1.   A fim de demonstrar o cumprimento de certos requisitos estabelecidos no artigo 21.o, os Estados-Membros podem exigir que as entidades essenciais e importantes utilizem determinados produtos de TIC, serviços de TIC e processos de TIC, desenvolvidos pela entidade essencial ou importante ou fornecidos por terceiros, que estejam certificados no âmbito de sistemas europeus de certificação da cibersegurança adotados nos termos do artigo 49.o do Regulamento (UE) 2019/881. Além disso, os Estados-Membros devem incentivar as entidades essenciais e importantes a utilizar serviços de confiança qualificados.

2.   A Comissão fica habilitada a adotar atos delegados nos termos do artigo 38.o para completar a presente diretiva, especificando as categorias de entidades essenciais e importantes obrigadas a utilizar produtos de TIC, serviços de TIC e processos de TIC certificados ou a obter um certificado ao abrigo de um sistema europeu de cibersegurança adotado nos termos do artigo 49.o do Regulamento (UE) 2019/881. Esses atos delegados devem ser adotados sempre que sejam identificados níveis insuficientes de cibersegurança e devem incluir um período de execução.

Antes de adotar esses atos delegados, a Comissão deve efetuar uma avaliação de impacto e levar a cabo consultas em conformidade com o artigo 56.o do Regulamento (UE) 2019/881.

3.   Nos casos em que não exista um sistema europeu de certificação da cibersegurança adequado para os efeitos do n.o 2 do presente artigo, a Comissão, após consulta do grupo de cooperação e do grupo europeu para a certificação da cibersegurança, pode solicitar à ENISA a elaboração de um projeto de sistema nos termos do artigo 48.o, n.o 2, do Regulamento (UE) 2019/881.