Art. 4 Actes juridiques sectoriels de l’Union | NIS 2 directive | NIS 2

This article establishes a "lex specialis" carve-out, meaning that where other sector-specific EU legislation already imposes cybersecurity risk-management and incident reporting requirements on essential or important entities that are at least equivalent in effect to those in this Directive, this Directive's obligations — including its supervision and enforcement provisions — will not apply to those entities.

It effectively prevents double regulation.

The article also sets out the threshold for what counts as "equivalent," tying it directly to the core obligations on risk management and incident notification found elsewhere in the Directive, and tasks the Commission with issuing clarifying guidelines.

Important points:

If your sector is already governed by equivalent EU cybersecurity rules, this Directive's obligations do not apply to you — but only to the extent that coverage is complete.
Equivalence is measured against the cybersecurity risk-management and significant incident notification standards set out in Articles 21 and 23 of this Directive.
The Commission is required to publish guidelines clarifying how this equivalence test applies, taking into account input from the Cooperation Group and ENISA.

1. Lorsque des actes juridiques sectoriels de l’Union imposent à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris celles relatives à la supervision et à l’exécution prévues au chapitre VII, ne sont pas applicables auxdites entités. Lorsque des actes juridiques sectoriels de l’Union ne couvrent pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente directive, les dispositions pertinentes de la présente directive continuent de s’appliquer aux entités non couvertes par ces actes juridiques sectoriels de l’Union.
1. Les exigences visées au paragraphe 1 du présent article sont considérées comme ayant un effet équivalent aux obligations prévues par la présente directive lorsque:
  1. les mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des mesures prévues à l’article 21, paragraphes 1 et 2; ou
  2. l’acte juridique sectoriel de l’Union prévoit un accès immédiat, s’il y a lieu, automatique et direct, aux notifications d’incidents par les CSIRT, les autorités compétentes ou les points de contact uniques en vertu de la présente directive, et lorsque les exigences relatives à la notification des incidents importants sont au moins équivalentes à celles prévues à l’article 23, paragraphes 1 à 6, de la présente directive.
1. Au plus tard le 17 juillet 2023, la Commission fournit des lignes directrices clarifiant l’application des paragraphes 1 et 2. La Commission réexamine ces lignes directrices à intervalles réguliers. Lors de la préparation de ces lignes directrices, la Commission tient compte de toutes les observations du groupe de coopération et de l’ENISA.