Artikel 24 Gebruik van Europese cyberbeveiligingscertificeringsregelingen

Om aan te tonen dat aan bepaalde eisen van artikel 21 wordt voldaan, kunnen de lidstaten eisen dat essentiële en belangrijke entiteiten bepaalde ICT-producten, ICT -diensten en ICT -processen gebruiken die door de essentiële of belangrijke entiteit zijn ontwikkeld of zijn gekocht bij derden die zijn gecertificeerd in het kader van Europese cyberbeveiligingscertificeringsregelingen die op grond van artikel 49 van Verordening (EU) 2019/881 zijn vastgesteld. Voorts moedigen de lidstaten essentiële en belangrijke entiteiten aan om gebruik te maken van gekwalificeerde vertrouwensdiensten.

De Commissie is bevoegd om overeenkomstig artikel 38 gedelegeerde handelingen vast te stellen om deze richtlijn aan te vullen door te bepalen welke categorieën van essentiële en belangrijke entiteiten verplicht zijn om bepaalde ICT-producten, ICT -diensten en ICT -processen te gebruiken of een certificaat te verkrijgen in het kader van een Europese cyberbeveiligingsregeling die op grond van artikel 49 van Verordening (EU) 2019/881 is vastgesteld. Die gedelegeerde handelingen worden vastgesteld indien is vastgesteld dat het niveau van cyberbeveiliging onvoldoende is en voorzien in een uitvoeringsperiode.

Alvorens dergelijke gedelegeerde handelingen vast te stellen, voert de Commissie een effectbeoordeling uit en pleegt zij overleg overeenkomstig artikel 56 van Verordening (EU) 2019/881.

Indien er geen passende Europese cyberbeveiligingscertificeringsregeling voor de toepassing van lid 2 van dit artikel beschikbaar is, kan de Commissie, na raadpleging van de samenwerkingsgroep en de Europese Groep voor cyberbeveiligingscertificering, Enisa verzoeken een potentiële regeling op te stellen op grond van artikel 48, lid 2, van Verordening (EU) 2019/881.