- (1) 第21条の特定の要件への適合を立証するため、加盟国は、基幹事業体及び重要事業体の事業体に対し、当該基幹事業体又は重要事業体の事業体が開発した又は第三者から調達した特定のICT製品、ICTサービス及びICTプロセスであって、規則(EU) 2019/881第49条に基づき採択された欧州サイバーセキュリティ認証スキームの下で認証を受けたものを使用することを求めることができる。さらに、加盟国は、基幹事業体及び重要事業体の事業体が適格信頼サービスを利用することを奨励するものとする。
- (2) 委員会は、第38条に従い、委任法令を採択する権限を付与され、本指令を補完して、いずれの類型の基幹事業体及び重要事業体の事業体が、規則(EU) 2019/881第49条に基づき採択された欧州サイバーセキュリティ認証スキームの下で認証を受けた特定のICT製品、ICTサービス及びICTプロセスを使用すること、又は当該スキームに基づく証明書を取得することを要するかを特定するものとする。これらの委任法令は、サイバーセキュリティの水準が不十分であることが認められる場合に採択され、かつ実施期間を含むものとする。 当該委任法令を採択する前に、委員会は、影響評価を実施し、また、規則(EU) 2019/881第56条に従って協議を行うものとする。
- (3) 本条第2項の目的に適した欧州サイバーセキュリティ認証スキームが利用可能でない場合には、委員会は、協力グループ及び欧州サイバーセキュリティ認証グループに協議した後、規則(EU) 2019/881第48条第2項に従い、ENISAに対し候補スキームの作成を要請することができる。
NIS2 指令(EU)2022/2555
第24条