Glossaire · Infrastructure critique UE Directive REC (Directive sur la résilience des entités critiques (Directive UE 2022/2557))
Directive européenne établissant des règles harmonisées pour renforcer la résilience des entités fournissant des services essentiels dans 11 secteurs critiques. Règlement frère de NIS2 — là où NIS2 traite de la cybersécurité, la directive REC traite plus largement de la résilience physique, hybride et opérationnelle. En vigueur depuis janvier 2023, transposition par les États membres attendue pour octobre 2024.
## Qu'est-ce que la directive REC concrètement
La directive sur la résilience des entités critiques (REC, Directive UE 2022/2557) est le cadre de l'UE pour renforcer la résilience des entités fournissant des services essentiels dans des secteurs critiques. Adoptée fin 2022 et en vigueur depuis janvier 2023, avec une transposition par les États membres requise pour octobre 2024, elle agit comme la **régulation sœur non cyber de NIS2**.
Là où [NIS2](/fr/glossary/nis2/) traite de la cybersécurité pour les entités essentielles et importantes, la directive REC traite du tableau plus large de la résilience — sécurité physique, menaces hybrides, continuité opérationnelle, dépendances de la chaîne d'approvisionnement et capacité de récupération pour la même population générale d'entités.
## Quels secteurs sont couverts
La directive REC identifie 11 secteurs critiques :
| Secteur | Exemples |
|--------|----------|
| **Énergie** | Électricité, pétrole, gaz, chauffage urbain, hydrogène |
| **Transports** | Aérien, ferroviaire, maritime, routier |
| **Banque** | Établissements de crédit |
| **Infrastructures de marchés financiers** | Plateformes de négociation, contreparties centrales |
| **Santé** | Prestataires de soins, laboratoires de référence de l'UE |
| **Eau potable** | Fournisseurs et distributeurs |
| **Eaux usées** | Infrastructures de traitement |
| **Infrastructure numérique** | IXP, DNS, registres TLD, fournisseurs cloud, data centres |
| **Administration publique** | Administrations centrales des États membres |
| **Espace** | Infrastructures au sol soutenant les services spatiaux |
| **Alimentation** | Production, transformation, distribution à grande échelle |
La liste recoupe largement NIS2 — par conception, puisque les mêmes entités ont généralement besoin à la fois de cybersécurité et de capacités de résilience plus larges.
## Ce que la directive exige
La directive REC impose des obligations à plusieurs niveaux.
### Obligations des États membres
Chaque État membre doit :
- **Identifier les entités critiques** dans chacun des 11 secteurs sur la base des critères de la Commission
- **Mener des évaluations nationales des risques** couvrant l'exposition à l'ensemble des risques
- **Adopter des stratégies nationales de résilience** traitant des dépendances intersectorielles
- **Désigner une autorité compétente** chargée de l'application de la directive REC
- **Coopérer au-delà des frontières** via le Groupe sur la résilience des entités critiques
### Obligations des entités critiques
Les entités critiques identifiées doivent :
- **Mener des évaluations des risques** prenant en compte l'ensemble des risques (physiques, hybrides, chaîne d'approvisionnement, opérationnels)
- **Mettre en œuvre des mesures de résilience** proportionnées aux risques identifiés, notamment sécurité physique, continuité d'activité, réponse aux incidents et gestion des risques de la chaîne d'approvisionnement
- **Notifier les incidents** perturbant les services essentiels aux autorités compétentes
- **Effectuer des vérifications d'antécédents** pour le personnel occupant des fonctions sensibles
- **Se soumettre aux vérifications de conformité** par les autorités compétentes
### Identification transfrontalière
Les États membres doivent coordonner l'identification des entités critiques fournissant des services dans plusieurs États membres. La Commission peut émettre des avis sur la cohérence de l'identification transfrontalière.
## Directive REC vs NIS2
Les deux directives sont étroitement coordonnées et de nombreuses entités relèvent des deux :
| Aspect | Directive REC | NIS2 |
|--------|---------------|------|
| Objet | Résilience tous risques | Cybersécurité |
| Secteurs | 11 critiques | 18+ (essentiels + importants) |
| Granularité des entités | Entités critiques individuelles | À l'échelle sectorielle |
| Sécurité physique | Cœur du dispositif | Hors champ |
| Menaces hybrides | ✅ | Limité |
| Risque de chaîne d'approvisionnement | ✅ | ✅ |
| Seuil de notification | Incident significatif | Incident significatif |
| Sanctions | Mise en œuvre par les États membres | Jusqu'à 10 M€ / 2 % du CA |
| En vigueur | Janvier 2023, transposition octobre 2024 | Janvier 2023, transposition octobre 2024 |
Les directives partagent un calendrier aligné, un champ complémentaire et une mise en œuvre coordonnée. Plusieurs États membres ont créé une autorité compétente unique gérant à la fois la conformité REC et NIS2.
## Pourquoi la directive REC est importante
### 1. Les leçons post-COVID en matière de résilience sont institutionnalisées
La directive REC est née d'une reconnaissance explicite que la résilience des infrastructures critiques de l'UE avait été insuffisante face au COVID-19, aux perturbations des marchés de l'énergie et à l'instabilité géopolitique. La directive institutionnalise les enseignements tirés de ces chocs.
### 2. Reconnaissance des menaces hybrides
La directive traite explicitement des « menaces hybrides » — combinaisons de cyberattaques, de désinformation, de sabotage physique et de perturbation de la chaîne d'approvisionnement que des acteurs étatiques et non étatiques utilisent de plus en plus contre les infrastructures critiques européennes. C'est matériellement différent des cadres purement cyber.
### 3. Coordination transfrontalière opérationnalisée
Les infrastructures critiques européennes opèrent de plus en plus au-delà des frontières des États membres. Les interconnexions énergétiques, les réseaux de transport, les infrastructures de marchés financiers traversent toutes les juridictions nationales. Les dispositions de coordination transfrontalière de la directive REC y répondent structurellement.
### 4. Couche de résilience de la chaîne d'approvisionnement
Les entités critiques doivent traiter explicitement le risque de chaîne d'approvisionnement — y compris pour les fournisseurs technologiques. Cela affecte les achats UE de services cloud, plateformes logicielles et infrastructures numériques où une perturbation de la chaîne d'approvisionnement pourrait affecter les services essentiels.
### 5. L'infrastructure numérique comme secteur critique
La directive REC désigne explicitement l'infrastructure numérique (IXP, DNS, fournisseurs cloud, data centres) comme un secteur critique. Cela formalise ce qui était déjà opérationnellement vrai et crée des obligations réglementaires directes pour les fournisseurs européens de cloud et d'infrastructure.
## Comment la directive REC affecte les achats tech
### Pour les fournisseurs cloud et data centres européens
Les entités critiques identifiées REC (en infrastructure numérique ou dans d'autres secteurs) doivent traiter le risque de chaîne d'approvisionnement pour les services technologiques. Cela oriente les préférences d'achat vers des fournisseurs disposant d'une documentation solide en matière de résilience, d'une juridiction UE et d'une capacité de continuité démontrée.
Les fournisseurs cloud européens (Infomaniak, OVHcloud, Scaleway, entre autres) qui ont investi dans la documentation de résilience se positionnent comme fournisseurs préférentiels. Les hyperscalers américains font face à une complexité de conformité structurelle pour servir des entités identifiées REC.
### Pour les éditeurs SaaS vendant à des entités critiques
Si votre produit SaaS soutient les opérations d'entités critiques identifiées REC — hôpitaux, banques, énergéticiens, opérateurs de transport — vos relations fournisseurs ont désormais des implications réglementaires directes dans le cadre REC.
### Pour les équipes achats tech européennes
Les considérations de conformité REC s'intègrent aux processus d'achat aux côtés de NIS2, DORA et de la conformité à l'AI Act. L'ensemble du cadre réglementaire crée une matrice cohérente d'évaluation des achats favorisant les fournisseurs ayant démontré une juridiction UE, une capacité de résilience et une transparence sur la chaîne d'approvisionnement.
### Pour la planification de la réponse à incident
Les exigences de notification d'incident REC interagissent avec NIS2, DORA, le RGPD et les exigences sectorielles. Les entités critiques maintiennent de plus en plus des playbooks coordonnés de réponse à incident traitant l'ensemble des calendriers de notification réglementaire pertinents.
## REC et souveraineté numérique
La directive REC opérationnalise une dimension structurelle de souveraineté que les cadres purement cyber n'abordent pas :
- **Sécurité physique de l'infrastructure numérique** — data centres, IXP, câbles sous-marins
- **Dépendances de la chaîne d'approvisionnement** — semi-conducteurs, matériels, traçabilité des matières
- **Continuité transfrontalière** — services s'étendant sur plusieurs États membres
- **Préparation aux menaces hybrides** — désinformation, sabotage, perturbation coordonnée
Ces dimensions interagissent avec l'agenda plus large de souveraineté de l'UE — reliant la cybersécurité NIS2, la souveraineté des matières du CRMA et le positionnement de défense de la Boussole stratégique en une posture cohérente.
## État de la mise en œuvre (2026)
- **Directive en vigueur** depuis janvier 2023
- **Date limite de transposition par les États membres** fixée à octobre 2024 — la plupart des États membres ont transposé ; certains achèvent encore la mise en œuvre
- **Identification des entités critiques** en cours — les États membres identifient les entités selon des critères fondés sur les risques
- **Premières notifications d'incident** transitant par les autorités compétentes
- **Groupe sur la résilience des entités critiques** opérationnel avec coordination régulière entre États membres
- **Avis de la Commission sur l'identification transfrontalière** commençant à être émis
## Implications pratiques
- **Pour les opérateurs de secteurs critiques** : identifiez votre statut REC et préparez les obligations de conformité
- **Pour les fournisseurs technologiques** : la divulgation de la chaîne d'approvisionnement et la documentation de résilience deviennent de plus en plus déterminantes pour les achats
- **Pour les fournisseurs cloud européens** : opportunité structurelle liée aux préférences d'achat vers une résilience sous juridiction UE
- **Pour les fournisseurs basés aux États-Unis** : complexité structurelle de conformité pour servir des entités identifiées REC
- **Pour les équipes politiques et conformité** : intégrer le cadre REC aux côtés de NIS2 dans des travaux de conformité coordonnés
La directive REC est la régulation européenne d'infrastructure critique non cyber la plus significative sur le plan opérationnel des années 2020. Combinée à NIS2, elle crée le cadre de résilience cohérent dont les infrastructures critiques européennes ont opérationnellement besoin compte tenu du contexte géopolitique post-COVID et post-Ukraine.
Cela vous a-t-il été utile ?
Merci pour votre retour !