1. Lorsque des actes juridiques sectoriels de l'Union imposent à des entités essentielles ou importantes d'adopter cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)-Lorsque ces exigences sont au moins équivalentes aux obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris les dispositions relatives à la surveillance et à l'exécution prévues au chapitre VII, ne s'appliquent pas à ces entités. Lorsque des actes juridiques sectoriels de l'Union ne couvrent pas toutes les entités d'un secteur spécifique relevant du champ d'application de la présente directive, les dispositions pertinentes de la présente directive continuent de s'appliquer aux entités non couvertes par ces actes juridiques sectoriels de l'Union.
2. Les exigences visées au paragraphe 1 du présent article sont considérées comme étant d'effet équivalent aux obligations prévues par la présente directive lorsque :
(a) les mesures de gestion des risques liés à la cybersécurité sont d'un effet au moins équivalent à celles prévues à l'article 21, paragraphes 1 et 2 ; ou
(b) l'acte juridique sectoriel de l'Union prévoit un accès immédiat, le cas échéant automatique et direct, à la base de données de l'Union. incidentIncident Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) les notifications par les CSIRT, les autorités compétentes ou les points de contact uniques au titre de la présente directive et lorsque les exigences de notification des incidents significatifs sont au moins équivalentes à celles prévues à l'article 23, paragraphes 1 à 6, de la présente directive.
3. La Commission fournit, au plus tard le 17 juillet 2023, des lignes directrices clarifiant l'application des paragraphes 1 et 2. La Commission réexamine régulièrement ces lignes directrices. Lors de l'élaboration de ces lignes directrices, la Commission prend en compte les observations du groupe de coopération et de l'ENISA.