Directive CER : le compte à rebours des entités critiques a commencé
Le 17 juillet 2026, les États membres de l'Union européenne devaient achever la désignation des « entités critiques » au titre de la directive CER. Ce jalon discret change la donne pour des milliers d'organisations : celles qui sont désignées basculent automatiquement dans le régime le plus strict de la directive NIS 2, avec seulement dix mois pour se mettre en conformité.
Ce qui s'est passé
La directive (UE) 2022/2557 sur la résilience des entités critiques (CER) entre dans sa phase la plus concrète. Après leur transposition dans les législations nationales, les États membres devaient, au 17 juillet 2026, avoir identifié et notifié les organisations relevant de secteurs jugés vitaux : énergie, transport, santé, eau, infrastructures numériques, espace, ou encore administration publique. Chaque entité désignée reçoit ensuite un délai de dix mois pour se conformer aux obligations de résilience posées par le texte : évaluation des risques, mesures de protection physique et organisationnelle, plans de continuité, et notification des incidents significatifs aux autorités compétentes.
Le point le plus structurant de ce jalon tient à son articulation avec la directive NIS 2 : toute entité désignée « critique » au titre de CER devient automatiquement une entité essentielle au sens de NIS 2, quel que soit son secteur ou sa taille. Un mécanisme qui élargit de fait le périmètre de la cybersécurité réglementaire européenne, sans passer par les critères habituels de seuils sectoriels de NIS 2.
Pourquoi c'est important
CER et NIS 2 sont pensées comme deux faces d'une même pièce : la résilience physique d'un côté, la résilience numérique de l'autre. Leur articulation illustre une tendance de fond du droit européen de la sécurité — la conformité ne se pense plus texte par texte, mais comme un ensemble d'obligations qui se recoupent. Notre guide complet sur NIS 2 détaille déjà ce socle d'obligations cyber ; la désignation CER vient s'y greffer, parfois sans que l'organisation ait suivi les critères de qualification habituels analysés dans notre guide sur qui est concerné par NIS 2.
Ce mécanisme d'automaticité est d'autant plus sensible que la transposition française de NIS 2 elle-même reste, à ce jour, inachevée : comme nous le rapportions récemment, l'examen du projet de loi Résilience a de nouveau été reporté, cette fois à septembre 2026. Une organisation désignée entité critique le 17 juillet 2026 peut donc se retrouver soumise à des obligations NIS 2 dont le cadre juridique national précis n'est pas encore stabilisé — une zone grise que le CESIN, principale association de RSSI en France, a déjà pointée comme un frein à la prise de décision des organisations concernées.
Ce que ça change pour les organisations
Concrètement, toute organisation opérant dans un secteur potentiellement critique doit désormais :
Vérifier auprès de son autorité nationale compétente si elle a été notifiée d'une désignation CER, ou si une notification est en cours de traitement. Ne pas attendre cette notification pour engager une cartographie de ses obligations : les dix mesures de gestion des risques prévues par l'article 21 de NIS 2, détaillées dans notre guide sur les obligations et sanctions NIS 2, offrent une base de travail directement transposable. Anticiper le délai de dix mois qui court à compter de la notification — un calendrier serré pour des mesures de résilience physique et organisationnelle qui, pour beaucoup d'organisations, n'existent pas encore sous cette forme. Articuler ce chantier avec le RGPD lorsque des données personnelles font partie des actifs protégés : un incident touchant à la fois la résilience physique et des données personnelles peut déclencher simultanément une notification CER, une notification NIS 2 et une notification à la CNIL sous 72 heures au titre de l'article 33.
Ce que Leto pense de cette décision
Le 17 juillet 2026 ne fera pas de bruit : pas d'amende record, pas de communiqué spectaculaire. C'est pourtant l'un des jalons les plus structurants de l'année pour la conformité européenne, parce qu'il introduit une automaticité que peu d'organisations anticipent — être désigné critique au titre de CER, c'est basculer dans NIS 2 sans discussion possible sur les seuils habituels. Dans un contexte où la transposition française de NIS 2 patine encore, ce mécanisme crée une incertitude que nous jugeons risquée : des organisations pourraient se retrouver formellement soumises à des obligations cyber avant même que le cadre national ait fini de se stabiliser. Notre conseil reste constant : ne pas attendre la clarification légale pour agir, les fondamentaux de gestion des risques sont stables et actionnables dès aujourd'hui.
Sources : DLA Piper Privacy Matters

