1. Um nachzuweisen, dass bestimmte Anforderungen des Artikels 21 erfüllt sind, können die Mitgliedstaaten von wesentlichen und bedeutenden Einrichtungen verlangen, dass sie bestimmte IKT-Produkte, IKT-Dienstleistungen und IKT-Verfahren verwenden, die von den wesentlichen oder bedeutenden Einrichtungen entwickelt wurden. UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) oder von Dritten beschafft werden, die nach den europäischen Normen zertifiziert sind CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; Zertifizierungssysteme, die gemäß Artikel 49 der Verordnung (EU) 2019/881 angenommen wurden. Darüber hinaus ermutigen die Mitgliedstaaten wesentliche und wichtige Einrichtungen, qualifizierte Vertrauensdienste zu nutzen.
2. Der Kommission wird die Befugnis übertragen, gemäß Artikel 38 delegierte Rechtsakte zu erlassen, um diese Richtlinie zu ergänzen, indem sie festlegt, welche Kategorien wesentlicher und wichtiger Einrichtungen verpflichtet sind, bestimmte zertifizierte IKT-Produkte, IKT-Dienste und IKT-Verfahren zu verwenden oder ein Zertifikat im Rahmen eines gemäß Artikel 49 der Verordnung (EU) 2019/881 erlassenen europäischen Cybersicherheitszertifizierungssystems zu erhalten. Diese delegierten Rechtsakte werden erlassen, wenn ein unzureichendes Cybersicherheitsniveau festgestellt wurde, und enthalten einen Durchführungszeitraum.
Vor dem Erlass solcher delegierten Rechtsakte nimmt die Kommission eine Folgenabschätzung vor und führt Konsultationen gemäß Artikel 56 der Verordnung (EU) 2019/881 durch.
3. (4) Steht kein geeignetes europäisches Cybersicherheitszertifizierungssystem für die Zwecke des Absatzes 2 dieses Artikels zur Verfügung, kann die Kommission nach Anhörung der Kooperationsgruppe und der Europäischen Gruppe für Cybersicherheitszertifizierung die ENISA auffordern, ein Kandidatenprogramm gemäß Artikel 48 Absatz 2 der Verordnung (EU) 2019/881 auszuarbeiten.