Source: OJ L 333, 27.12.2022, p. 80–152Current language: SV
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 24 Användning av europeiska ordningar för cybersäkerhetscertifiering
Summary What does Article 24 of the NIS 2 directive say?
This article sits alongside Article 21, which sets out the core cybersecurity risk-management obligations for essential and important entities.
Article 24 introduces a certification dimension to those obligations, establishing a mechanism by which compliance with Article 21 can be demonstrated through the use of certified ICT products, services, and processes.
It operates on two levels: Member States can require entities to use certified ICT tools, and the Commission holds a broader power to mandate specific certification requirements across categories of entities where cybersecurity levels are found to be insufficient.
Important points:
- Member States may require essential and important entities to use ICT products, services, and processes certified under European cybersecurity certification schemes as a means of demonstrating compliance with Article 21.
- The Commission is empowered to adopt delegated acts specifying which categories of essential and important entities must use certified ICT products, services, and processes — but only where insufficient levels of cybersecurity have been identified, and an impact assessment must be carried out beforehand.
- Where no suitable European cybersecurity certification scheme exists, the Commission may request ENISA to prepare a candidate scheme, after consulting the Cooperation Group and the European Cybersecurity Certification Group.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
För att visa att vissa krav enligt artikel 21 är uppfyllda får medlemsstaterna ålägga väsentliga och viktiga entiteter att använda särskilda IKT-produkter, IKT-tjänster och IKT-processer, som har utvecklats av den väsentliga eller viktiga entiteten eller upphandlats från tredje parter, som är certifierade enligt europeiska ordningar för cybersäkerhetscertifiering som antagits i enlighet med artikel 49 i förordning (EU) 2019/881. Medlemsstaterna ska dessutom uppmuntra väsentliga och viktiga entiteter att använda kvalificerade betrodda tjänster.
Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 38 för att komplettera detta direktiv genom att ange vilka kategorier av väsentliga eller viktiga entiteter som ska vara skyldiga att använda vissa certifierade IKT-produkter, IKT-tjänster och IKT-processer eller erhålla ett certifikat enligt en europeisk ordning för cybersäkerhetscertifiering som har antagits enligt artikel 49 i förordning (EU) 2019/881. Dessa delegerade akter ska antas om det har fastställts att cybersäkerhetsnivån är otillräcklig och ska omfatta en genomförandeperiod.
Innan kommissionen antar sådana delegerade akter ska den göra en konsekvensbedömning och genomföra samråd i enlighet med artikel 56 i förordning (EU) 2019/881.
I fall där det inte finns en lämplig europeisk ordning för cybersäkerhetscertifiering med avseende på tillämpningen av punkt 2 i denna artikel kan kommissionen, efter samråd med samarbetsgruppen och europeiska gruppen för cybersäkerhetscertifiering, begära att Enisa utarbetar ett förslag till certifieringsordning enligt artikel 48.2 i förordning (EU) 2019/881.
Relevant recitals
Skäl 138 Delegated acts on obligations to obtain certificates
För att säkerställa en hög gemensam cybersäkerhetsnivå i unionen på grundval av detta direktiv bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen med avseende på att komplettera detta direktiv genom att ange vilka kategorier av väsentliga och viktiga entiteter som ska vara skyldiga att använda vissa certifierade IKT-produkter, IKT-tjänster och IKT-processer eller erhålla ett certifikat enligt en europeisk ordning för cybersäkerhetscertifiering. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning(22). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-produkt
(En. ICT product)
Definition
entitet
(En. entity)
Definition
IKT-process
(En. ICT process)
Definition
IKT-tjänst
(En. ICT service)
Footnote 22