1. Afin de démontrer la conformité avec des exigences particulières de l'article 21, les États membres peuvent exiger des entités essentielles et importantes qu'elles utilisent des produits TIC, des services TIC et des processus TIC particuliers, mis au point par l'entité essentielle ou importante, ou qu'elles utilisent des services TIC et des processus TIC particuliers, développés par l'entité essentielle ou importante. entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) ou achetés à des tiers, qui sont certifiés conformément à la législation européenne en matière d'environnement. cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; les systèmes de certification adoptés conformément à l'article 49 du règlement (UE) 2019/881. En outre, les États membres encouragent les entités essentielles et importantes à recourir à des services de confiance qualifiés.
2. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, pour compléter la présente directive en précisant quelles catégories d'entités essentielles et importantes doivent être tenues d'utiliser certains produits, services et processus TIC certifiés ou d'obtenir un certificat dans le cadre d'un système européen de certification en matière de cybersécurité adopté en vertu de l'article 49 du règlement (UE) 2019/881. Ces actes délégués sont adoptés lorsque des niveaux insuffisants de cybersécurité ont été constatés et comportent une période de mise en œuvre.
Avant d'adopter ces actes délégués, la Commission réalise une analyse d'impact et procède à des consultations conformément à l'article 56 du règlement (UE) 2019/881.
3. Lorsqu'il n'existe pas de système européen de certification en matière de cybersécurité approprié aux fins du paragraphe 2 du présent article, la Commission peut, après avoir consulté le groupe de coopération et le groupe européen de certification en matière de cybersécurité, demander à l'ENISA d'élaborer un système candidat conformément à l'article 48, paragraphe 2, du règlement (UE) 2019/881.