1. A fin de demostrar el cumplimiento de determinados requisitos del artículo 21, los Estados miembros podrán exigir a las entidades esenciales e importantes que utilicen determinados productos de TIC, servicios de TIC y procesos de TIC desarrollados por la entidad esencial o importante. entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) o adquiridos a terceros, que estén certificados con arreglo a la normativa europea ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; regímenes de certificación adoptados de conformidad con el artículo 49 del Reglamento (UE) 2019/881. Además, los Estados miembros alentarán a las entidades esenciales e importantes a utilizar servicios de confianza cualificados.
2. La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 38, para complementar la presente Directiva especificando a qué categorías de entidades esenciales e importantes se les exigirá que utilicen determinados productos de TIC, servicios de TIC y procesos de TIC certificados u obtengan un certificado en virtud de un sistema europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 49 del Reglamento (UE) 2019/881. Dichos actos delegados se adoptarán cuando se hayan detectado niveles insuficientes de ciberseguridad e incluirán un período de aplicación.
Antes de adoptar dichos actos delegados, la Comisión llevará a cabo una evaluación de impacto y realizará consultas de conformidad con el artículo 56 del Reglamento (UE) 2019/881.
3. Cuando no se disponga de un sistema europeo de certificación de la ciberseguridad adecuado a los efectos del apartado 2 del presente artículo, la Comisión, previa consulta al Grupo de Cooperación y al Grupo Europeo de Certificación de la Ciberseguridad, podrá solicitar a la ENISA que prepare un sistema candidato de conformidad con el artículo 48, apartado 2, del Reglamento (UE) 2019/881.