Art. 4 Sektorspezifische Rechtsakte der Union | NIS 2 directive | NIS 2

This article establishes a "lex specialis" carve-out, meaning that where other sector-specific EU legislation already imposes cybersecurity risk-management and incident reporting requirements on essential or important entities that are at least equivalent in effect to those in this Directive, this Directive's obligations — including its supervision and enforcement provisions — will not apply to those entities.

It effectively prevents double regulation.

The article also sets out the threshold for what counts as "equivalent," tying it directly to the core obligations on risk management and incident notification found elsewhere in the Directive, and tasks the Commission with issuing clarifying guidelines.

Important points:

If your sector is already governed by equivalent EU cybersecurity rules, this Directive's obligations do not apply to you — but only to the extent that coverage is complete.
Equivalence is measured against the cybersecurity risk-management and significant incident notification standards set out in Articles 21 and 23 of this Directive.
The Commission is required to publish guidelines clarifying how this equivalence test applies, taking into account input from the Cooperation Group and ENISA.

1. Wenn wesentliche oder wichtige Einrichtungen gemäß sektorspezifischen Rechtsakten der Union entweder Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen oder erhebliche Sicherheitsvorfälle melden müssen und wenn die entsprechenden Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Verpflichtungen zumindest gleichwertig sind, finden die einschlägigen Bestimmungen dieser Richtlinie, einschließlich der Bestimmungen über Aufsicht und Durchsetzung in Kapitel VII, keine Anwendung auf solche Einrichtungen. Wenn die sektorspezifischen Rechtsakte der Union nicht für alle in den Anwendungsbereich dieser Richtlinie fallenden Einrichtungen eines bestimmten Sektors gelten, kommen die einschlägigen Bestimmungen dieser Richtlinie weiterhin für Einrichtungen zur Anwendung, die nicht unter diese sektorspezifischen Rechtsakte der Union fallen.
1. Die in Absatz 1 dieses Artikels genannten Anforderungen gelten den in dieser Richtlinie festgelegten Verpflichtungen in ihrer Wirkung als gleichwertig, wenn
  1. die Maßnahmen zum Cybersicherheitsrisikomanagement den in Artikel 21 Absätze 1 und 2 festgelegten Maßnahmen in ihrer Wirkung mindestens gleichwertig sind, oder
  2. der sektorspezifische Rechtsakt der Union einen unmittelbaren — gegebenenfalls automatischen und direkten — Zugang zu den Meldungen von Sicherheitsvorfällen durch die CSIRTs, die zuständigen Behörden oder die zentralen Anlaufstellen gemäß dieser Richtlinie vorsieht und wenn die Anforderungen an die Meldung erheblicher Sicherheitsvorfälle in ihrer Wirkung mindestens den in Artikel 23 Absätze 1 bis 6 festgelegten gleichwertig sind.
1. Die Kommission wird bis zum 17. Juli 2023 Leitlinien zur Klarstellung der Anwendung der Absätze 1 und 2 bereitstellen. Die Kommission überprüft diese Leitlinien regelmäßig. Bei der Ausarbeitung der Leitlinien berücksichtigt die Kommission alle Stellungnahmen der Kooperationsgruppe und der ENISA.