- Lorsque des actes juridiques sectoriels de l’Union imposent à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris celles relatives à la supervision et à l’exécution prévues au chapitre VII, ne sont pas applicables auxdites entités. Lorsque des actes juridiques sectoriels de l’Union ne couvrent pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente directive, les dispositions pertinentes de la présente directive continuent de s’appliquer aux entités non couvertes par ces actes juridiques sectoriels de l’Union.
- Les exigences visées au paragraphe 1 du présent article sont considérées comme ayant un effet équivalent aux obligations prévues par la présente directive lorsque:
- les mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des mesures prévues à l’article 21, paragraphes 1 et 2; ou
- l’acte juridique sectoriel de l’Union prévoit un accès immédiat, s’il y a lieu, automatique et direct, aux notifications d’incidents par les CSIRT, les autorités compétentes ou les points de contact uniques en vertu de la présente directive, et lorsque les exigences relatives à la notification des incidents importants sont au moins équivalentes à celles prévues à l’article 23, paragraphes 1 à 6, de la présente directive.
- Au plus tard le 17 juillet 2023, la Commission fournit des lignes directrices clarifiant l’application des paragraphes 1 et 2. La Commission réexamine ces lignes directrices à intervalles réguliers. Lors de la préparation de ces lignes directrices, la Commission tient compte de toutes les observations du groupe de coopération et de l’ENISA.