- Afin de démontrer la conformité à certaines exigences visées à l’article 21, les États membres peuvent prescrire aux entités essentielles et importantes d’utiliser des produits TIC, services TIC et processus TIC particuliers qui, mis au point par l’entité essentielle ou importante ou acquis auprès de tiers, sont certifiés dans le cadre de schémas européens de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881. En outre, les États membres encouragent les entités essentielles et importantes à utiliser des services de confiance qualifiés.
- La Commission est habilitée à adopter des actes délégués, conformément à l’article 38, pour compléter la présente directive en précisant quelles catégories d’entités essentielles et importantes sont tenues d’utiliser certains produits TIC, services TIC et processus TIC certifiés ou d’obtenir un certificat dans le cadre d’un schéma européen de certification de cybersécurité adopté conformément à l’article 49 du règlement (UE) 2019/881. Ces actes délégués sont adoptés lorsque des niveaux insuffisants de cybersécurité ont été constatés et ils prévoient une période de mise en œuvre.
Avant d’adopter de tels actes délégués, la Commission procède à une analyse d’impact et mène des consultations conformément à l’article 56 du règlement (UE) 2019/881.
- Lorsqu’il n’existe pas de schéma européen de certification de cybersécurité approprié aux fins du paragraphe 2 du présent article, la Commission peut, après consultation du groupe de coopération et du groupe européen de certification de cybersécurité, demander à l’ENISA de préparer un schéma candidat conformément à l’article 48, paragraphe 2, du règlement (UE) 2019/881.