- A los efectos de demostrar la conformidad con determinados requisitos del artículo 21, los Estados miembros podrán exigir a las entidades esenciales e importantes que utilicen productos, servicios y procesos de TIC particulares, desarrollados por la entidad esencial o importante o adquiridos a terceros, que estén certificados en virtud de un esquema europeo de certificación de la ciberseguridad adoptado en virtud del artículo 49 del Reglamento (UE) 2019/881. Asimismo, los Estados miembros promoverán que las entidades esenciales e importantes utilicen servicios de confianza cualificados.
- La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 38, por los que se complete la presente Directiva especificando qué categorías de entidades esenciales e importantes están obligadas a utilizar determinados productos, servicios o procesos de TIC certificados o a obtener una certificación en virtud de un esquema europeo de certificación de la ciberseguridad en virtud del artículo 49 del Reglamento (UE) 2019/881. Dichos actos delegados se adoptarán cuando se hayan detectado niveles insuficientes de ciberseguridad, e incluirán un período de ejecución.
Antes de adoptar dichos actos delegados, la Comisión llevará a cabo una evaluación de impacto, así como consultas de conformidad con el artículo 56 del Reglamento (UE) 2019/881.
- Cuando no se disponga de un esquema europeo de certificación de la ciberseguridad apropiado a los efectos del apartado 2 del presente artículo, la Comisión, previa consulta al Grupo de Cooperación y al Grupo Europeo de Certificación de la Ciberseguridad, podrá solicitar a la ENISA que prepare una propuesta de esquema en virtud del artículo 48, apartado 2, del Reglamento (UE) 2019/881.
Artículo 24 – Utilización de esquemas europeos de certificación de la ciberseguridad
