- (1) Wenn sektorspezifische Rechtsakte der Union von wesentlichen oder wichtigen Einrichtungen verlangen, Maßnahmen zum Cybersicherheitsrisikomanagement zu ergreifen oder erhebliche Sicherheitsvorfälle zu melden, und wenn diese Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Verpflichtungen mindestens gleichwertig sind, finden die einschlägigen Bestimmungen dieser Richtlinie, einschließlich der Bestimmungen über Aufsicht und Durchsetzung in Kapitel VII, auf solche Einrichtungen keine Anwendung. Gelten sektorspezifische Rechtsakte der Union nicht für alle in den Anwendungsbereich dieser Richtlinie fallenden Einrichtungen eines bestimmten Sektors, so kommen die einschlägigen Bestimmungen dieser Richtlinie weiterhin für die Einrichtungen zur Anwendung, die nicht unter diese sektorspezifischen Rechtsakte der Union fallen.
- (2) Die in Absatz 1 dieses Artikels genannten Anforderungen gelten den in dieser Richtlinie festgelegten Verpflichtungen in ihrer Wirkung als gleichwertig, wenn:
- die Maßnahmen zum Cybersicherheitsrisikomanagement den in Artikel 21(1) und (2) festgelegten Maßnahmen in ihrer Wirkung mindestens gleichwertig sind, oder
- der sektorspezifische Rechtsakt der Union einen unmittelbaren — gegebenenfalls automatischen und direkten — Zugang zu den Vorfallmeldungen durch die CSIRTs, die zuständigen Behörden oder die zentralen Anlaufstellen gemäß dieser Richtlinie vorsieht und wenn die Anforderungen an die Meldung erheblicher Sicherheitsvorfälle in ihrer Wirkung mindestens den in Artikel 23(1) bis (6) dieser Richtlinie festgelegten gleichwertig sind.
- (3) Die Kommission wird bis zum 17. Juli 2023 Leitlinien zur Klarstellung der Anwendung der Absätze 1 und 2 bereitstellen. Die Kommission überprüft diese Leitlinien regelmäßig. Bei der Ausarbeitung der Leitlinien berücksichtigt die Kommission alle Stellungnahmen der Kooperationsgruppe und der ENISA.
NIS2-Richtlinie (EU) 2022/2555
Artikel 4