1. Sempre que atos jurídicos setoriais da União exijam que entidades essenciais e importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes significativos, e se tais requisitos forem, na prática, pelo menos equivalentes às obrigações estabelecidas na presente diretiva, não se aplicam a essas entidades as disposições pertinentes da presente diretiva, nomeadamente as disposições em matéria de supervisão e execução estabelecidas no capítulo VII. Caso os atos jurídicos setoriais da União não abranjam todas as entidades de um setor específico abrangidas pelo âmbito de aplicação da presente diretiva, as disposições pertinentes da presente diretiva continuam a aplicar-se às entidades não abrangidas por esses atos jurídicos setoriais da União.
2. Os requisitos a que se refere o n.o 1 do presente artigo são considerados de efeito equivalente às obrigações estabelecidas na presente diretiva sempre que:
|
a) |
As medidas de gestão dos riscos de cibersegurança forem, pelo menos, de efeito equivalente às estabelecidas no artigo 21.o, n.os 1 e 2; ou |
|
b) |
O ato jurídico setorial da União preveja o acesso imediato, se for caso disso automático e direto, às notificações de incidentes por parte das CSIRT, das autoridades competentes ou dos pontos de contacto únicos ao abrigo da presente diretiva e se os requisitos aplicáveis à notificação de incidentes significativos forem, pelo menos, equivalentes aos estabelecidos no artigo 23.o, n.os 1 a 6, da presente diretiva. |
3. A Comissão fornece, até 17 de julho de 2023, orientações que clarifiquem a aplicação dos n.os 1 e 2. A Comissão revê periodicamente essas orientações. Na elaboração dessas orientações, a Comissão tem em conta as observações do grupo de cooperação e da ENISA.
