1. Teneinde aan te tonen dat aan bepaalde eisen van artikel 21 wordt voldaan, kunnen de lidstaten van belangrijke en essentiële entiteiten verlangen dat zij bepaalde ICT-producten, ICT-diensten en ICT-processen gebruiken die door de belangrijke of essentiële entiteiten zijn ontwikkeld. entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) of ingekocht bij derden, die gecertificeerd zijn onder Europese cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; certificeringsregelingen die zijn vastgesteld op grond van artikel 49 van Verordening (EU) 2019/881. Voorts moedigen de lidstaten essentiële en belangrijke entiteiten aan om gebruik te maken van gekwalificeerde vertrouwensdiensten.
2. De Commissie is bevoegd overeenkomstig artikel 38 gedelegeerde handelingen vast te stellen om deze richtlijn aan te vullen door te specificeren welke categorieën essentiële en belangrijke entiteiten verplicht moeten worden bepaalde gecertificeerde ICT-producten, ICT-diensten en ICT-processen te gebruiken of een certificaat te verkrijgen op grond van een Europees certificeringsprogramma voor cyberbeveiliging dat is vastgesteld overeenkomstig artikel 49 van Verordening (EU) 2019/881. Deze gedelegeerde handelingen worden vastgesteld wanneer onvoldoende niveaus van cyberbeveiliging zijn vastgesteld en omvatten een uitvoeringsperiode.
Alvorens dergelijke gedelegeerde handelingen vast te stellen, voert de Commissie een effectbeoordeling uit en pleegt zij overleg overeenkomstig artikel 56 van Verordening (EU) 2019/881.
3. Wanneer er geen geschikt Europees certificeringsschema voor cyberbeveiliging voor de toepassing van lid 2 van dit artikel beschikbaar is, kan de Commissie, na raadpleging van de samenwerkingsgroep en de Europese groep voor certificering van cyberbeveiliging, ENISA verzoeken een kandidaatschema op te stellen overeenkomstig artikel 48, lid 2, van Verordening (EU) 2019/881.