1. Per dimostrare la conformità a particolari requisiti dell'articolo 21, gli Stati membri possono richiedere agli enti essenziali e importanti di utilizzare particolari prodotti TIC, servizi TIC e processi TIC sviluppati dall'ente essenziale o importante. entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) o procurati da terzi, che siano certificati ai sensi della normativa europea. sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881; sistemi di certificazione adottati ai sensi dell'articolo 49 del Regolamento (UE) 2019/881. Inoltre, gli Stati membri incoraggiano gli enti essenziali e importanti a utilizzare servizi fiduciari qualificati.
2. Alla Commissione è conferito il potere di adottare atti delegati, conformemente all'articolo 38, per integrare la presente direttiva specificando quali categorie di entità essenziali e importanti sono tenute a utilizzare determinati prodotti TIC, servizi TIC e processi TIC certificati o a ottenere un certificato nell'ambito di un sistema europeo di certificazione della cibersicurezza adottato a norma dell'articolo 49 del regolamento (UE) 2019/881. Tali atti delegati sono adottati quando sono stati individuati livelli insufficienti di cibersicurezza e prevedono un periodo di attuazione.
Prima di adottare tali atti delegati, la Commissione effettua una valutazione d'impatto e procede a consultazioni conformemente all'articolo 56 del regolamento (UE) 2019/881.
3. Se non è disponibile un sistema europeo di certificazione della cibersicurezza adeguato ai fini del paragrafo 2 del presente articolo, la Commissione, previa consultazione del gruppo di cooperazione e del gruppo europeo di certificazione della cibersicurezza, può chiedere all'ENISA di preparare un sistema candidato a norma dell'articolo 48, paragrafo 2, del regolamento (UE) 2019/881.