Comenzar formación

Artículo 4

Actos jurídicos sectoriales de la Unión

1.   Cuando los actos jurídicos de carácter sectorial de la Unión requieran que las entidades esenciales o importantes adopten medidas para la gestión de riesgos de ciberseguridad o notifiquen los incidentes significativos y dichos requisitos tengan un efecto al menos equivalente al de las obligaciones establecidas en la presente Directiva, no se aplicarán a estas entidades las disposiciones pertinentes de la presente Directiva, incluidas las relativas a la supervisión y la garantía del cumplimiento recogidas en el capítulo VII. Cuando los actos jurídicos sectoriales de la Unión no cubran a todas las entidades de un sector concreto incluidas en el ámbito de aplicación de la presente Directiva, las disposiciones pertinentes de la presente Directiva seguirán aplicándose a las entidades no cubiertas por los actos jurídicos sectoriales de la Unión en cuestión.

2.   Los requisitos a que se refiere el apartado 1 del presente artículo se considerarán de efecto equivalente a las obligaciones establecidas en la presente Directiva cuando:

a)

las medidas para la gestión de riesgos de ciberseguridad sean al menos equivalentes en sus efectos a las previstas en el artículo 21, apartados 1 y 2, o

b)

el acto jurídico sectorial de la Unión prevé el acceso inmediato, y cuando proceda automático y directo, a las notificaciones de incidentes por parte de los CSIRT, las autoridades competentes o los puntos de contacto únicos designados con arreglo a la presente Directiva y cuando los requisitos de notificación de incidentes significativos tengan un efecto al menos equivalente a los establecidos en el artículo 23, apartados 1 a 6 de la presente Directiva.

3.   La Comisión, a más tardar el 17 de julio de 2023 proporcionará directrices aclaratorias de la aplicación de los apartados 1 y 2. La Comisión revisará dichas directrices periódicamente. Al elaborar dichas directrices, la Comisión tendrá en cuenta las observaciones del Grupo de Cooperación y la ENISA.

Preguntas frecuentes

Si existe otra ley sectorial europea que obliga a las empresas esenciales o importantes a implementar medidas de ciberseguridad equivalentes a las de la directiva NIS2, estas empresas no deberán cumplir con las obligaciones específicas de NIS2, porque ya están cubiertas por regulaciones equivalentes, evitando así duplicar tareas y controles sobre las mismas empresas en materia de ciberseguridad.
Otra legislación de la Unión Europea se considera equivalente a NIS2 si establece medidas de seguridad informática igual de estrictas que las exigidas por esta directiva o si asegura que las autoridades encargadas reciben notificaciones rápidas e inmediatas sobre incidentes cibernéticos importantes, igual que lo establece NIS2, facilitando una respuesta adecuada y rápida ante incidentes.
Si una ley sectorial europea cubre solo ciertas entidades dentro de un determinado sector, las entidades que queden excluidas deben cumplir plenamente con los requisitos previstos en la directiva NIS2, incluyendo medidas específicas de gestión de riesgo cibernético y notificación de incidentes, porque la protección debe ser aplicable a todas las entidades importantes dentro del sector afectado.
La Comisión Europea publicará unas directrices específicas para aclarar cómo se deben aplicar y entender exactamente estos casos de equivalencia con otras leyes europeas hasta el 17 de julio de 2023, tomando en cuenta las opiniones y sugerencias del Grupo de Cooperación y de la agencia especializada en ciberseguridad europea ENISA, para asegurar claridad y coherencia.

Alfabetización en materia de IA

Comenzar formación

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!