Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 24 Recours aux schémas européens de certification de cybersécurité
Summary What does Article 24 of the NIS 2 directive say?
This article sits alongside Article 21, which sets out the core cybersecurity risk-management obligations for essential and important entities.
Article 24 introduces a certification dimension to those obligations, establishing a mechanism by which compliance with Article 21 can be demonstrated through the use of certified ICT products, services, and processes.
It operates on two levels: Member States can require entities to use certified ICT tools, and the Commission holds a broader power to mandate specific certification requirements across categories of entities where cybersecurity levels are found to be insufficient.
Important points:
- Member States may require essential and important entities to use ICT products, services, and processes certified under European cybersecurity certification schemes as a means of demonstrating compliance with Article 21.
- The Commission is empowered to adopt delegated acts specifying which categories of essential and important entities must use certified ICT products, services, and processes — but only where insufficient levels of cybersecurity have been identified, and an impact assessment must be carried out beforehand.
- Where no suitable European cybersecurity certification scheme exists, the Commission may request ENISA to prepare a candidate scheme, after consulting the Cooperation Group and the European Cybersecurity Certification Group.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Afin de démontrer la conformité à certaines exigences visées à l’article 21, les États membres peuvent prescrire aux entités essentielles et importantes d’utiliser des produits TIC, services TIC et processus TIC particuliers qui, mis au point par l’entité essentielle ou importante ou acquis auprès de tiers, sont certifiés dans le cadre de schémas européens de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881. En outre, les États membres encouragent les entités essentielles et importantes à utiliser des services de confiance qualifiés.
La Commission est habilitée à adopter des actes délégués, conformément à l’article 38, pour compléter la présente directive en précisant quelles catégories d’entités essentielles et importantes sont tenues d’utiliser certains produits TIC, services TIC et processus TIC certifiés ou d’obtenir un certificat dans le cadre d’un schéma européen de certification de cybersécurité adopté conformément à l’article 49 du règlement (UE) 2019/881. Ces actes délégués sont adoptés lorsque des niveaux insuffisants de cybersécurité ont été constatés et ils prévoient une période de mise en œuvre.
Avant d’adopter de tels actes délégués, la Commission procède à une analyse d’impact et mène des consultations conformément à l’article 56 du règlement (UE) 2019/881.
Lorsqu’il n’existe pas de schéma européen de certification de cybersécurité approprié aux fins du paragraphe 2 du présent article, la Commission peut, après consultation du groupe de coopération et du groupe européen de certification de cybersécurité, demander à l’ENISA de préparer un schéma candidat conformément à l’article 48, paragraphe 2, du règlement (UE) 2019/881.
Relevant recitals
Considérant 138 Delegated acts on obligations to obtain certificates
Afin de garantir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union sur la base de la présente directive, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en vue de compléter la présente directive en précisant quelles catégories d’entités essentielles et importantes doivent être tenues d’utiliser certains produits TIC, services TIC et processus TIC certifiés ou d’obtenir un certificat dans le cadre d’un régime européen de certification de cybersécurité. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»(22). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
produit TIC
(En. ICT product)
Definition
service TIC
(En. ICT service)
Definition
service de confiance
(En. trust service)
Definition
processus TIC
(En. ICT process)
Definition
cybersécurité
(En. cybersecurity)
Definition
entité
(En. entity)
Footnote 22