Artículo 4, Actos jurídicos sectoriales de la Unión

1. Cuando los actos jurídicos sectoriales de la Unión exijan que las entidades esenciales o importantes adopten ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)-de gestión o de notificación de incidentes significativos y cuando dichos requisitos sean al menos de efecto equivalente a las obligaciones establecidas en la presente Directiva, las disposiciones pertinentes de la presente Directiva, incluidas las disposiciones sobre supervisión y ejecución establecidas en el capítulo VII, no se aplicarán a dichas entidades. Cuando los actos jurídicos sectoriales de la Unión no cubran todas las entidades de un sector específico incluidas en el ámbito de aplicación de la presente Directiva, las disposiciones pertinentes de la presente Directiva seguirán aplicándose a las entidades no cubiertas por dichos actos jurídicos sectoriales de la Unión.

2. Los requisitos contemplados en el apartado 1 del presente artículo se considerarán de efecto equivalente a las obligaciones establecidas en la presente Directiva cuando:

(a) las medidas de gestión de riesgos en materia de ciberseguridad son, como mínimo, equivalentes en sus efectos a las establecidas en el artículo 21, apartados 1 y 2, o bien

(b) que el acto jurídico sectorial de la Unión prevea el acceso inmediato, en su caso automático y directo, al incidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) notificaciones por parte de los CSIRT, las autoridades competentes o las ventanillas únicas con arreglo a la presente Directiva y cuando los requisitos de notificación de incidentes significativos sean al menos de efecto equivalente a los establecidos en los apartados 1 a 6 del artículo 23 de la presente Directiva.

3. La Comisión proporcionará, a más tardar el 17 de julio de 2023, directrices que aclaren la aplicación de los apartados 1 y 2. La Comisión revisará periódicamente dichas directrices. Al preparar dichas directrices, la Comisión tendrá en cuenta cualquier observación del Grupo de Cooperación y de la ENISA.