Art. 4 Sektorsspecifika unionsrättsakter | NIS 2 directive | NIS 2

This article establishes a "lex specialis" carve-out, meaning that where other sector-specific EU legislation already imposes cybersecurity risk-management and incident reporting requirements on essential or important entities that are at least equivalent in effect to those in this Directive, this Directive's obligations — including its supervision and enforcement provisions — will not apply to those entities.

It effectively prevents double regulation.

The article also sets out the threshold for what counts as "equivalent," tying it directly to the core obligations on risk management and incident notification found elsewhere in the Directive, and tasks the Commission with issuing clarifying guidelines.

Important points:

If your sector is already governed by equivalent EU cybersecurity rules, this Directive's obligations do not apply to you — but only to the extent that coverage is complete.
Equivalence is measured against the cybersecurity risk-management and significant incident notification standards set out in Articles 21 and 23 of this Directive.
The Commission is required to publish guidelines clarifying how this equivalence test applies, taking into account input from the Cooperation Group and ENISA.

1. Om det i sektorsspecifika unionsrättsakter föreskrivs att väsentliga eller viktiga entiteter ska anta riskhanteringsåtgärder för cybersäkerhet eller underrätta om betydande incidenter, och om dessa krav har minst samma verkan som de skyldigheter som fastställs i detta direktiv, ska de relevanta bestämmelserna i detta direktiv, inbegripet bestämmelserna om tillsyn och efterlevnadskontroll i kapitel VII, inte tillämpas på sådana entiteter. Om de sektorsspecifika unionsrättsakterna inte omfattar alla entiteter inom en viss sektor som omfattas av detta direktivs tillämpningsområde, ska de relevanta bestämmelserna i detta direktiv fortsätta att tillämpas på de entiteter som inte omfattas av dessa sektorsspecifika unionsrättsakter.
1. De krav som avses i punkt 1 i denna artikel ska anses ha samma verkan som de skyldigheter som fastställs i detta direktiv om
  1. riskhanteringsåtgärderna för cybersäkerhet minst är likvärdiga som de åtgärder som föreskrivs i artikel 21.1 och 21.2, eller
  2. respektive sektorsspecifik unionsrättsakt föreskriver omedelbar, och när det är lämpligt automatisk och direkt, tillgång till incidentunderrättelser från CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt detta direktiv och om kraven på underrättelse av betydande incidenter har minst samma verkan som de krav som fastställs i artikel 23.1–23.6 i detta direktiv.
1. Kommissionen ska senast den 17 juli 2023 tillhandahålla riktlinjer som klargör tillämpningen av punkterna 1 och 2. Kommissionen ska regelbundet se över dessa riktlinjer. Vid utarbetandet av dessa riktlinjer ska kommissionen ta hänsyn till eventuella synpunkter från samarbetsgruppen och Enisa.