Article 4

Actes juridiques sectoriels de l’Union

1.   Lorsque des actes juridiques sectoriels de l’Union imposent à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris celles relatives à la supervision et à l’exécution prévues au chapitre VII, ne sont pas applicables auxdites entités. Lorsque des actes juridiques sectoriels de l’Union ne couvrent pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente directive, les dispositions pertinentes de la présente directive continuent de s’appliquer aux entités non couvertes par ces actes juridiques sectoriels de l’Union.

2.   Les exigences visées au paragraphe 1 du présent article sont considérées comme ayant un effet équivalent aux obligations prévues par la présente directive lorsque:

a)

les mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des mesures prévues à l’article 21, paragraphes 1 et 2; ou

b)

l’acte juridique sectoriel de l’Union prévoit un accès immédiat, s’il y a lieu, automatique et direct, aux notifications d’incidents par les CSIRT, les autorités compétentes ou les points de contact uniques en vertu de la présente directive, et lorsque les exigences relatives à la notification des incidents importants sont au moins équivalentes à celles prévues à l’article 23, paragraphes 1 à 6, de la présente directive.

3.   Au plus tard le 17 juillet 2023, la Commission fournit des lignes directrices clarifiant l’application des paragraphes 1 et 2. La Commission réexamine ces lignes directrices à intervalles réguliers. Lors de la préparation de ces lignes directrices, la Commission tient compte de toutes les observations du groupe de coopération et de l’ENISA.

FAQ

Si une entreprise ou organisation, essentielle ou importante, relève déjà d’une réglementation sectorielle de l’Union européenne imposant des mesures en cybersécurité au moins équivalentes à celles de la directive NIS2, comme la gestion des risques et la notification d’incidents, alors cette entreprise est exemptée des obligations spécifiques de supervision et de contrôle prévues par la directive NIS2 elle-même; sinon, la directive NIS2 continue de s’appliquer pleinement.
Pour considérer que les mesures existantes sont équivalentes, elles doivent assurer une gestion des risques en cybersécurité d’un niveau au moins aussi élevé que celle indiquée par l’article 21 de la directive NIS2 ou prévoir une notification des incidents significatifs et un échange d’informations immédiat qui soient égaux ou supérieurs aux exigences décrites dans l’article 23 de la même directive.
Lorsqu’une réglementation sectorielle de l’Union européenne ne s’applique pas à toutes les entités d’un secteur donné, seules celles qui sont explicitement couvertes bénéficieront de l’exemption des dispositions spécifiques de la directive NIS2, tandis que les entités non concernées par cette réglementation sectorielle resteront entièrement soumises aux exigences en cybersécurité établies par la directive NIS2.
La Commission européenne doit publier, au plus tard le 17 juillet 2023, des lignes directrices précises expliquant comment appliquer ces exemptions, avec une définition claire de ce qui constitue des exigences équivalentes; ces consignes seront régulièrement mises à jour et intégreront les conseils du Groupe de coopération et de l’agence européenne de cybersécurité (ENISA).

Formation NIS2

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!