opérateurs, qui seront également davantage contrôlés par les autorités de tutelles. Bien que la transposition du texte européen ait enregistré un certain retard, administrations et entreprises sont désormais à l'oeuvre pour se conformer à ces nouvelles exigences.

Quelles évolutions juridiques apportées par la transposition de la directive REC pour les OIV?

La directive REC vient confirmer la responsabilité des entités critiques s'agissant de l'analyse de leurs propres vulnérabilités et le déploiement des mesures techniques, organisationnelles et de sécurité proportionnées afin d’assurer leur résilience face aux menaces. Elle introduit également quelques ajustements au dispositif actuel :

Corpus documentaire: Les anciennes directives nationales de sécurité (DNS) devraient être remplacées par des directives nationales de résilience (DNR). Les anciens plans de sécurité opérateurs seront quant à eux complétés et fusionnés avec une partie des plans de continuité d'activité (PCA) au sein d'un "plan de résilience opérateur » (PRO), lequel devra être établi dans un délai de 10 mois suivant la désignation de l’opérateur. Enfin, un "plan particulier de résilience" (PPR) se substituera aux actuels plans particuliers de protection (PPP) et aura notamment vocation à détailler les dispositifs de surveillance, d’alarme, de protection matérielle et de conditions d’accès mis en oeuvre.

De nouveaux plans types sont attendus dans les prochains mois. Aussi, les PSO actuels ne devraient pas pouvoir être assimilés à des PRO.

Analyse de risques et des dépendances: Si l'analyse des risques et des menaces était déjà une exigence de la précédente réglementation, la nouvelle loi devrait encourager l'analyse des dépendances et des interdépendances s'agissant de leurs activités critiques (partenaires, fournisseurs, sous-traitants) afin d'apporter des mesures correctives aux éventuels risques pesant sur les chaînes d'approvisionnement - et par extension sur les systèmes de soutien/maintenance.

Incidents majeurs: Bien que le suivi des incidents fût déjà évoqué en filigrane par l'ancienne réglementation (cf. Trame de rapport d'incident proposé par l'IGI 1300), ceux-ci ne faisaient jusqu'à présent l'objet d'aucune obligation de communication à l'autorité administrative. Suivant le principe appliqué en matière cyber, les opérateurs devraient désormais être tenus de notifier les évènements ayant eu un impact sur leur sécurité ou sur la continuité de leur activité. Pour les opérateurs, cette nouvelle obligation a pour corollaire celle d'approfondir et de détailler le schéma d'alerte, de gestion des astreintes et de remontée d’incidents.

L'autorité administrative (préfecture et SGDSN) aura alors la possibilité d'informer le public de ces incidents si elle le juge nécéssaire.

Enquêtes administratives de sécurité: Depuis la loi LOPPSI 2 de 2011, les opérateurs étaient déjà encouragés à demander la réalisation d’enquêtes administratives de sécurité pour accorder l'accès à des sites sensibles (Article R1332-22-1 du Code de la sécurité intérieure). Ainsi, le Service National des Enquêtes Administratives de Sécurité (SNEAS) estime à 70 000 le nombre d’enquêtes annuelles réalisées pour l'accès aux PIV (hors militaires et nucléaires) et dont 1 à 2% donnent lieu à un avis négatif.

Antérieurement à la directive REC, le SGDSN recommandait déjà d'identifier les postes sensibles (personnes clés du PIV). Les nouvelles dispositions en cours de rédaction devraient venir préciser les contours de cette notion, en l'élargissant aux postes supposant un accès à des informations ou des systèmes ayant un impact sur la résilience ou la sécurité de l'entité - y compris à distance. Les personnes occupant ces postes pourront alors également faire l'objet d'une enquête administrative approfondie.

Contrôles: l’actuel article R. 1332-29 du code de la défense désigne déjà à la charge du préfet la responsabilité de s'assurer du bon niveau de protection des PIV sis sur le territoire dont il a la charge. Le préfet dispose ainsi notamment de la possibilité de solliciter le contrôle d’un PIV par la Commission zonale de défense et de sécurité (CZDS). Sous l'influence de la nouvelle réglementation européenne, ces contrôles devraient désormais gagner en exigence, l'article 22 imposant aux Etats de mettre en oeuvre les « mesures nécessaires (…), effectives, proportionnées et dissuasives » pour assurer le respect des dispositions induites par la directive elle-même. Ainsi un régime de sanctions administratives devrait prochainement être précisé et une commission des sanctions devrait être instituée pour réprimer les manquements des opérateurs. Le plafond de ces amendes, envisagé par le nouvel article L. 1332-17 du code de la défense, est de dix millions d’euros ou, lorsqu’il s’agit d’une entreprise, 2 % du chiffre d’affaires annuel mondial.

Trois leviers essentiels pour engager un travail de mise en conformité

La nouvelle directive européenne marque un tournant décisif dans la manière dont les autorités encadrent et contrôlent la protection et la résilience des opérateurs d'importance vitale. Elle impose un relèvement significatif du niveau d’exigence, obligeant parfois les organisations à repenser en profondeur leur système de management de la sûreté.

Pour les OIV, la transposition de la directive REC ne doit pas être perçue comme une contrainte, mais comme une opportunité stratégique : celle de renforcer durablement les dispositifs existants, notamment pour les opérateurs confrontés à un fort turn-over ou dont les protocoles en place sont devenus trop génériques, voire obsolètes.

Pour répondre efficacement à ces nouvelles exigences, il semble indispensable d’engager une démarche structurée autour de trois axes complémentaires :

1.  Écoute active des autorités compétentes 

Il apparaît tout d'abord essentiel de rester attentif aux orientations formulées par les autorités de tutelle et le SGDSN. Ces recommandations constituent un socle de référence solide pour aligner les pratiques et documentations internes avec les standards attendus.

2.  Mobilisation transversale des ressources internes

Il convient également d'identifier et d'associer à ces travaux l'ensemble des ressources internes concernées (ressources humaines, achats, sûreté, exploitation). Une réflexion transversale est en effet le gage d'une mise en œuvre cohérente, pragmatique et dynamique des dispositifs de protection, de gestion de crise et de continuité d’activité.

3.  Évaluation rigoureuse des dispositifs existants

Un état des lieux précis des outils en place (documentation, procédures, analyse des risques, systèmes de protection, identification des postes sensibles et gestion des autorisations d'accès…) permettra d’identifier les points forts à consolider et les faiblesses à corriger. Cette analyse objective et méthodique est le préalable indispensable à toute évolution rationnelle et cohérente.

Un accompagnement sur mesure avec Eykues Consulting:

Face à ces enjeux complexes, Eykues Consulting propose un accompagnement sur mesure aux OIV pour les aider à structurer, piloter et faire évoluer leur système de management de la sûreté. Notre approche repose sur une expertise sectorielle et une méthodologie éprouvée pour garantir des résultats concrets, durables et conformes.