- Cuando los actos jurídicos de carácter sectorial de la Unión requieran que las entidades esenciales o importantes adopten medidas para la gestión de riesgos de ciberseguridad o notifiquen los incidentes significativos y dichos requisitos tengan un efecto al menos equivalente al de las obligaciones establecidas en la presente Directiva, no se aplicarán a estas entidades las disposiciones pertinentes de la presente Directiva, incluidas las relativas a la supervisión y la garantía del cumplimiento recogidas en el capítulo VII. Cuando los actos jurídicos sectoriales de la Unión no cubran a todas las entidades de un sector concreto incluidas en el ámbito de aplicación de la presente Directiva, las disposiciones pertinentes de la presente Directiva seguirán aplicándose a las entidades no cubiertas por los actos jurídicos sectoriales de la Unión en cuestión.
- Los requisitos a que se refiere el apartado 1 del presente artículo se considerarán de efecto equivalente a las obligaciones establecidas en la presente Directiva cuando:
- las medidas para la gestión de riesgos de ciberseguridad sean al menos equivalentes en sus efectos a las previstas en el artículo 21, apartados 1 y 2, o
- el acto jurídico sectorial de la Unión prevé el acceso inmediato, y cuando proceda automático y directo, a las notificaciones de incidentes por parte de los CSIRT, las autoridades competentes o los puntos de contacto únicos designados con arreglo a la presente Directiva y cuando los requisitos de notificación de incidentes significativos tengan un efecto al menos equivalente a los establecidos en el artículo 23, apartados 1 a 6 de la presente Directiva.
- La Comisión, a más tardar el 17 de julio de 2023 proporcionará directrices aclaratorias de la aplicación de los apartados 1 y 2. La Comisión revisará dichas directrices periódicamente. Al elaborar dichas directrices, la Comisión tendrá en cuenta las observaciones del Grupo de Cooperación y la ENISA.